ComputerBase Menü
Aktuelles

FritzBox IKE-Error 0x2027 bei Verbindung mit Firmen VPN

mgutt

mgutt

Commander
Registriert
März 2009
Beiträge
2.058
Ich habe an einem Standort eine öffentliche IP mit einem Fremdfabrikat-Router, weshalb ich nach der Anleitung vorgegangen bin, die eine Verbindung mit einem "Firmen-VPN" erlaubt. Da ich die Timeout-Fehlermeldung erhalte, habe ich mir den GreenBow VPN Client installiert um die Verbindung zu testen und darüber geht es.

Hier die Config von dem Client:

Code: 
[General]
Shared-SADB = Defined
Retransmits = 2
Exchange-max-time = 80
Default-phase-1-lifetime = 7200,360:28800
Bitblocking = 0
Xauth-interval = 60
DPD-interval = 30
DPD_retrans = 5
DPD_wait = 15
XF_LVL = 6,6,6,6,3,2

[Default-phase-2-lifetime]
LIFE_TYPE = SECONDS
LIFE_DURATION = 2700,300:28800

# ==================== PHASES 1 ====================

[Phase 1]
12.23.45.67 = Ikev1Gateway-P1

[IKEV1GATEWAY_LIFETIME]
LIFE_TYPE = SECONDS
LIFE_DURATION = 2700,60:86400

[Ikev1Gateway-aggressive-mode]
DOI = IPSEC
EXCHANGE_TYPE = AGGRESSIVE
Transforms = AES128-SHA-GRP2

[AES128-SHA-GRP2]
ENCRYPTION_ALGORITHM = AES_CBC
KEY_LENGTH = 128,128:256
HASH_ALGORITHM = SHA
GROUP_DESCRIPTION = MODP_1024
AUTHENTICATION_METHOD = PRE_SHARED
Life = LIFE_MAIN_MODE

[Ikev1Gateway-P1]
Phase = 1
Family = Auto
Local-address = 192.168.122.239
Address = 12.23.45.67
Transport = udp
Configuration = Ikev1Gateway-aggressive-mode
Retransmits = 3
Life = IKEV1GATEWAY_LIFETIME
DPD-interval = 30
DPD_retrans = 3
DPD_wait = 15
Authentication = "presharedkey"
ID = Ikev1Gateway-ID

[Ikev1Gateway-ID]
ID-Type = USER_FQDN
Name = fritzbox@example.com

# ==================== PHASES 2 ====================

[Phase 2]
Manual-connections = Ikev1Gateway-Ikev1Tunnel(1)-P2

[IKEV1GATEWAY_IKEV1TUNNEL(1)_LIFETIME]
LIFE_TYPE = SECONDS
LIFE_DURATION = 1800,60:86400

[Ikev1Gateway-Ikev1Tunnel(1)-P2]
Phase = 2
ISAKMP-peer = Ikev1Gateway-P1
Remote-ID = Ikev1Tunnel(1)-remote-addr
Configuration = Ikev1Tunnel(1)-quick-mode
AutoStart = 0
GinaAutoStart = 0
GinaPreAuth = 0
GinaPreAuthURL =
USBStart = 0
Life = IKEV1GATEWAY_IKEV1TUNNEL(1)_LIFETIME
FallbackTunnelName =
FallbackUserMsg =
FallbackUserAgreement = 0

# ==================== Ipsec ID ====================

[Ikev1Tunnel(1)-remote-addr]
ID-type = IPV4_ADDR_SUBNET
Network = 10.0.0.0
Netmask = 255.255.255.0

# ==================== TRANSFORMS ====================

[Ikev1Tunnel(1)-quick-mode]
DOI = IPSEC
EXCHANGE_TYPE = QUICK_MODE
Suites = QM-ESP-AES128-SHA-END-SUITE

[QM-ESP-AES128-SHA-END-SUITE]
Protocols = TGBQM-ESP-AES128-SHA-END-TUN

[TGBQM-ESP-AES128-SHA-END-TUN]
PROTOCOL_ID = IPSEC_ESP
Transforms = TGBQM-ESP-AES128-SHA-END-TUN-XF

[TGBQM-ESP-AES128-SHA-END-TUN-XF]
TRANSFORM_ID = AES
KEY_LENGTH = 128,128:256
AUTHENTICATION_ALGORITHM = HMAC_SHA
ENCAPSULATION_MODE = TUNNEL
Life = Default-phase-2-lifetime

Für mich sieht das korrekt aus. Also AES128, SHA1, DH Gruppe 2, usw. Trotzdem kommt es bei der Fritz!Box zu dem Timeout.

