Fritzbox per IPSec mit Barracuda NG Firewall verbinden

thoughtHeute mal etwas aus der operativen Schiene:

Ein Kunde benötigt einen Site-2-Site-Tunnel zwischen einem Büro mit einer Fritzbox 7390 und einer Barracuda F280. Leider ist bei AVM hierzu nicht sehr viel zu finden, und auch bei Barracuda Networks ist nur eine eher allgemeine Anleitung zu finden.
Gleich vorweg: es funktioniert!
Wichtig:
  • Die Fritzbox muss per DNS auflösbar sein, eine fixe IP wird nicht zwingend benötigt, es können also Anbieter wie dynDNS oder No-IP genutzt werden.
  • Die Key-Lifetime bis zur Erstellung eines neuen Schlüsselpaares ist bei der Fritzbox auf 3600 Sekunden fix eingestellt! Wer also Probleme mit Verbindungsabbrüchen nach 1 Stunde hat, sollt hier mal seine Konfiguration prüfen
Obwohl die Fritzbox laut Spezifikation AES unterstützt, hat das bei mir trotz vieler Versuche nicht funktioniert.
Diese Konfiguration der Fritzbox funktioniert bei mir:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = “MeinVerbindungsname”;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 1.2.3.4;
remote_virtualip = 0.0.0.0;
remotehostname = “1.2.3.4”;
localid {
fqdn = “kgdtamszf.ddns.net”;
}
remoteid {
fqdn = “1.2.3.4”;
}
mode = phase1_mode_idp;
phase1ss = “alt/all-no-aes/all”;
keytype = connkeytype_pre_shared;
key = “SUPERTOLLESPASSWORT”;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.0;
mask = 255.255.0.0;
}
}
phase2ss = “esp-all-all/ah-all/comp-all/pfs”;
accesslist = “permit ip any 10.0.0.0 255.0.0.0”;
}
ike_forward_rules = “udp 0.0.0.0:500 0.0.0.0:500”,
“udp 0.0.0.0:4500 0.0.0.0:4500”;
}

// EOF

Die Barracuda NG Firewall habe ich mit folgenden Settings konfiguriert:
Phase I:
Encryption: 3DES
Hash-Algorythm: SHA
Diffie-Hellmann-Gruppe:     Gruppe 2
Lifetime (sec): 3600
Phase II:
Encryption: 3DES
Hash-Algorythm: SHA
Diffie-Hellmann-Gruppe:     Gruppe 2
Lifetime (sec): 3600
PFS (Perfect Forward Secrecy): Enabled
Danach die Firewall-Regel, wie in den TechDocs zu sehen, einrichten und fertig! Viel Spaß beim Tunnelbauen!
Update 19.04.2017
Mit dem Release der Firmware-Version 7.0.2 für die NG-Firewals wurde auch ein DNS-Bug bereinigt, der dazu führen konnte, dass die Firewall zu einer veralteten dynamischen IP Verbindungen aufbaute – oder halt eben nicht. Die Logs zeigen in diesem Fall die Meldung, dass der Host auf der Gegenseite nicht aufgelöst werden konnte und zeigen eine falsche IP an, obwohl bei einer Verbindung zur Box via SSH per nslookup die korrekte IP aufgelöst wird.
Ich hatte zwei solcher Boxen mit Schluckauf, beide laufen seit dem Update auf 7.0.2 ohne Probleme und genau so wie sie sollen.
Dennoch rate ich mittlerweile von “lustigen” VPN-Versuchen mit Fritzboxen ab. Ich habe den Eindruck, dass sich mit jedem größeren Update für FritzOS wieder irgendetwas zum unguten verändert, AES habe ich noch immer nicht stabil zum Laufen bekommen, und 3DES ist mehr als nur angezählt. SHA1 ist bekanntermaßen auch nicht mehr sicher, so dass meiner Meinung nach bei einem professionellen VPN-Einsatz (und dazu zähle ich jede gewerbliche Nutzung) die Fritzbox mittlerweile ausscheidet.

4 Gedanken zu “Fritzbox per IPSec mit Barracuda NG Firewall verbinden”

  1. Hallo! Was, wenn die Barracuda auch hinter einer dynamischen IP hängt? Funktioniert das? Da hat meines Wissens nach die Fritz ein Problem. Deswegen nutzen die ja Fritz-2-Fritz auch Aggressive Mode.

    • Hallo Hunger,
      der Barracuda ist das relativ egal, die kann sowohl Namen auflösen als auch IP’s, wobei Ersteres bei dynamischen IPs der wichtigere Punkt ist. Grudsätzlich möchte ich aber unterstreichen, dass die vorgestellte Lösung keine wirklich professionelle Lösung darstellt. Ich habe mittlerweile in allen Szenarien die Fritzboxen durch kleine F18er von Barracuda ersetzt, weil eine Anbindung mehrerer Fritzboxen nie zufriedenstellend funktionierte. TINA, das Barracuda-Eigene Protokoll ist hier deutlich pflegeleichter, einfacher zu konfigurieren und funktioniert schlicht immer – auch wenn beide Seiten dynamische IPs nutzen – ohne Klimmzüge.
      Frohes Neues Jahr noch und sorry für die späte Reaktion!

      Hildi

  2. Gesundes Neues! Genauso sehe ich das auch. Ist aber halt preislich ein Riesenunterschied. Grad für kleine Unternehmen. Lancom geht auch ganz gut mit der NG. Was richtig schlecht ist, ist Bintec.

  3. Es geht jetzt auf beiden Seiten dynamisch. Und zwar recht stabil.
    In der Config der Barracuda IPV4_ADDR (explicit) die 169.254.1.100 eintragen.
    Der Tipp kam aus dem Sophos Forum. Screenshot der NG könnte ich beisteuern.

    vpncfg {

    connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = “Barracuda”;
    always_renew = yes;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 0.0.0.0;
    remotehostname = “blabla.dyndns.info”;
    localid {
    ipaddr = 169.254.1.100;
    }
    remoteid {
    fqdn = “blabla.dyndns.info”;
    }
    mode = phase1_mode_idp;
    phase1ss = “alt/all-no-aes/all”;
    keytype = connkeytype_pre_shared;
    key = “geheim”;
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.23.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.2.0;
    mask = 255.255.255.0;
    }
    }
    phase2ss = “esp-3des-sha/ah-no/comp-no/pfs”;
    accesslist = “permit ip any 192.168.2.0 255.255.255.0”;
    }
    ike_forward_rules = “udp 0.0.0.0:500 0.0.0.0:500”,
    “udp 0.0.0.0:4500 0.0.0.0:4500”;
    }

Schreibe einen Kommentar