AVM Fritz! - TheGreenBow
AVM Fritz! - TheGreenBow
AVM Fritz! - TheGreenBow
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TheGreenBow</strong> IPSec VPN Client<br />
Konfigurationsbeispiel<br />
<strong>AVM</strong> <strong>Fritz</strong>!Box Fon WLAN<br />
7270<br />
Diese Anleitung gilt auch für andere VPN unterstützende<br />
Geräte von <strong>AVM</strong> wie z.B.:<br />
FRITZ!Box WLAN 3270<br />
FRITZ!Box Fon WLAN 7170<br />
FRITZ!Box WLAN 3170<br />
FRITZ!Box Fon WLAN 7390<br />
WebSite: http://www.thegreenbow.de/<br />
Kontakt: mailto:support@thegreenbow.de<br />
Configuration Guide written by:<br />
Autor: Timm Richter<br />
Firma: www.thegreenbow.de<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 1/15
Inhalt<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
1 Einleitung ....................................................................................................................................................... 3<br />
1.1 Ziel der Anleitung ...................................................................................................................................... 3<br />
1.2 VPN Netzwerktopologie ............................................................................................................................ 3<br />
1.3 FRITZ!Box Fon WLAN 7270 Einschränkungen......................................................................................... 3<br />
1.4 FRITZ!Box Fon WLAN 7270 VPN Gateway.............................................................................................. 3<br />
1.5 FRITZ!Box Fon WLAN 7270 VPN Gateway Produktinformationen........................................................... 3<br />
2 FRITZ!Box Fon WLAN 7270 VPN Konfiguration............................................................................................ 4<br />
2.1 Vorbereitungen.......................................................................................................................................... 4<br />
2.2 Die <strong>Fritz</strong> Fernzugang Konfigurationsdatei erstellen und einspielen .......................................................... 4<br />
3 <strong>TheGreenBow</strong> IPSec VPN Client Konfiguration............................................................................................. 8<br />
3.1 VPN Client Phase 1 (IKE) Konfiguration ................................................................................................... 8<br />
3.2 Phase 1 – Erweiterte Einstellungen .......................................................................................................... 8<br />
3.3 VPN Client Phase 2 (IPSec) Konfiguration ............................................................................................... 9<br />
3.4 IPSec VPN Tunnel öffnen ....................................................................................................................... 10<br />
4 Fehlerbehebung........................................................................................................................................... 11<br />
4.1 Eine gute Netzwerkanalyse: Wireshark................................................................................................... 11<br />
5 VPN IPSec Troubleshooting ........................................................................................................................ 12<br />
5.1 « PAYLOAD MALFORMED » error (wrong Phase 1 [SA])..................................................................... 12<br />
5.2 « INVALID COOKIE » error..................................................................................................................... 12<br />
5.3 « no keystate » error ............................................................................................................................... 12<br />
5.4 « received remote ID other than expected » error................................................................................... 12<br />
5.5 « NO PROPOSAL CHOSEN » error ....................................................................................................... 13<br />
5.6 « INVALID ID INFORMATION » error..................................................................................................... 13<br />
5.7 Ich klicke auf “Tunnel öffnen”, aber nichts passiert. ................................................................................ 13<br />