Die einzigen Dinge, die sich nicht 100%-tig durch die Anleitung erklärt haben:
1.) Mein AVM mit "Key-ID" die U-FQDN oder etwas anders?
2.) Unterstützt die Fritz!Box standardmäßig den Aggressive oder den Manual Mode?


EDIT: Ok, die zweite Frage ist mit dem Export der Fritz!Box Config schon mal geklärt. Die nutzt ebenfalls den Aggressive Mode:
Code: 
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = no;
                editable = yes;
                conn_type = conntype_out;
                name = "Example";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 12.23.45.67;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 10.0.0.1;
                localid {
                        key_id = "$$$$KEY";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$KEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip any 10.0.0.0 255.255.255.0";
                app_id = 0;
        }
}
 
Zuletzt bearbeitet:
Bist du dir sicher das es überhaupt so sein soll?
Normal werden gehärtete Clients ins Firmennetzwerk per VPN gelassen. Von 2 Faktor mal ganz abgesehen...
Du willst ein ganzes Netz koppeln.
Vielleicht liegt da der Hund schon begraben.
Ohne jetzt alles gelesen zu haben... ne Fritte kann nicht alles leisten...

MfG
 
  • Gefällt mir
Reaktionen: Gnah
Matthias80 schrieb:
Bist du dir sicher das es überhaupt so sein soll?
Zum Vergrößern anklicken....
Jo, ist ja mein Router. Und ich habe nichts von Firmennetzwerk geschrieben. Ich halte mich nur an die Firmen VPN Anleitung, weil das eben die für Drittrouter ist.

Ich denke das Problem ist die Key ID. Laut hier gibt es diese ID Typen:
https://wiki.strongswan.org/projects/strongswan/wiki/IdentityParsing
Code: 
The following types are known: ipv4, ipv6, ipv4net, ipv6net, ipv4range, ipv6range, rfc822, email, userfqdn, fqdn, dns, asn1dn, asn1gn and keyid

Der Router bietet über das Dropdown der WebGUI aber nur FQDN, IPADDR und U-FQDN an. Muss ich mal schauen ob ich per SSH stattdessen eine Key ID setzen kann.
 

FritzBox IKE-Error 0x2027 bei Verbindung mit Firmen VPN :freak:


dann ist für mich aus deinem Text überhaupt NULL ersichtlich was du von wo nach wo mit was vor hast...


MfG
 
@mgutt Ich vermute, dass das Fritz Feature wir so viele andere auch einfach kaputt ist.
Ich hatte mal etwas ähnliches probiert allerdings Fritz2Fritz. Das ist auch immer im timeout gelandet. Da man ja an keine brauchbaren Logs kommt habe ich es dann sein lassen.
 
Matthias80 schrieb:
dann ist für mich aus deinem Text überhaupt NULL ersichtlich was du von wo nach wo mit was vor hast...
Zum Vergrößern anklicken....

Sorry, aber was ich genau machen will, ergibt sich doch spätestens aus den Config-Dateien?!

Ich habe jetzt die exportierte VPN Config der Fritz!Box wie folgt geändert:
Code: 
localid {
                        user_fqdn = "fritzbox@example.com";
                }
...
                key = "presharedkey";

Den Variablennamen "user_fqdn" hatte ich hier gefunden:
https://www.lrz.de/services/netz/mobil/vpn/ipsec-avm/

Nach dem Import der Datei zeigt die Fritz!Box leider nicht an ob sie den geänderten Typ nutzt. Da steht immer noch "Key-ID":
2020-12-10 13_39_55.png


Jedenfalls geht es auch dann nicht.

@wayne_757
Ja ohne Logs ist das echt ätzend. Man weiß nicht was die Kiste macht.

