Nach langen Versuchen ist es mir gelungen einen Site2Site-Tunnel zwischen meiner AVM FRITZ!Box 7390 (Fritz!OS 6.83) Zuhause und unser SonicWALL TZ 400 (SonicOS Enhanced 6.2.7.1-23n) im Büro aufzubauen.
Auf der Seite FRITZ!Box mit einem Firmen-VPN verbinden auf der AVM-Website wird beschrieben welche Voraussetzungen auf der Firmenseite (= SonicWALL) geschaffen werden müssen und was auf der Fritzbox unter „Internet/Freigaben/VPN/VPN-Verbindung hinzufügen/Diese FRITZ!Box mit einem Firmen-VPN verbinden“ eingestellt werden muß um den Site2Site-Tunnel aufzubauen. Es ist mir auch gelungen den Tunnel auf diese Weise einzurichten und aktiv zu bekommen. Der Knackpunkt war dabei der auf der Fritzbox angefragte „VPN-Benutzername(Key-ID)“. Dieser muß identisch sein mit der „Peer IKE ID (Key Identifier)“ auf der SonicWALL. Auf der SonicWALL sah anschließend auch alles OK aus, aber auf der Fritzbox wird bei dem Tunnel trotz grünem Status sowohl „lokales Netz“ als auch „entferntes Netz“ mit „0.0.0.0“ angezeigt und es ist in keiner Richtung eine Nutzung (nicht mal Ping) möglich.
Also habe ich mir wie z.B. in diesem XING-Thread teilweise beschrieben, das Programm „Fritz!Fernzugang einrichten“ von der AVM-Website heruntergeladen. Nach dem Start habe ich die Option „Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten“ gewählt und dann in den beiden Schritten für die „FRITZ!Box 1“ meine „MyFRITZ!-Adresse“ (xxxxxxxxxxxxxxxx.myfritz.net) und ein beliebiges IP-Netz eingegeben (das bei mir Zuhause genutzte Fritzbox-Standardnetzwerk 192.168.178.0/24 ist an dieser Stelle nicht zugelassen). In den beiden Schritten für die „FRITZ!Box 2“ habe ich dann den FQDN der SonicWALL und die IP-Informationen des LAN im Büro eingetragen. Dadurch wurden zwei cfg-Dateien im Programmordner von FRITZ!Fernzugang erzeugt. Die Datei im mit meiner MyFRITZ!-Adresse benannten Ordner (also die für die lokale Fritzbox) habe ich dann noch wie folgt bearbeitet und letztlich verwendet:
- use_nat_t = no; (war yes)
- always_renew = yes; (war no)
- key = „der_von_mir_gewaehlte_komplexe_und_lange_Key“;
- ipaddr = 192.168.178.0; (im Bereich phase2localid; war die vorher eingegebene beliebige IP)
- phase1ss = „LT8h/all/all/all“; (war „all/all/all“)
- phase2ss = „esp-3des-sha/ah-no/comp-no/no-pfs“; (war „esp-all-all/ah-none/comp-all/pfs“)
Ich habe in der Fritzbox zuerst die von den vorherigen Versuchen vorhandene „VPN-Verbindung“ gelöscht und mit „Internet/Freigaben/VPN/VPN-Verbindung hinzufügen/Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren“ die bearbeitete cfg-Datei importiert, was länger als erwartet dauert (ca. 30 Sekunden). Was auffällt ist, dass die so erzeugte VPN-Verbindung nicht editiert werden kann. Der „Stift-Button“ fehlt bei importierten Verbindungen.
[Update] Die Möglichkeit andere IPsec Proposals zu verwenden habe ich in einem Blogeintrag gefunden, da diese Informationen nicht auf der AVM-Website dokumentiert sind. So wird z.B. ohne das vorangestellte „LT8h“ von der Fritzbox eine Lifetime von 1 Stunde verwendet. Und angeblich klappt ein von der Fritzbox veranlaßter Reconnect nur, wenn man für die Phase2 ein Proposal mit „…comp-no…“ verwendet. In einem anderen Blogbeitrag habe ich dann ein (älteres) Listing der Datei „/etc/default/avm/ipsec.cfg“ der Fritzbox gefunden, in der alle verfügbaren Proposals definiert sind.
Der Tunnel ist jetzt mit der beschriebenen Konfiguration (anonymisiert; „_.txt“ am Ende entfernen) seit mehreren Tagen stabil.
Auf der SonicWALL habe ich zuerst ein Address Object „Mein_Home_LAN“ (unter Netzwerk/Address Objects: Zone VPN; Network; 192.168.178.0; 255.255.255.0) erzeugt und dann unter VPN/Settings eine VPN-Policy mit folgenden Eigenschaften angelegt:
General
- Policy Type: Site to Site
- Authentication Method: IKE using Preshared Secret
- Name: Mein_Home_Tunnel
- IPsec Primary Gateway Name or Address: xxxxxxxxxxxxxxxx.myfritz.net
- IPsec Secondary Gateway Name or Address: 0.0.0.0
- Shared Secret: der_von_mir_gewaehlte_komplexe_und_lange_Key
- Local IKE ID: Domain Name: Der FQDN der SonicWALL
- Peer IKE ID: Domain Name: xxxxxxxxxxxxxxxx.myfritz.net
Network
- Choose local network from list: X0 Subnet
- Choose destination network from list: Mein_Home_LAN
Proposals
- Exchange: Aggressive Mode
- DH Group: Group 2
- Encryption: 3DES
- Authentication: SHA1
- Life Time (seconds): 28800
- Protocol: ESP
- Encryption: 3DES
- Authentication: SHA1
- Enable Perfect Forward Secrecy: Nicht aktiviert
- Life Time (seconds): 3600
Advanced
- Alle Optionen auf der Seite Advanced: nicht aktiviert
Unter VPN/Advanced (global, nicht in den Eigenschaften der VPN-Policy) sind folgende Optionen gewählt:
- Enable IKE Dead Peer Detection: aktiviert
- Clean up Active tunnels when Peer Gateway DNS name resolves to a different IP address: aktivert
- Alle anderen Optionen auf der Seite Advanced: nicht aktiviert