5.8 Der VPN Tunnel ist aktiv aber ich kann nicht pingen! ............................................................................. 13<br />
6 Kontakt......................................................................................................................................................... 15<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 2/15
1 Einleitung<br />
1.1 Ziel der Anleitung<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Dieses Konfigurationsbeispiel beschreibt eine mögliche Konfiguration des <strong>TheGreenBow</strong> IPSec VPN Client, um<br />
einen IPSec Tunnel zu einer FRITZ!Box Fon WLAN 7270 und dem dahinter liegenden Firmen- oder<br />
Heimnetzwerk aufbauen zu können.<br />
1.2 VPN Netzwerktopologie<br />
Dieses Beispiel zeigt, wie wir den <strong>TheGreenBow</strong> IPSec Client in das lokale Netzwerk hinter der <strong>AVM</strong> <strong>Fritz</strong>!Box<br />
Fon verbinden. Der Rechner mit dem VPN Client ist mit dem Internet über DSL oder einem Firmennetzwerk<br />
verbinden. Die hier aufgeführten IP Adressen und Ranges dienen nur als Beispiel.<br />
IPSec VPN Client<br />
(Remote)<br />
mygateway.dyndns.org<br />
Internet<br />
1.3 FRITZ!Box Fon WLAN 7270 Einschränkungen<br />
Ältere Firmwareversionen der FRITZ!Box Fon WLAN 7270 beinhalteten noch keine IPSec VPN Unterstützung.<br />
Bitte verwenden Sie daher die aktuellste Firmware von <strong>AVM</strong>, welche volle IPSec VPN Kompatibilität<br />
gewährleistet. Die Firmwareversion wird auf der Hauptübersichtsseite der Benutzeroberfläche rechts oben<br />
angezeigt. Mehr Informationen finden Sie unter http://www.avm.de.<br />
1.4 FRITZ!Box Fon WLAN 7270 VPN Gateway<br />
192.168.178.1<br />
FRITZ!Box Fon<br />
Unseren Test haben wir mit einer FRITZ!Box Fon WLAN 7270 mit der Firmware Version 74.04.76 durchgeführt.<br />
1.5 FRITZ!Box Fon WLAN 7270 VPN Gateway Produktinformationen<br />
Alle Produktinformationen, Handbücher, FAQ und Hilfestellung zu Ihrer FRITZ!Box Fon WLAN 7270 finden Sie<br />
auf den <strong>AVM</strong> <strong>Fritz</strong>! Webseiten: http://www.avm.de/.<br />
<strong>AVM</strong> Produktseite http://www.avm.de/<br />
<strong>AVM</strong> Handbuch http://www.avm.de/handbuch<br />
<strong>AVM</strong> FAQ/Hilfe http://www.avm.de/serviceportal<br />
IPSec VPN Client<br />
as seen on LAN<br />
(192.168.178.201)<br />
192.168.178.21<br />
192.168.178.20<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 3/15
2 FRITZ!Box Fon WLAN 7270 VPN Konfiguration<br />
Dieses Kapitel beschreibt die Konfiguration der FRITZ!Box Fon WLAN 7270.<br />
2.1 Vorbereitungen<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Damit Ihre <strong>Fritz</strong>!Box über einen „Namen“ aus dem Internet erreichbar ist, sollten Sie einen dynamischen DNS<br />
Dienst konfigurieren. Klicken Sie hierzu in Ihrer <strong>Fritz</strong>!Box Benutzeroberfläche „Einstellungen“ – „Erweiterte<br />
Einstellungen“ – „Internet“ – „Freigaben“ und wählen den Tab „Dynamic DNS“. Hier können Sie einen<br />
dynamischen DNS Dienst konfigurieren, damit Ihre <strong>Fritz</strong>!Box über einen Namen, wie z.B. „myfritzbox.dyndns.de“<br />
aus dem Internet aufgerufen werden kann. Weitere Hilfe ur Einrichtung finden Sie unter http://www.avm.de.<br />
2.2 Die <strong>Fritz</strong> Fernzugang Konfigurationsdatei erstellen und einspielen<br />
Bitte laden Sie sich die FRITZ!Box-Fernzugang Software vom <strong>AVM</strong> VPN Portal herunter und installieren Sie<br />
diese: http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?portal=VPN<br />
Starten Sie nun das Programm über Start – Programme – <strong>Fritz</strong>!Fernzugang - <strong>Fritz</strong>!Fernzugang einrichten.<br />
Klicken Sie “Neu” um eine VPN Konfigurationsdatei für Ihren VPN Router zu erstellen.<br />
Wählen Sie die Option „Fernzugang für eine Benutzer einrichten“ und klicken Sie „Weiter“.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 4/15
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Geben Sie hier eine E-Mail Adresse ein (z.B. client@email.de). Diese E-Mail Adresse dient später als<br />
Identifizierungsmerkmal des Tunnel. Klicken Sie nun auf „Weiter“.<br />
Geben Sie hier bitte den DNS Namen Ihrer <strong>Fritz</strong>!Box (z.B. myfritzbox.dyndns.de) ein und klicken „Weiter“.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 5/15
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Wählen Sie hier die Option „Anderes IP-Netzwerk verwenden“ und geben Sie die Range des entfernten<br />