EDIT: Ok, ich vermute, dass die Fritz!Box diese Variable einfach ignoriert. Denn wenn ich die Fritz!Box Einstellungen erneut exportiere, steht da wieder nur "key_id":
Code: 
localid {
                        key_id = "$$$$KEY";
                }

Also muss ich versuchen den Typ beim Fremdrouter auf Key ID zu bekommen. Wenn ich das hinbekomme, gebe ich noch mal Feedback. Wenn nicht, habe ich aufgegeben ^^
 
Matthias80 schrieb:
FritzBox IKE-Error 0x2027 bei Verbindung mit Firmen VPN
Zum Vergrößern anklicken....
mgutt schrieb:
weshalb ich nach der Anleitung vorgegangen bin, die eine Verbindung mit einem Firmen-VPN erlaubt.
Zum Vergrößern anklicken....
@Matthias80

Der TE hat tatsaechlich nix davon geschrieben das er eine Verbindung zu einem Firmennetzwerk herstellt. Er schrieb das er eine Anleitung verwendet hat in der steht wie das geht. ;)

Und ist wieder Friede hier.

BFF
 
@wayne_757

aha
würde also bedeuten geht nirgends weil ist ja ein kaputtes feature seitens avm.
ahh neee
funktioniert definitiv! gibt´s leicht auf ne...

@mgutt

wie geschrieben... die config noch nicht durchgeschaut...
weil Titel und Text waren da einfach unpassend und widersprüchlich.

egal

Ich probiere mal...
Du willst von deiner FritzBox eine VPN zu einem Router(Hesteller ????) herstellen der eine öffentliche IP hat.
Hast du Zugriff auf den Router? Stellt der die VPN Einwahl bereit oder ein System dahinter?
Weil woher kommt der Konfig Ansatz für deine FritzBox?
Die Anleitung die du verlinkt hast... Zeigt ja was die Fritte "erwartet" kann...
Stellt das System gegenüber das auch so bereit?

kannst du alles Posten? weil da fehlt ja einiges was du aber beschreibst.

MfG
Ergänzung ()

@BFF

von mir aus gibts gar kein unmut...
von daher war hier nie unfriede.

also entweder ist heute wirklich nicht mein tag oder...
für mich suggeriert der Titel beim ersten lesen das er ne VPN zu einer Firma machen will.
Aus dem weiteren Text was für mich nicht ersichtlich... egal haben wir ja "geklärt"...

MfG
 
Matthias80 schrieb:
kannst du alles Posten? weil da fehlt ja einiges was du aber beschreibst.
Zum Vergrößern anklicken....
Die vollständige und funktionierende Config von GreenBow steht im Beitrag #1.

Matthias80 schrieb:
Hast du Zugriff auf den Router?
Zum Vergrößern anklicken....
Ja, hatte ich dir bereits in Beitrag #4 beantwortet.

Ich kann also jede beliebige Konfiguration für das Gateway erstellen (außer dass die WebGUI leider keine Key-ID vorsieht, aber ich habe es noch nicht über SSH/Terminal versucht. Da geht das bestimmt). XAuth habe ich erstmal weggelassen, damit es so simpel wie möglich ist. Also nur IKEv1, AES128, SHA1, GH2 und Preshared Key ohne PFS. Und mehr ergibt sich auch nicht aus der AVM Anleitung.

Was echt dämlich ist, dass man keine Logs sieht. Denn wenn er die UFQDN trotz importierter VPN Config nicht akzeptiert, würde man in den Logs sehen, dass er Phase 1 nicht authentifizieren kann.
 
ah sorry ja #4...

Test mit dem GreenBow VPN Client funktioniert ja.
Muss der Fritte also irgendwas fehlen bzw. sendet sie nicht mit.
Was ist das für ein Fremdrouter? vielleicht findet man so nen Anhaltspunkt speziell für AVM.

MfG
 
Irgendeine Kiste von Juniper. Die halten sich leider sehr bedeckt. Also nur wer blecht bekommt überhaupt Zugriff auf Firmware, Support-Dokumente etc

Aber vom Prinzip sollte die Marke ja egal sein. Die Verfahren sind ja standardisiert. Ich tippe aktuell auf diese Key ID. Und danach bliebe noch verschiedene Algorithmen durchprobieren. Irgendwas muss doch gehen.
 
Mmh will nicht sagen wäre nicht standardisiert... aber irgendwie machen da doch viele Hersteller ihr eigenes Ding...

Kriegst du das Model noch raus?

