AVM Fritz! - TheGreenBow

TheGreenBow IPSec VPN Client 

Konfigurationsbeispiel 

AVM Fritz!Box Fon WLAN 

7270 

Diese Anleitung gilt auch für andere VPN unterstützende 

Geräte von AVM wie z.B.: 

FRITZ!Box WLAN 3270 

FRITZ!Box Fon WLAN 7170 

FRITZ!Box WLAN 3170 

FRITZ!Box Fon WLAN 7390 

WebSite: http://www.thegreenbow.de/ 

Kontakt: mailto:support@thegreenbow.de 

Configuration Guide written by: 

Autor: Timm Richter 

Firma: www.thegreenbow.de 

IPSec VPN Router Configuration Property of TheGreenBow Sistech SA - © Sistech 2001-2009 1/15

Inhalt 

Doc.Ref 

tgbvpn_cg-avm-fritzbox-fon-WLAN- 

7270-de 

Doc.version 3.0 – Dec 2009 

VPN version 4.5x 

1 Einleitung ....................................................................................................................................................... 3 

1.1 Ziel der Anleitung ...................................................................................................................................... 3 

1.2 VPN Netzwerktopologie ............................................................................................................................ 3 

1.3 FRITZ!Box Fon WLAN 7270 Einschränkungen......................................................................................... 3 

1.4 FRITZ!Box Fon WLAN 7270 VPN Gateway.............................................................................................. 3 

1.5 FRITZ!Box Fon WLAN 7270 VPN Gateway Produktinformationen........................................................... 3 

2 FRITZ!Box Fon WLAN 7270 VPN Konfiguration............................................................................................ 4 

2.1 Vorbereitungen.......................................................................................................................................... 4 

2.2 Die Fritz Fernzugang Konfigurationsdatei erstellen und einspielen .......................................................... 4 

3 TheGreenBow IPSec VPN Client Konfiguration............................................................................................. 8 

3.1 VPN Client Phase 1 (IKE) Konfiguration ................................................................................................... 8 

3.2 Phase 1 – Erweiterte Einstellungen .......................................................................................................... 8 

3.3 VPN Client Phase 2 (IPSec) Konfiguration ............................................................................................... 9 

3.4 IPSec VPN Tunnel öffnen ....................................................................................................................... 10 

4 Fehlerbehebung........................................................................................................................................... 11 

4.1 Eine gute Netzwerkanalyse: Wireshark................................................................................................... 11 

5 VPN IPSec Troubleshooting ........................................................................................................................ 12 

5.1 « PAYLOAD MALFORMED » error (wrong Phase 1 [SA])..................................................................... 12 

5.2 « INVALID COOKIE » error..................................................................................................................... 12 

5.3 « no keystate » error ............................................................................................................................... 12 

5.4 « received remote ID other than expected » error................................................................................... 12 

5.5 « NO PROPOSAL CHOSEN » error ....................................................................................................... 13 

5.6 « INVALID ID INFORMATION » error..................................................................................................... 13 

5.7 Ich klicke auf “Tunnel öffnen”, aber nichts passiert. ................................................................................ 13 

5.8 Der VPN Tunnel ist aktiv aber ich kann nicht pingen! ............................................................................. 13 

6 Kontakt......................................................................................................................................................... 15 


1 Einleitung 

1.1 Ziel der Anleitung 

Doc.Ref 


7270-de 



Dieses Konfigurationsbeispiel beschreibt eine mögliche Konfiguration des TheGreenBow IPSec VPN Client, um 

einen IPSec Tunnel zu einer FRITZ!Box Fon WLAN 7270 und dem dahinter liegenden Firmen- oder 

Heimnetzwerk aufbauen zu können. 

1.2 VPN Netzwerktopologie 

Dieses Beispiel zeigt, wie wir den TheGreenBow IPSec Client in das lokale Netzwerk hinter der AVM Fritz!Box 

Fon verbinden. Der Rechner mit dem VPN Client ist mit dem Internet über DSL oder einem Firmennetzwerk 

verbinden. Die hier aufgeführten IP Adressen und Ranges dienen nur als Beispiel. 