Netzwerks (das lokale Netzwerk hinter der <strong>Fritz</strong>!Box) an. In unserem Beispiel die 192.168.178.0 mit der<br />
Subnetzmaske 255.255.255.0. Als IP Adresse des Benutzers im Netz der <strong>Fritz</strong>!Box wählen Sie bitte eine IP, aus<br />
der Range des entfernten Netzwerks, hier z.B. die 192.168.178.201 und klicken Sie „Weiter“.<br />
Wichtig: Bitte beachten Sie, dass diese IP nicht vom integrierten DHCP Server der <strong>Fritz</strong>!Box verwaltet werden<br />
sollte. Per Werkseinstellung verwaltet der DHCP Server der <strong>Fritz</strong>!Box die Adressen 192.168.178.20 bis<br />
192.168.178.200.<br />
Wählen Sie die Option „Das Verzeichnis anzeigen, das die Konfigurationsdateien enthält“ und klicken Sie „Fertig<br />
stellen“.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 6/15
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Sie sehen nun, dass die FRITZ!Box-Fernzugang Software eine VPN Konfigurationsdatei für Ihren Router erstellt<br />
hat, hier z.B. fritzbox_myfritzbox_dyndns_de.cfg. Diese Datei muss nun in Ihre <strong>Fritz</strong>!Box eingespielt werden.<br />
Klicken Sie hierzu in Ihrer <strong>Fritz</strong>!Box Benutzeroberfläche „Einstellungen“ – „Erweiterte Einstellungen“ – „Internet“ –<br />
„Freigaben“ und wählen den Tab „VPN“.<br />
Klicken Sie hier „Durchsuchen“ und wählen Sie im anschließenden Dialog die VPN Konfigurationsdatei (z.B.<br />
fritzbox_myfritzbox_dyndns_de.cfg) aus und bestätigen Sie mit „Öffnen“. Klicken Sie nun „VPN-Einstellungen<br />
importieren“, die Konfigurationsdatei wird nun eingespielt. Nach erfolgreicher Einspielung sehen Sie unter „VPN<br />
Verbindungen“ den konfigurierten und betriebsbereiten Tunnel.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 7/15
3 <strong>TheGreenBow</strong> IPSec VPN Client Konfiguration<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Dieses Kapitel beschreibt die Konfigurationseinstellungen des <strong>TheGreenBow</strong> IPSec VPN Client.<br />
Die aktuellste Version des <strong>TheGreenBow</strong> IPSec VPN Client finden Sie auf der <strong>TheGreenBow</strong> Webseite:<br />
http://www.thegreenbow.de/vpn_down.html.<br />
3.1 VPN Client Phase 1 (IKE) Konfiguration<br />
Phase 1 Konfiguration<br />
Zur Benutzerauthentisierung verwenden wir in diesem Beispiel die Methode per Preshared Key.<br />
Weitere Möglichkeiten der Authentisierung wie z.B durch X.Auth, Token, Zertifikate usw. entnehmen Sie bitte<br />
Ihrer <strong>Fritz</strong>!Box Fon Dokumentation.<br />
Öffnen Sie die Konfigurationsdatei, hier z.B. fritzbox_myfritzbox_dyndns_de.cfg mit einem Texteditor. Suchen Sie<br />
die Zeile mit der Variable key =““ und verwenden Sie den Wert als Preshared Key im VPN Client.<br />
3.2 Phase 1 – Erweiterte Einstellungen<br />
Den zuvor konfigurierten<br />
dynamischen DNS Namen<br />
Den Preshared Key<br />
entnehmen Sie bitte der<br />
Konfigurationsdatei aus<br />
dem Wert der Variablen<br />
key = „xxxxxxxxx“<br />
Klicken Sie „P1 Erweitert“ um in die erweiterten Konfigurationseinstellungen der Phase 1 zu gelangen.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 8/15
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Aktivieren Sie die Option “Aggressive Mode”. Setzen Sie nun eine lokale ID für den Client. Wählen Sie hier als ID<br />
Typ „eMail“ und tragen Sie unter ID Wert die zuvor definierte E-Mailadresse, hier z.B. client@email.de ein.<br />
Bestätigen Sie die Einstellungen mit Klick auf „OK“.<br />
3.3 VPN Client Phase 2 (IPSec) Konfiguration<br />
Phase 2 Konfiguration<br />
VPN Client IP Adresse<br />
Address Range (und<br />
Subnetz)<br />
der <strong>Fritz</strong>!Box.<br />
Klicken Sie “Speichern & Anwenden” um alle Konfigurationseinstellungen zu sichern. Da die VPN Client Adresse<br />
in der Range des Remote Netzwerk liegt, erscheint eine Warnmeldung:<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 9/15
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
Überspringen Sie diese Warnung mit „OK“, Ihre <strong>Fritz</strong>!Box unterstützt dieses Feature in vollem Umfang. Der VPN<br />
Client wird nun reinitialisiert und ist nun betriebsbereit.<br />
3.4 IPSec VPN Tunnel öffnen<br />
1. Klicken Sie auf "Tunnel öffnen", das VPN Icon im Systemtray färbt sich grün, sobald der Tunnel etabliert ist.<br />
2. Über den Menüpunkt "Verbindungen" können Sie den Status der konfigurierten VPN Tunnel einsehen.<br />
