Site2Site-VPN mit FritzBox 7490 und CheckPoint

[Hoerli]

Guten Morgen Forum.
Ich bastel gerade die ganze Zeit an dem Projekt herum, aber es läuft überhaupt nicht.

Ich muss eine VPN-Verbindung mit einer FritzBox 7490 zu einer CheckPoint-Firewall aufbauen, um eine Zweigstelle ins Firmenetz verbinden zu können.
Die Verbindung ist wie im Titel schon erwähnt Site2Site und sollte dauerhaft bestehen.

Folgendes ist gegeben:
Standort A:
FritzBox 7490
Telekom-Anschluss mit fester IP-Adresse
Folgende VPN.cfg habe ich mir angefertigt:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN-Verbindung";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = VERSATEL-IP;
                remote_virtualip = 0.0.0.0;

                localid {
                        ipaddr = TELEKOM-IP;
                }
                remoteid {
                        ipaddr = VERSATEL-IP;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Geheimer-Key";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.0.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes-sha/ah-no/comp-no/no-pfs";
                accesslist = "permit ip any 10.0.4.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Standort B:
CheckPoint Firewall
Versatel-Anschluss mit fester IP-Adresse
Folgende Werte sind Vorgegeben:

Phase 1:
Encryption Algorithm: AES-256
Data Integrity: SHA1
Diffie-Hellman group: Group 2 (1024bit)

Phase 2:
Encryption Algorithm: AES-256
Data Integrity: SHA1

Das Problem ist nun, das die FritzBox scheinbar nichts tud.
Sie versucht scheinbar nie eine Verbindung mit der CheckPoint aufzubauen, da keinerlei Datenpakete ankommen.
Bisher kamen 1 oder 2 Pakete an, welche bei der Firewall blockiert wurden. Das ist aber ok so.

Ich habe mehrere Konfigurationen probiert, doch die Box meldet sich nicht.
Dann habe ich mal eine einfache Client-VPN-Verbindung mit hilfe der AVM-Tools aufgebaut (AVM Fritz!Fernzugang). Dieser hat auf Anhib funktioniert.

Wo liegt der Fehler, bzw kenn jemand eine gute Lösung für das Problem?
Dr. Google liefert nur einen Eintrag mit FritzBox + CheckPoint, welcher mir nicht weiter geholfen hat.

MfG
Hoerli

 

[^Dodo.bW]

Blöde Frage, aber hast du unter Internet -> Freigabe -> VPN den Haken bei "Aktiv" gesetzt (Fritzbox)? War bei mir vor Kurzem der Fehler

Ansonsten mal hier meine Config-File für ein Site2Site mit einem Bintec-Router:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "bintec";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 178.0.0.0; 
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = 87.0.0.0;
                }
                remoteid {
                        ipaddr = 178.0.0.0;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "GEHEIM";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;			
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 0.0.0.0;			
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 0.0.0.0 255.255.0.0";	

        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[Hoerli]

Ja der Hacken ist gesetzt.
Der Springt aber scheinbar - vermutlich bei keiner Verbindung zur Gegenstelle - von alleine wieder raus.
Die FritzBox muss scheinbar etwas versuchen, was aber nicht gelingt und bricht dann ab. Der Hacken wird dann irgendwann wieder raus genommen.
Sitze an dem Mist seit gestern Morgen und komm nicht weiter

 

[Hoerli]

Update:
Aktuell wurde mein Problem mal vorübergehend mit dem Fernzugangs-Tool von AVM gelöst, da eine Site2Site-Verbindung nicht funktioniert.
Auch war kein Internet mehr verfügbar, als ich die Fritzbox auf die Firmware 06.93 geupdatet hatte -> Schein ein Firmwareproblem laut AVM-Support zu sein.
Auch mit einer zweiten Box kann ich keine Verbindung per VPN mit der CheckPoint herstellen. Habe mehrere Konfiguratonen und Verschlüsselungsmethoden probiert.

Falls jemand noch ein Tipp hat, darf diesen gerne sagen

 

[kugman]

Sollte das nach gefühlten hundert Jahren noch von Relevanz sein, du musst in Phase 1 auf aggressive-mode umstellen, dann klappt das VPN mit der Fritze und der Checkpoint