IPSec VPN Client 

(Remote) 

mygateway.dyndns.org 

Internet 

1.3 FRITZ!Box Fon WLAN 7270 Einschränkungen 

Ältere Firmwareversionen der FRITZ!Box Fon WLAN 7270 beinhalteten noch keine IPSec VPN Unterstützung. 

Bitte verwenden Sie daher die aktuellste Firmware von AVM, welche volle IPSec VPN Kompatibilität 

gewährleistet. Die Firmwareversion wird auf der Hauptübersichtsseite der Benutzeroberfläche rechts oben 

angezeigt. Mehr Informationen finden Sie unter http://www.avm.de. 

1.4 FRITZ!Box Fon WLAN 7270 VPN Gateway 

192.168.178.1 

FRITZ!Box Fon 

Unseren Test haben wir mit einer FRITZ!Box Fon WLAN 7270 mit der Firmware Version 74.04.76 durchgeführt. 

1.5 FRITZ!Box Fon WLAN 7270 VPN Gateway Produktinformationen 

Alle Produktinformationen, Handbücher, FAQ und Hilfestellung zu Ihrer FRITZ!Box Fon WLAN 7270 finden Sie 

auf den AVM Fritz! Webseiten: http://www.avm.de/. 

AVM Produktseite http://www.avm.de/ 

AVM Handbuch http://www.avm.de/handbuch 

AVM FAQ/Hilfe http://www.avm.de/serviceportal 

IPSec VPN Client 

as seen on LAN 

(192.168.178.201) 

192.168.178.21 

192.168.178.20 


2 FRITZ!Box Fon WLAN 7270 VPN Konfiguration 

Dieses Kapitel beschreibt die Konfiguration der FRITZ!Box Fon WLAN 7270. 

2.1 Vorbereitungen 

Doc.Ref 


7270-de 



Damit Ihre Fritz!Box über einen „Namen“ aus dem Internet erreichbar ist, sollten Sie einen dynamischen DNS 

Dienst konfigurieren. Klicken Sie hierzu in Ihrer Fritz!Box Benutzeroberfläche „Einstellungen“ – „Erweiterte 

Einstellungen“ – „Internet“ – „Freigaben“ und wählen den Tab „Dynamic DNS“. Hier können Sie einen 

dynamischen DNS Dienst konfigurieren, damit Ihre Fritz!Box über einen Namen, wie z.B. „myfritzbox.dyndns.de“ 

aus dem Internet aufgerufen werden kann. Weitere Hilfe ur Einrichtung finden Sie unter http://www.avm.de. 

2.2 Die Fritz Fernzugang Konfigurationsdatei erstellen und einspielen 

Bitte laden Sie sich die FRITZ!Box-Fernzugang Software vom AVM VPN Portal herunter und installieren Sie 

diese: http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?portal=VPN 

Starten Sie nun das Programm über Start – Programme – Fritz!Fernzugang - Fritz!Fernzugang einrichten. 

Klicken Sie “Neu” um eine VPN Konfigurationsdatei für Ihren VPN Router zu erstellen. 

Wählen Sie die Option „Fernzugang für eine Benutzer einrichten“ und klicken Sie „Weiter“. 


Doc.Ref 


7270-de 



Geben Sie hier eine E-Mail Adresse ein (z.B. client@email.de). Diese E-Mail Adresse dient später als 

Identifizierungsmerkmal des Tunnel. Klicken Sie nun auf „Weiter“. 

Geben Sie hier bitte den DNS Namen Ihrer Fritz!Box (z.B. myfritzbox.dyndns.de) ein und klicken „Weiter“. 


Doc.Ref 


7270-de 



Wählen Sie hier die Option „Anderes IP-Netzwerk verwenden“ und geben Sie die Range des entfernten 

Netzwerks (das lokale Netzwerk hinter der Fritz!Box) an. In unserem Beispiel die 192.168.178.0 mit der 

Subnetzmaske 255.255.255.0. Als IP Adresse des Benutzers im Netz der Fritz!Box wählen Sie bitte eine IP, aus 

der Range des entfernten Netzwerks, hier z.B. die 192.168.178.201 und klicken Sie „Weiter“. 

