IPSec VPN zwischen FRITZ!Box und Securepoint V2007nx Firewall

Bei einer FRITZ!Box wird das VPN mit einer Konfigurationsdatei eingerichtet, die über das Webinterface eingespielt wird (Achtung das einspielen löst einen Neustart der FRITZ!Box aus). Nähere Informationen zu dem Thema FRITZ!Box und VPN können im AVM VPN Service-Portal gefunden werden.

Das Windows Programm zum erstellen der Konfigurationsdatei ist sehr puritanisch und lässt eine Einrichtung er VPN-Verbindung zu einer Securepoint V2007nx Firewall leider nicht zu. Allerdings kann man die Konfigurationsdatei hinterher mit einem Editor bearbeiten und es gibt im AVM VPN Service-Portal einige Beispielkonfigurationen. Leider hat in meinem Fall aber keine dieser Beispielkonfigurationen funktioniert. Also habe ich die Einstellungen der unterschiedlichen Beispielkonfigurationen mit einander kombiniert und schließlich die folgende Konfigurationsdatei mit einer Securepoint V2007nx Firewall (3DES/SHA in beiden Phasen und PFS) zum laufen bekommen:

/*
 
 * C:\Dokumente und Einstellungen\kristian\Anwendungsdaten\AVM\FRITZ!Fernzugang\hostname_dnsalias_net\fritzbox_hostname_dnsalias_net.cfg
 * Wed Apr 29 13:05:41 2009
 */
 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Name der VPN-Verbindung";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 123.123.123.123;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "hostname.dnsalias.net";
                }
                remoteid {
                        ipadr = 123.123.123.123;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.31.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
 
// EOF

Der Vollständigkeit halber hier die Konfiguration der beiden IPSec Phasen auf der Securepoint V2007nx Firewall:

IPSec Phase 1
IPSec Phase 1

IPSec Phase 2
IPSec Phase 2

Cisco IOS: PPPoE für einen symmetrischen T-DSL Business 2000 Anschluss einrichten

Ich habe gerade einen Cisco 871 Router mit einem IOS in der Version 12.4 für einen symmetrischen T-DSL Business 2000 Anschluss verwendet. Die Telekom liefert bei diesem Anschluss im Augenblick einen Sphairon G5100 SHDSL Router mit, der aber nur als DSL-Modem konfiguriert wird. Dies liegt sicherlich daran, dass SHDSL Router im Augenblick in Deutschland noch nicht weit verbreitet sind und deshalb nicht so leicht und kostengünstig im normalen Einzelhandel zu bekommen sind.

Um den Cisco Router dazu zu bringen das DSL-Modem zu benutzen muss man auf einem Ethernet-Interface PPPoE konfigurieren. Dies kann IOS ab der Version 12.1. Eine recht gute Anleitung für die Konfiguration von T-DSL ist auf der Webseite von GepaNet zu finden. In meinem Fall brauchte ich jedoch kein vpdn. Außerdem funktionierte die Authentifizierung nur mit CHAP anstelle von PAP.

Ich brauchte also nur das Inside Interface konfigurieren:

interface Ethernet0
ip address 192.168.37.254 255.255.255.0
ip nat inside 

Das Outside Interface konfigurieren:

interface Ethernet4
no ip address
pppoe-client dial-pool-number 1
no cdp enable

Den Dialer konfigurieren (natürlich mit den entsprechenden Zugangskennung und dem Passwort):

interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname feste-ip7/zugangskennung@t-online-com.de
ppp chap password geheimeskennwort

NAT definieren und die Route setzen:

ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
access - list 101 permit ip 192.168.37.0 0.255.255.255 any
dialer-list 1 protocol ip permit

Danach funktionierte die Verbindung.

Man sollte anschließend natürlich noch ein paar Access-Listen einbauen, um für die nötige Sicherheit zu sorgen.