PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Site-to-Site VPN zwischen linux und Fritzbox



hawk0815
14.01.15, 13:36
Hi,

ich versuche seit mehreren Tagen eine Site-to-Site vpn verbindung zwischen einem Ubuntu Linux und einer Fritzbox hinzubekommen, leider bekomme ich keine Verbindung zu stande.

hier sind meine Konfigurationen:

Konfig Datei die in die Frtizbox geladen wurde:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "31.XXX.XXX.XXX";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 31.XXX.XXX.XXX;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "fbXXX.no-ip.biz";
}
remoteid {
ipaddr = 31.XXX.XXX.XXX;
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "Dh9tgxD8p5HNhQedKfiDoA93";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.101.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.101.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}



Konfiguration auf dem Linux Server:
ipsec.conf


# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
# strictcrlpolicy=yes
# uniqueids = no

conn test
left=31.xxx.xxx.xxx
leftsubnet=192.168.101.0/24
#
ike=aes128-sha-modp1024
esp=aes128-sha1
#
right=fbxxx.no-ip.biz
rightid=@fbxxx.no-ip.biz
rightsubnet=192.168.2.0/24
#
ikelifetime=4h
keylife=1h
#
authby=secret
auto=add



ipsec.secrets (wenn das mal läuft werde ich den ändern ;-) )


# This file holds shared secrets or RSA private keys for authentication.

%any :PSK "Dh9tgxD8p5HNhQedKfiDoA93"



wenn ich versuche mit "ipsec up test" den Tunnel zu starten erhalte ich das.



root@sv01:/etc# ipsec up test
initiating IKE_SA test[161] to 91.XXX.XXX.XXX
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
sending packet: from 31.XXX.XXX.XXX[500] to 91.XXX.XXX.XXX[500] (1044 bytes)
retransmit 1 of request with message ID 0
sending packet: from 31.XXX.XXX.XXX[500] to 91.XXX.XXX.XXX[500] (1044 bytes)
retransmit 2 of request with message ID 0
sending packet: from 31.XXX.XXX.XXX[500] to 91.XXX.XXX.XXX[500] (1044 bytes)
retransmit 3 of request with message ID 0
sending packet: from 31.XXX.XXX.XXX[500] to 91.XXX.XXX.XXX[500] (1044 bytes)
retransmit 4 of request with message ID 0
sending packet: from 31.XXX.XXX.XXX[500] to 91.XXX.XXX.XXX[500] (1044 bytes)
retransmit 5 of request with message ID 0
sending packet: from 31.XXX.XXX.XXX[500] to 91.XXX.XXX.XXX[500] (1044 bytes)
giving up after 5 retransmits
peer not responding, trying again (2/3)




wenn ich aus dem netz der FB eine ip im 192.168.101.0/24 Netz anzupingen sehe ich das im System log der FB.


14.01.15 13:08:22 VPN-Fehler: 31.xxx.xxx.xxx, IKE-Error 0x2005


Öffentlich ip des Linux Servers: 31.XXX.XXX.XXX
Öffentlich ip der Fritzbox 91.XXX.XXX.XXX
Privates Netz der Fritzbox 192.168.2.0/24
Privates Netz Hinter dem Server 192.168.101.0/24

Der Server selber hat das Netzt 192.168.101.0/24 nicht, er hat aber eine Route in das Netzt.