Wichtig: Bitte beachten Sie, dass diese IP nicht vom integrierten DHCP Server der Fritz!Box verwaltet werden 

sollte. Per Werkseinstellung verwaltet der DHCP Server der Fritz!Box die Adressen 192.168.178.20 bis 

192.168.178.200. 

Wählen Sie die Option „Das Verzeichnis anzeigen, das die Konfigurationsdateien enthält“ und klicken Sie „Fertig 

stellen“. 


Doc.Ref 


7270-de 



Sie sehen nun, dass die FRITZ!Box-Fernzugang Software eine VPN Konfigurationsdatei für Ihren Router erstellt 

hat, hier z.B. fritzbox_myfritzbox_dyndns_de.cfg. Diese Datei muss nun in Ihre Fritz!Box eingespielt werden. 

Klicken Sie hierzu in Ihrer Fritz!Box Benutzeroberfläche „Einstellungen“ – „Erweiterte Einstellungen“ – „Internet“ – 

„Freigaben“ und wählen den Tab „VPN“. 

Klicken Sie hier „Durchsuchen“ und wählen Sie im anschließenden Dialog die VPN Konfigurationsdatei (z.B. 

fritzbox_myfritzbox_dyndns_de.cfg) aus und bestätigen Sie mit „Öffnen“. Klicken Sie nun „VPN-Einstellungen 

importieren“, die Konfigurationsdatei wird nun eingespielt. Nach erfolgreicher Einspielung sehen Sie unter „VPN 

Verbindungen“ den konfigurierten und betriebsbereiten Tunnel. 


3 TheGreenBow IPSec VPN Client Konfiguration 

Doc.Ref 


7270-de 



Dieses Kapitel beschreibt die Konfigurationseinstellungen des TheGreenBow IPSec VPN Client. 

Die aktuellste Version des TheGreenBow IPSec VPN Client finden Sie auf der TheGreenBow Webseite: 

http://www.thegreenbow.de/vpn_down.html. 

3.1 VPN Client Phase 1 (IKE) Konfiguration 

Phase 1 Konfiguration 

Zur Benutzerauthentisierung verwenden wir in diesem Beispiel die Methode per Preshared Key. 

Weitere Möglichkeiten der Authentisierung wie z.B durch X.Auth, Token, Zertifikate usw. entnehmen Sie bitte 

Ihrer Fritz!Box Fon Dokumentation. 

Öffnen Sie die Konfigurationsdatei, hier z.B. fritzbox_myfritzbox_dyndns_de.cfg mit einem Texteditor. Suchen Sie 

die Zeile mit der Variable key =““ und verwenden Sie den Wert als Preshared Key im VPN Client. 

3.2 Phase 1 – Erweiterte Einstellungen 

Den zuvor konfigurierten 

dynamischen DNS Namen 

Den Preshared Key 

entnehmen Sie bitte der 

Konfigurationsdatei aus 

dem Wert der Variablen 

key = „xxxxxxxxx“ 

Klicken Sie „P1 Erweitert“ um in die erweiterten Konfigurationseinstellungen der Phase 1 zu gelangen. 


Doc.Ref 


7270-de 



Aktivieren Sie die Option “Aggressive Mode”. Setzen Sie nun eine lokale ID für den Client. Wählen Sie hier als ID 

Typ „eMail“ und tragen Sie unter ID Wert die zuvor definierte E-Mailadresse, hier z.B. client@email.de ein. 

Bestätigen Sie die Einstellungen mit Klick auf „OK“. 

3.3 VPN Client Phase 2 (IPSec) Konfiguration 

Phase 2 Konfiguration 

VPN Client IP Adresse 

Address Range (und 

Subnetz) 

der Fritz!Box. 

Klicken Sie “Speichern & Anwenden” um alle Konfigurationseinstellungen zu sichern. Da die VPN Client Adresse 

in der Range des Remote Netzwerk liegt, erscheint eine Warnmeldung: 


Doc.Ref 


7270-de 



Überspringen Sie diese Warnung mit „OK“, Ihre Fritz!Box unterstützt dieses Feature in vollem Umfang. Der VPN 

Client wird nun reinitialisiert und ist nun betriebsbereit. 