3. Über den Menüpunkt "Konsole" haben Sie Einsicht in die Logdatei. Hier wird alle Kommunikation über das<br />
IPSec Protokoll zwischen Client und Gateway angezeigt.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 10/15
4 Fehlerbehebung<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
IPSec VPN Tunnel reagieren äußerst sensibel. Ein falscher oder fehlender Parameter kann einen erfolgreichen<br />
Tunnelaufbau verhindern. Hier einige Werkzeuge und Informationen zur Fehlerbehebung.<br />
4.1 Eine gute Netzwerkanalyse: Wireshark<br />
Wireshark ist eine freie Software (Freeware), mit der Sie Netzwerkpakete und Netzwerkverkehr analysieren<br />
können. Sie zeigt und protokolliert alle IP oder TCP Pakete an, die von der Netzwerkkarte empfangen werden.<br />
Die Software erhalten sie auf der Webseite http://www.wireshark.org. Sie kann zur Analyse der<br />
Protokollkommunikation zwischen 2 Geräten verwendet werden. Hilfe zur Installation und Verwendung vom<br />
Wireshark finden Sie hier: http://www.wireshark.org/docs/<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 11/15
5 VPN IPSec Troubleshooting<br />
5.1 « PAYLOAD MALFORMED » error (wrong Phase 1 [SA])<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
114920 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [SA][VID]<br />
114920 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [NOTIFY]<br />
114920 Default exchange_run: exchange_validate failed<br />
114920 Default dropped message from 195.100.205.114 port 500 due to notification<br />
type PAYLOAD_MALFORMED<br />
114920 Default SEND Informational [NOTIFY] with PAYLOAD_MALFORMED error<br />
Der Fehler « PAYLOAD MALFORMED » indiziert, dass die Einstellungen der Phase 1 im Client und Gateway<br />
nicht übereinstimmen. Prüfen Sie bitte die Verschlüsselungsalgorithmen auf beiden Seiten.<br />
5.2 « INVALID COOKIE » error<br />
115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105<br />
115933 Default dropped message from 195.100.205.114 port 500 due to notification<br />
type INVALID_COOKIE<br />
115933 Default SEND Informational [NOTIFY] with INVALID_COOKIE error<br />
Der Fehler « INVALID COOKIE » bedeutet, dass einer der Endpunkte (Client oder Gateway) eine Security<br />
Association (SA) verwendet, die nicht mehr aktiv oder gültig ist. Setzen Sie in diesem Fall bitte die VPN<br />
Verbindung auf beiden Seiten zurück.<br />
5.3 « no keystate » error<br />
115315 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [SA][VID]<br />
115317 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [SA][VID]<br />
115317 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [KEY][NONCE]<br />
115319 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [KEY][NONCE]<br />
115319 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]<br />
115319 Default ipsec_get_keystate: no keystate in ISAKMP SA 00B57C50<br />
Prüfen Sie bitte, dass der PreShared Key korrekt ist und mit dem im VPN Gateway hinterlegtem Schlüssel<br />
übereinstimmt. Prüfen Sie auch die erweiterten Einstellungen in der Phase 1. Achten Sie hier bitte genau auf die<br />
korrekte Konfiguration der lokalen und entfernten ID’s. In den Logdateien des VPN Gateways finden Sie in der<br />
Regel detailliertere Informationen, welcher Wert hier konkret als fehlerhaft angemahnt wird.<br />
5.4 « received remote ID other than expected » error<br />
120348 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [SA][VID]<br />
120349 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [SA][VID]<br />
120349 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [KEY][NONCE]<br />
120351 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [KEY][NONCE]<br />
120351 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]<br />
120351 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]<br />
120351 Default ike_phase_1_recv_ID: received remote ID other than expected<br />
support@thegreenbow.fr<br />
Die Remote ID (Typ und/oder Wert) in den erweiterten Einstellungen der Phase 1 stimmen nicht mit den<br />
Einstellungen des VPN Gateway überein.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 12/15
5.5 « NO PROPOSAL CHOSEN » error<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
115911 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [SA][VID]<br />
115913 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [SA][VID]<br />
115913 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [KEY][NONCE]<br />
