‎Digitalisierungsbox Smart 2 - VPN mit Digibox Smart

Telekom hilft Community

Telekom Business Community

Private customers

Telekom Shops

Contact

Solved

Digitalisierungsbox Smart 2 - VPN mit Digibox Smart

4 years ago

Hallo,

wir betreiben einige Digitalisierungsboxen, die per site-to-site VPN verbunden sind.

Auf Grund des deutlich besseren WLAN der Digitalisierungsbox Smart 2, möchte ich die Boxen nach und nach erneuern.

Nur leider gelingt es mir nicht die Digitalisierungsbox Smart 2 per site-to-site VPN mit den "alten" Digitalisierungsboxen zu verbinden.

Welche Einstellungen müssen die der "alten" Digibox Smart vorgenommen werden?

Wie kann ich eine Statusanzeige oder Fehlermeldungen der VPN Verbindung in der Digibox Smart 2 sehen?

Vielen Dank für Hilfe,

freundliche Grüße

Ulrich H.

3919

4 years ago

Hallo @u-hetzel,

leider gab es hier ja noch keine Antworten von anderen Usern.

Ich habe deshalb eine Anfrage an die Herstellfirma weitergeleitet. Sobald es etwas Neues gibt, melde ich mich wieder.

Vielleicht können ja @wari1957 oder @Kalle2014 hier noch einen Tipp geben?

Viele Grüße Martina Ha.

Answer

from

4 years ago

Hallo wari1957,

danke für Deine Tipps.

Mir es es nun erfolgreich gelungen die "alte" und neue Digitalisierungsbox zu verbinden.

Im Folgenden ist eine mögliche Konfiguration aufgeführt, die ich durch testen gefunden habe.

Eine technische Bewertung kann ich nicht vornehmen.

DigiBox Smart 2

Neue VPN Verbindung mit Szenario site-to-site anlegen mit:

Unter "IP-Einstellungen: Entfernter Endpoint" musste der Hostname angegeben werden, obwohl ein statische IP Adresse vorhanden ist.

DigiBox Smart "1"

Neues IKEv2 Profil anlegen mit:

Peer-Adresse:	IPv4 bevorzugt, <Hostname der Digibox Smart 2>
Peer-ID	Fully Qualified Domain Name (FQDN),<Hostname der Digibox Smart 2>
IKE	IKEv2
Authentifizierungsmethode	Preshared Keys
Lokaler ID-Typ	Fully Qualified Domain Name (FQDN)
Lokale ID:	<Hostname der Digibox Smart "1">
Preshared Key	<ein key mit vielen Stellen >
IP-Versin des Tunnelnetzwerkes	IPv4
Ipv4-Schnittstellenrouten	wie üblich
Mehr anzeigen -> Phase-1-Profil	<das vorgesehene Phase-1-Profil, siehe unten>
Mehr anzeigen -> Phase-2-Profil	<default Multi-Proposal Profil>

Phase-1-Parameter (IKEv2) auf der DigiBox Smart "1"

Es kann mit folgendem Proposals gearbeitet werden.

Verschlüsselung:	AES-128
Authentifizierung	SHA2 256
DH-Gruppe	14(2048 Bit)

Fazit

In meinem konkreten Fall mussten nur zwei Änderungen an den "alten" DigiBoxen vorgenommen werden, damit sich die alten und die neuen DigiBoxen verstehen:

Im Profil muss als Peer Adresse der DNS Name anstatt der öffentlichen IP angegeben werden.
Im Phase-1-Profil (IKEv2) muss als DH-Gruppe 14, 15 oder 16 verwendet werden und nicht die voreingestellte 5(1536 Bit).

Es kann mit der Digitalisierungsbox Smart 2 immer nur zu einem IP Segment verbunden werden. Die Verbindung zu mehreren IP Segmenten ist nicht mehr möglich. (das gilt für die Firmware: 16.40.2.08.01)

Ergänzende Hinweise nehme ich dankend an.