3.4 IPSec VPN Tunnel öffnen 

1. Klicken Sie auf "Tunnel öffnen", das VPN Icon im Systemtray färbt sich grün, sobald der Tunnel etabliert ist. 

2. Über den Menüpunkt "Verbindungen" können Sie den Status der konfigurierten VPN Tunnel einsehen. 

3. Über den Menüpunkt "Konsole" haben Sie Einsicht in die Logdatei. Hier wird alle Kommunikation über das 

IPSec Protokoll zwischen Client und Gateway angezeigt. 


4 Fehlerbehebung 

Doc.Ref 


7270-de 



IPSec VPN Tunnel reagieren äußerst sensibel. Ein falscher oder fehlender Parameter kann einen erfolgreichen 

Tunnelaufbau verhindern. Hier einige Werkzeuge und Informationen zur Fehlerbehebung. 

4.1 Eine gute Netzwerkanalyse: Wireshark 

Wireshark ist eine freie Software (Freeware), mit der Sie Netzwerkpakete und Netzwerkverkehr analysieren 

können. Sie zeigt und protokolliert alle IP oder TCP Pakete an, die von der Netzwerkkarte empfangen werden. 

Die Software erhalten sie auf der Webseite http://www.wireshark.org. Sie kann zur Analyse der 

Protokollkommunikation zwischen 2 Geräten verwendet werden. Hilfe zur Installation und Verwendung vom 

Wireshark finden Sie hier: http://www.wireshark.org/docs/ 


5 VPN IPSec Troubleshooting 

5.1 « PAYLOAD MALFORMED » error (wrong Phase 1 [SA]) 

Doc.Ref 


7270-de 



114920 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [SA][VID] 

114920 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [NOTIFY] 

114920 Default exchange_run: exchange_validate failed 

114920 Default dropped message from 195.100.205.114 port 500 due to notification 

type PAYLOAD_MALFORMED 

114920 Default SEND Informational [NOTIFY] with PAYLOAD_MALFORMED error 

Der Fehler « PAYLOAD MALFORMED » indiziert, dass die Einstellungen der Phase 1 im Client und Gateway 

nicht übereinstimmen. Prüfen Sie bitte die Verschlüsselungsalgorithmen auf beiden Seiten. 

5.2 « INVALID COOKIE » error 

115933 Default message_recv: invalid cookie(s) 5918ca0c2634288f 7364e3e486e49105 

115933 Default dropped message from 195.100.205.114 port 500 due to notification 

type INVALID_COOKIE 

115933 Default SEND Informational [NOTIFY] with INVALID_COOKIE error 

Der Fehler « INVALID COOKIE » bedeutet, dass einer der Endpunkte (Client oder Gateway) eine Security 

Association (SA) verwendet, die nicht mehr aktiv oder gültig ist. Setzen Sie in diesem Fall bitte die VPN 

Verbindung auf beiden Seiten zurück. 

5.3 « no keystate » error 


115317 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [SA][VID] 

115317 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [KEY][NONCE] 

115319 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [KEY][NONCE] 

115319 Default (SA CNXVPN1-P1) SEND phase 1 Main Mode [ID][HASH][NOTIFY] 

115319 Default ipsec_get_keystate: no keystate in ISAKMP SA 00B57C50 

Prüfen Sie bitte, dass der PreShared Key korrekt ist und mit dem im VPN Gateway hinterlegtem Schlüssel 

übereinstimmt. Prüfen Sie auch die erweiterten Einstellungen in der Phase 1. Achten Sie hier bitte genau auf die 

korrekte Konfiguration der lokalen und entfernten ID’s. In den Logdateien des VPN Gateways finden Sie in der 

Regel detailliertere Informationen, welcher Wert hier konkret als fehlerhaft angemahnt wird. 

5.4 « received remote ID other than expected » error 






120351 Default (SA CNXVPN1-P1) RECV phase 1 Main Mode [ID][HASH][NOTIFY] 

120351 Default ike_phase_1_recv_ID: received remote ID other than expected 

support@thegreenbow.fr 

Die Remote ID (Typ und/oder Wert) in den erweiterten Einstellungen der Phase 1 stimmen nicht mit den 

Einstellungen des VPN Gateway überein. 