MfG
 
Ein erster kleiner Erfolg. Ich kann den Tunnel aufbauen, aber ich komme noch nicht ins Zielnetz:
Code: 
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "Example";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 12.23.45.67;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 10.0.0.1;
                localid {
                        user_fqdn = "fritzbox@example.com";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "presharedkey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.0.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 10.0.0.0 255.255.255.0";
                app_id = 0;
        }  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                               "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Ein paar der Einstellungen hatte ich geändert:
conntype_lan statt conntype_out
use_cfgmode no statt yes
feste Verschlüsselungen ausgewählt, statt überall nur "all"
ike_forward_rules gesetzt, obwohl ich nicht weiß ob die überhaupt relevant sind


Aber wenn ich auf einem Rechner, der mit der Fritz!Box verbunden ist, einen Ping absetze, erhalte ich nur diesen Fehler:
Code: 
ping 10.0.0.1
Antwort von 62.155.xxx.xxx: Zielnetz nicht erreichbar.

Wobei ich mit dieser IP überhaupt nichts anfangen kann (keine der öffentlichen oder lokalen IPs, egal ob lokal oder entfernt).

EDIT: Ok, wenn ich die zweite Netzwerk-Verbindung am Client deaktiviere, dann kann ich mein Zielnetz (10.0.0.0) erreichen. Dh Windows nimmt den falschen Netzwerk-Adapter. Kann ich mein Zielnetz irgendwie an einen bestimmten Netzwerk-Adapter binden?
 
Steck doch das lankabel um.
ansonsten fällt mir nur eth0, eth1 als lankartenbezeichnung ein
 
Routing hat unter Windows nur dann etwas mit der Reihenfolge der Adapter zu tun, wenn das Ziel laut Routingtabelle über gleichwertige Routen auf mehreren Adaptern erreichbar ist. Die Reihenfolge der Adapter wird durch die Metrik definiert.

Heißt: Wenn in der Routingtabelle 2x zB 10.0.0.0 mask 255.255.255.0 drinsteht, einmal über Adapter1 und Adapter2, wird die Route mit der kleineren Metrik genommen.

Solche doppelten Routen können u.a. durch unsachgemäß konfigurierte Netzwerke verursacht werden - zB wenn man Netzwerke via VPN verbindet, die dasselbe Subnetz verwenden.
 
@Raijin
Auf dem Client ist keine Route zu 10.x.x.x. eingetragen, da die VPN Verbindung ja über die Fritz!Box hergestellt wird. Und das Ergebnis von route print sieht für mich normal aus:
Code: 
route print
===========================================================================
Schnittstellenliste
  7...12 54 34 98 56 e9 ......Red Hat VirtIO Ethernet Adapter
12...12 2e 34 a8 56 29 ......Intel(R) I210 Gigabit Network Connection
  1...........................Software Loopback Interface 1
===========================================================================


IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.20.1    192.168.20.20     35
          0.0.0.0          0.0.0.0    192.168.122.1   192.168.122.64      5
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
     192.168.20.0    255.255.255.0   Auf Verbindung     192.168.20.20    291
    192.168.20.20  255.255.255.255   Auf Verbindung     192.168.20.20    291
   192.168.20.255  255.255.255.255   Auf Verbindung     192.168.20.20    291
    192.168.122.0    255.255.255.0   Auf Verbindung    192.168.122.64    261
   192.168.122.64  255.255.255.255   Auf Verbindung    192.168.122.64    261
  192.168.122.255  255.255.255.255   Auf Verbindung    192.168.122.64    261
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.20.20    291
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.122.64    261
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.20.20    291
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.122.64    261
===========================================================================
Ständige Routen:
  Keine

Und 192.168.x, also egal welches Subnetz, existiert im Ziel nicht. Das Subnetz 192.168.20.x ist übrigens von der Fritz!Box und das 192.168.122.x ist von dem virtuellen Netzwerkadapter (ist eine VM mit virtueller Bridge).

Natürlich könnte ich nun manuell eine Route definieren. Ich hatte nur gehofft, dass das out-of-the-box läuft, was es ja tut, wenn nur ein Adapter vorhanden ist.

Raijin schrieb:
Routing hat unter Windows nur dann etwas mit der Reihenfolge der Adapter zu tun, wenn das Ziel laut Routingtabelle über gleichwertige Routen auf mehreren Adaptern erreichbar ist.
Zum Vergrößern anklicken....

Daraus schließe ich: Keine Routen = gleichwertige Routen = Reihenfolge ist doch wichtig ^^
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
FritzBox IKE-Error 0x2027
Antworten
7
Aufrufe
10.389
duAffentier
duAffentier
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz