IPSEC VPN zwischen Fritzbox und Firebox

Site-to-Site VPN zwischen Watchguard Firebox und AVM Fritzbox

Das Internet ist voll mit Tipps und Tricks, wie man zwei Netzwerke über ein IPSEC-VPN verbindet, wenn eine AVM Fritzbox involviert ist. Leider sind einige dieser Anweisungen ungenau oder z.T. falsch resp. funktionieren nur weil die andere VPN-Partei auf Fallback-Parameter zurückgreift und damit die Verbindung zu Stande kommt - allerdings mit fragwürdigen Sicherheitsparametern. Unsere Erfahrungen decken sich mit denen vom Blog Webernetz.net wonach sich die von AVM angebotenen Phase1/2-Parameter nicht deterministisch verhalten und im Verbindungsaufbau nicht das verwendet wird, was in der Konfigurationsdatei angegeben wurde. Wir haben hier im folgenden ein funktionierendes Beispiel, mit möglichst streng definierten Parametern (die optimalen Parameter haben wir leider auf unserer vorliegenden Hardware nicht zum laufen gebracht) und genauen Anweisungen zur Einrichtung. Diese Einstellungen sind primär für die Verbindung zwischen einer AVM Fritzbox und einer Watchguard Firebox gedacht, funktionieren aber auch mit anderen VPN-Endpunkten (wie Zyxel USG oder Cisco VPN-Router) auf denen man die IPSEC/IKE-Parameter genau einstellen kann.

Folgende Rahmenbedingungen sind in unserem Fall vorhanden:

• Watchguard Firebox mit Fireware 12.1.1, mit fixer IPv4-Adresse
• AVM Fritzbox 7490 mit OS 06.83, dynamische IPv4-Adresse
• Die Fritzbox kann kein IKEv2, nur IKEv1 und die Verbindung wird im aggressive Mode hergestellt
• Entgegen der Information auf der Seite von Thomas Candrian und auf der VPN-Seite von AVM zur Fritzbox 7490 hat unsere Fritzbox 7490 nie SHA2 angeboten, nur SHA1
• Ignorieren Sie alte Informationen, die eine Verbindung mit einer Watchguard Firebox mit 3DES-Verschlüsselung empfehlen
• Folgen Sie nicht den Anweisungen auf der AVM-Seite zur Einrichtung einer Verbindung zu einem Firmennetzwerk, verwenden Sie stattdessen eine Konfigurationsdatei und lesen Sie diese auf der Fritzbox ein.

Es wird ein Tunnel mit folgenden Sicherheitsparametern aufgebaut:

• IKEv1, Aggressive Mode, no NAT-Traversal, Dead Peer Detection
• Transform Settings Phase 1: Auth SHA1, Enc AES-256, SA Lifetime 24 hours, DH-Key-Group 2
• Phase 2: PFS DH-Key-Group 2, Proposals ESP, Auth SHA1, Enc AES-256, Key Expiration 24 hours

Stellen Sie die obigen Parameter unter VPN Gateway und VPN Tunnel auf der Firebox ein. Da die Fritzbox ein dynamischer Endpunkt ist, definieren Sie unter Remote Gateway eine Tunnel Authentication vom Typ Dynamic IP address und definieren als Domain Name eine Zeichenfolge (im Beispiel "remotegatewayID" - Anders als Domain Name suggeriert, muss es kein gültiger Domain-Name sein; eine eindeutige Zeichenkette genügt). Die Firebox ist unter der fixe IPv4 1.1.1.1 erreichbar und diese ID wird auch bei Local Gateway in der Firebox-Konfiguration angegeben. Das Netzwerk auf Seite der Fritzbox ist 192.168.178.0/24 und das auf Seite der Firebox 192.168.278.0/24. Passen Sie die folgende Konfigurationsdatei auf Ihre Bedürfnisse an und laden Sie diese unter Internet - Freigaben - VPN hoch: VPN-Verbindung hinzufügen anklicken und dann die Option Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren.

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Fritzbox2Firebox";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 1.1.1.1;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "remotegatewayID";
                }
                remoteid {
                        ipaddr = 1.1.1.1;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "alt/aes-3des/sha";
                keytype = connkeytype_pre_shared;
                key = "YourPSKPreSharedKey";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.278.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.278.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Es ist ebenfalls möglich auf der Firebox eine SA-Lifetime von 8 Stunden bei den hier angegebenen Parametern zu konfigurieren. Wenn Sie bei phase1ss dh14/aes/sha angeben, dann klappt die Verbindung auch mit DH-Key-Group 14 aber dann reduziert sich die SA-Lifetime auf 1 Stunde. Erwarten Sie weiterhin keine Performance-Wunder von Ihrer Fritzbox: 15 Mbits scheinen sowas wie eine obere Grenze für das hier eingesetzten Modell 7490 zu sein.