115915 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [KEY][NONCE]<br />
115915 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]<br />
115915 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]<br />
115915 Default phase 1 done: initiator id c364cd70: 195.100.205.112, responder id<br />
c364cd72: 195.100.205.114, src: 195.100.205.112 dst: 195.100.205.114<br />
115915 Default (SA CNXVPN1-CNXVPN1-P2) SEND phase 2 Quick Mode<br />
[SA][KEY][ID][HASH][NONCE]<br />
115915 Default RECV Informational [HASH][NOTIFY] with NO_PROPOSAL_CHOSEN error<br />
115915 Default RECV Informational [HASH][DEL]<br />
115915 Default CNXVPN1-P1 deleted<br />
In diesem Fall stimmen die Verschlüsselungseinstellungen in der Phase 2 nicht mit denen des VPN Gateway<br />
überein. Prüfen Sie die Verschlüsselungseinstellungen in der Phase 1, wenn sich der Fehler so darstellt:<br />
115911 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [SA][VID]<br />
115911 Default RECV Informational [NOTIFY] with NO_PROPOSAL_CHOSEN error<br />
5.6 « INVALID ID INFORMATION » error<br />
122623 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [SA][VID]<br />
122625 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [SA][VID]<br />
122625 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [KEY][NONCE]<br />
122626 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [KEY][NONCE]<br />
122626 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY]<br />
122626 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY]<br />
122626 Default phase 1 done: initiator id c364cd70: 195.100.205.112, responder id<br />
c364cd72: 195.100.205.114, src: 195.100.205.112 dst: 195.100.205.114<br />
122626 Default (SA CNXVPN1-CNXVPN1-P2) SEND phase 2 Quick Mode<br />
[SA][KEY][ID][HASH][NONCE]<br />
122626 Default RECV Informational [HASH][NOTIFY] with INVALID_ID_INFORMATION error<br />
122626 Default RECV Informational [HASH][DEL]<br />
122626 Default CNXVPN1-P1 deleted<br />
Prüfen Sie bei diesem Fehler die Netzwerkeinstellungen der Phase 2. Diese müssen explizit mit der Konfiguration<br />
des VPN Gateways übereinstimmen. Beachten Sie hier besonders die Werte der VPN Client IP und der<br />
Netzwerkadresse. Prüfen Sie auch den Typ (Subnetz oder Einzeladresse).<br />
5.7 Ich klicke auf “Tunnel öffnen”, aber nichts passiert.<br />
Prüfen Sie die Logdateien auf beiden Seiten (Client und Gateway). Die IKE Anfragen könnten hier durch eine<br />
Firewall blockiert werden. IPSec VPNs verwenden das UDP Ports 500 und 4500, sowie das<br />
Protokoll ESP (Protokoll 50).<br />
5.8 Der VPN Tunnel ist aktiv aber ich kann nicht pingen!<br />
Ist der VPN Tunnel etabliert, aber das entfernte Netzwerk lässt sich nicht anpingen, prüfen Sie bitte folgende<br />
Optionen und Einstellungen:<br />
• Phase 2 Einstellungen: VPN Client Adresse and Remote LAN Adresse. Üblicherweise darf die VPN<br />
Client IP Adresse nicht innerhalb der Range des Subnet hinter dem VPN Gateway liegen.<br />
• Ist der Tunnel geöffnet, werden Pakete mittels des ESP Protokoll übertragen. Dies könnte durch eine<br />
Firewall blockiert werden. Prüfen Sie jedes Gerät zwischen VPN Client und VPN Gateway, ob dies der<br />
Fall ist.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 13/15
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
• Prüfen Sie die Logdateien des VPN Gateway. Auch hier können Firewalleinstellungen die<br />
Kommunikation blockieren.<br />
• Prüfen Sie bitte, ob Ihr Zugangsprovider ESP Paketübertragungen unterstützt.<br />
• Prüfen Sie die “Standardgateway” Einstellungen im entfernten Netzwerk. Ein Zielhost im entfernten<br />
Netzwerk könnte wohlmöglich die Pings empfangen, jedoch an ein falsches Gateway antworten.<br />
• Möglicherweise können Sie den Zielhost nicht über seinen Namen erreichen. Probieren Sie stattdessen<br />
die interne IP Adresse.<br />
• Zur weiteren Analyse empfehlen wir Wireshark (http://www.wireshark.org) um zu prüfen, ob die Pings im<br />
entfernten Netzwerk ankommen.<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 14/15
6 Kontakt<br />
News und Updates auf der <strong>TheGreenBow</strong> Website: http://www.thegreenbow.de/<br />
Technischer Suppoert per E-Mail: support@thegreenbow.de<br />
Vertrieb: sales@thegreenbow.de<br />
Doc.Ref<br />
tgbvpn_cg-avm-fritzbox-fon-WLAN-<br />
7270-de<br />
Doc.version 3.0 – Dec 2009<br />
VPN version 4.5x<br />
IPSec VPN Router Configuration Property of <strong>TheGreenBow</strong> Sistech SA - © Sistech 2001-2009 15/15