Freundliche Grüße

U. Hetzel

Answer

from

4 years ago

Ergänzung:

Auch im Phase-2-Profil muss die PFS-Gruppe 5 geändert werden. Es muss mindestens 14(2048 Bit) eingestellt sein, anderenfalls bleibt die Verbindung nicht dauerhaft offen.

mfg

U.Hetzel

Answer

from

4 years ago

Ergänzung zur Ergänzung:

Sorry, es hat sich gezeigt, das die PFS-Gruppe im Phase-2-Profil der alten Digitalisierungsboxen deaktiviert werden muss.

Anderenfalls bleibt die Verbindung nicht dauerhaft bestehen, sondern bricht beim Aushandeln eines neuen Schlüssels ab.

Ich hoffe, das ich diesmal richtig liege.

Vielleicht kommt ja auch irgendwann eine professionelle Anleitung von Seiten des Herstellers.

Freundliche Grüße

U. Hetzel

Unlogged in user

Answer

from

Accepted Solution
accepted by
4 years ago
Hallo @u-hetzel,

es hat etwas gedauert, aber hier ist nun die Antwort:

Die neuen Digitalisierungsboxen unterstützen im IPSec aktuell das folgende Proposal für Phase1/Phase2:

PSKs mit AES256 / SHA2 256, DH=PFS=14, IKEv2, Lifetime=14400 sec.

Mit dem nächsten großen Release (Release 1.5/voraussichtlich Ende Januar) wird es zu jeder VPN -Verbindung eine Übersicht-Seite mit erweiterten Informationen und Statistiken geben.

Ich wünsche Ihnen noch schöne Weihnachten.

Viele Grüße Martina Ha.
0
3 months ago
Hi,

obwohl die Frage schon etwas älter ist - ich habe jetzt dasselbe Problem an 2 Standorten, einmal mit Digitalisierungsbox Smart und einmal Digitalisierungsbox Smart 2. Egal was ich einstelle, es gelingt mir nicht, eine Site2Site VPN Verbindung aufzubauen. Die Einstellmöglichkeiten scheinen nicht kompatibel zu sein.

Irgendwelchen Tipps / Tutorials? Bitte um Hilfe.
0
9
Answer
from
29 days ago
Hallo G0ldmember, ich habe es geschaft VPN stabil zum laufen zu bringen.

Digibox version 2, Ipsec v1 freischalten, dann erstellst du Phase 1 und Phase 2

IKE

AES128-CBC SHA1-PRF SHA1-HMAC MODP1536 (5)

ESP:

AES128-CBC SHA1-HMAC MODP1536 (5)

Das Problem: Digibox 2 schaltet manchmal ipsec ab, auch für RoadWarriors , nicht nur Site2Site. Ich melde mich dann an Digibox 2, kurz IPSEC regler auf aus, dann nach 4-5 Sekunden wieder an, unde es geht wieder.

Warum weiss ich nicht, Firmware Probleme?
0
Answer
from
29 days ago
Das ist doch Mist :-). Trotzdem danke für den Tipp. Ich hab's jetzt aufgegeben und ein separates Site2Site VPN konfiguriert. Das funktioniert wenigstens. Hier besteht ganz klar Nachbesserungsbedarf, das kann jede Fritzbox besser.
0
Answer
from
29 days ago
Hallo @G0ldmember,

Es ist wirklich schade, dass der Tipp nicht ganz so funktioniert hat, wie du es dir erhofft hast. Es ist jedoch toll zu hören, dass du eine Lösung gefunden hast, die für dich funktioniert, und dass du bereit bist, deine Erfahrungen mit uns in der Community zu teilen.

Wie meine Kollegin Kerstin bereits erwähnt hat, besteht nach wie vor auch die Möglichkeit, unseren Remote Service zu nutzen. Dies könnte eine hilfreiche Option sein, um weitere Unterstützung zu erhalten und sicherzustellen, dass alles reibungslos funktioniert.

Viele Grüße

Tanja

0
Unlogged in user
Answer
from