5.5 « NO PROPOSAL CHOSEN » error 

Doc.Ref 


7270-de 









115915 Default phase 1 done: initiator id c364cd70: 195.100.205.112, responder id 

c364cd72: 195.100.205.114, src: 195.100.205.112 dst: 195.100.205.114 

115915 Default (SA CNXVPN1-CNXVPN1-P2) SEND phase 2 Quick Mode 

[SA][KEY][ID][HASH][NONCE] 

115915 Default RECV Informational [HASH][NOTIFY] with NO_PROPOSAL_CHOSEN error 

115915 Default RECV Informational [HASH][DEL] 

115915 Default CNXVPN1-P1 deleted 

In diesem Fall stimmen die Verschlüsselungseinstellungen in der Phase 2 nicht mit denen des VPN Gateway 

überein. Prüfen Sie die Verschlüsselungseinstellungen in der Phase 1, wenn sich der Fehler so darstellt: 


115911 Default RECV Informational [NOTIFY] with NO_PROPOSAL_CHOSEN error 

5.6 « INVALID ID INFORMATION » error 







122626 Default phase 1 done: initiator id c364cd70: 195.100.205.112, responder id 

c364cd72: 195.100.205.114, src: 195.100.205.112 dst: 195.100.205.114 

122626 Default (SA CNXVPN1-CNXVPN1-P2) SEND phase 2 Quick Mode 

[SA][KEY][ID][HASH][NONCE] 

122626 Default RECV Informational [HASH][NOTIFY] with INVALID_ID_INFORMATION error 

122626 Default RECV Informational [HASH][DEL] 

122626 Default CNXVPN1-P1 deleted 

Prüfen Sie bei diesem Fehler die Netzwerkeinstellungen der Phase 2. Diese müssen explizit mit der Konfiguration 

des VPN Gateways übereinstimmen. Beachten Sie hier besonders die Werte der VPN Client IP und der 

Netzwerkadresse. Prüfen Sie auch den Typ (Subnetz oder Einzeladresse). 

5.7 Ich klicke auf “Tunnel öffnen”, aber nichts passiert. 

Prüfen Sie die Logdateien auf beiden Seiten (Client und Gateway). Die IKE Anfragen könnten hier durch eine 

Firewall blockiert werden. IPSec VPNs verwenden das UDP Ports 500 und 4500, sowie das 

Protokoll ESP (Protokoll 50). 

5.8 Der VPN Tunnel ist aktiv aber ich kann nicht pingen! 

Ist der VPN Tunnel etabliert, aber das entfernte Netzwerk lässt sich nicht anpingen, prüfen Sie bitte folgende 

Optionen und Einstellungen: 

• Phase 2 Einstellungen: VPN Client Adresse and Remote LAN Adresse. Üblicherweise darf die VPN 

Client IP Adresse nicht innerhalb der Range des Subnet hinter dem VPN Gateway liegen. 

• Ist der Tunnel geöffnet, werden Pakete mittels des ESP Protokoll übertragen. Dies könnte durch eine 

Firewall blockiert werden. Prüfen Sie jedes Gerät zwischen VPN Client und VPN Gateway, ob dies der 

Fall ist. 


Doc.Ref 


7270-de 



• Prüfen Sie die Logdateien des VPN Gateway. Auch hier können Firewalleinstellungen die 

Kommunikation blockieren. 

• Prüfen Sie bitte, ob Ihr Zugangsprovider ESP Paketübertragungen unterstützt. 

• Prüfen Sie die “Standardgateway” Einstellungen im entfernten Netzwerk. Ein Zielhost im entfernten 

Netzwerk könnte wohlmöglich die Pings empfangen, jedoch an ein falsches Gateway antworten. 

• Möglicherweise können Sie den Zielhost nicht über seinen Namen erreichen. Probieren Sie stattdessen 

die interne IP Adresse. 

• Zur weiteren Analyse empfehlen wir Wireshark (http://www.wireshark.org) um zu prüfen, ob die Pings im 

entfernten Netzwerk ankommen. 


6 Kontakt 

News und Updates auf der TheGreenBow Website: http://www.thegreenbow.de/ 

Technischer Suppoert per E-Mail: support@thegreenbow.de 

Vertrieb: sales@thegreenbow.de 

Doc.Ref 


7270-de

AVM Fritz! - TheGreenBow

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?