Hallo,
wir betreiben einige Digitalisierungsboxen, die per site-to-site VPN verbunden sind.
Auf Grund des deutlich besseren WLAN der Digitalisierungsbox Smart 2, möchte ich die Boxen nach und nach erneuern.
Nur leider gelingt es mir nicht die Digitalisierungsbox Smart 2 per site-to-site VPN mit den "alten" Digitalisierungsboxen zu verbinden.
Welche Einstellungen müssen die der "alten" Digibox Smart vorgenommen werden?
Wie kann ich eine Statusanzeige oder Fehlermeldungen der VPN Verbindung in der Digibox Smart 2 sehen?
Vielen Dank für Hilfe,
freundliche Grüße
Ulrich H.
vor 4 Jahren
leider gab es hier ja noch keine Antworten von anderen Usern.
Ich habe deshalb eine Anfrage an die Herstellfirma weitergeleitet. Sobald es etwas Neues gibt, melde ich mich wieder.
Vielleicht können ja @wari1957 oder @Kalle2014 hier noch einen Tipp geben?
Viele Grüße Martina Ha.
0
12
von
vor 4 Jahren
Hallo wari1957,
danke für Deine Tipps.
Mir es es nun erfolgreich gelungen die "alte" und neue Digitalisierungsbox zu verbinden.
Im Folgenden ist eine mögliche Konfiguration aufgeführt, die ich durch testen gefunden habe.
Eine technische Bewertung kann ich nicht vornehmen.
DigiBox Smart 2
Neue VPN Verbindung mit Szenario site-to-site anlegen mit:
Unter "IP-Einstellungen: Entfernter Endpoint" musste der Hostname angegeben werden, obwohl ein statische IP Adresse vorhanden ist.
DigiBox Smart "1"
Neues IKEv2 Profil anlegen mit:
Peer-Adresse:
IPv4 bevorzugt, <Hostname der Digibox Smart 2>
Peer-ID
Fully Qualified Domain Name (FQDN),<Hostname der Digibox Smart 2>
IKE
IKEv2
Authentifizierungsmethode
Preshared Keys
Lokaler ID-Typ
Fully Qualified Domain Name (FQDN)
Lokale ID:
<Hostname der Digibox Smart "1">
Preshared Key
<ein key mit vielen Stellen
>
IP-Versin des Tunnelnetzwerkes
IPv4
Ipv4-Schnittstellenrouten
wie üblich
Mehr anzeigen -> Phase-1-Profil
<das vorgesehene Phase-1-Profil, siehe unten>
Mehr anzeigen -> Phase-2-Profil
<default Multi-Proposal Profil>
Phase-1-Parameter (IKEv2) auf der DigiBox Smart "1"
Es kann mit folgendem Proposals gearbeitet werden.
Verschlüsselung:
AES-128
Authentifizierung
SHA2 256
DH-Gruppe
14(2048 Bit)
Fazit
In meinem konkreten Fall mussten nur zwei Änderungen an den "alten" DigiBoxen vorgenommen werden, damit sich die alten und die neuen DigiBoxen verstehen:
Es kann mit der Digitalisierungsbox Smart 2 immer nur zu einem IP Segment verbunden werden. Die Verbindung zu mehreren IP Segmenten ist nicht mehr möglich. (das gilt für die Firmware: 16.40.2.08.01)
Ergänzende Hinweise nehme ich dankend an.
Freundliche Grüße
U. Hetzel
0
von
vor 4 Jahren
Ergänzung:
Auch im Phase-2-Profil muss die PFS-Gruppe 5 geändert werden. Es muss mindestens 14(2048 Bit) eingestellt sein, anderenfalls bleibt die Verbindung nicht dauerhaft offen.
mfg
U.Hetzel
von
vor 4 Jahren
Ergänzung zur Ergänzung:
Sorry, es hat sich gezeigt, das die PFS-Gruppe im Phase-2-Profil der alten Digitalisierungsboxen deaktiviert werden muss.
Anderenfalls bleibt die Verbindung nicht dauerhaft bestehen, sondern bricht beim Aushandeln eines neuen Schlüssels ab.
Ich hoffe, das ich diesmal richtig liege.
Vielleicht kommt ja auch irgendwann eine professionelle Anleitung von Seiten des Herstellers.
Freundliche Grüße
U. Hetzel
Uneingeloggter Nutzer
von
Akzeptierte Lösung
akzeptiert von
vor 4 Jahren
Hallo @u-hetzel,
es hat etwas gedauert, aber hier ist nun die Antwort:
Die neuen Digitalisierungsboxen unterstützen im IPSec aktuell das folgende Proposal für Phase1/Phase2:
PSKs mit AES256 / SHA2 256, DH=PFS=14, IKEv2, Lifetime=14400 sec.
Mit dem nächsten großen Release (Release 1.5/voraussichtlich Ende Januar) wird es zu jeder VPN -Verbindung eine Übersicht-Seite mit erweiterten Informationen und Statistiken geben.
Ich wünsche Ihnen noch schöne Weihnachten.
Viele Grüße Martina Ha.
0
vor 4 Monaten
Hi,
obwohl die Frage schon etwas älter ist - ich habe jetzt dasselbe Problem an 2 Standorten, einmal mit Digitalisierungsbox Smart und einmal Digitalisierungsbox Smart 2. Egal was ich einstelle, es gelingt mir nicht, eine Site2Site VPN Verbindung aufzubauen. Die Einstellmöglichkeiten scheinen nicht kompatibel zu sein.
Irgendwelchen Tipps / Tutorials? Bitte um Hilfe.
0
9
von
vor 2 Monaten
Hallo G0ldmember, ich habe es geschaft VPN stabil zum laufen zu bringen.
Digibox version 2, Ipsec v1 freischalten, dann erstellst du Phase 1 und Phase 2
IKE
ESP:
Das Problem: Digibox 2 schaltet manchmal ipsec ab, auch für RoadWarriors , nicht nur Site2Site. Ich melde mich dann an Digibox 2, kurz IPSEC regler auf aus, dann nach 4-5 Sekunden wieder an, unde es geht wieder.
Warum weiss ich nicht, Firmware Probleme?
0
von
vor 2 Monaten
Das ist doch Mist :-). Trotzdem danke für den Tipp. Ich hab's jetzt aufgegeben und ein separates Site2Site VPN konfiguriert. Das funktioniert wenigstens. Hier besteht ganz klar Nachbesserungsbedarf, das kann jede Fritzbox besser.
0
von
vor 2 Monaten
Hallo @G0ldmember,
Es ist wirklich schade, dass der Tipp nicht ganz so funktioniert hat, wie du es dir erhofft hast. Es ist jedoch toll zu hören, dass du eine Lösung gefunden hast, die für dich funktioniert, und dass du bereit bist, deine Erfahrungen mit uns in der Community zu teilen.
Wie meine Kollegin Kerstin bereits erwähnt hat, besteht nach wie vor auch die Möglichkeit, unseren Remote Service zu nutzen. Dies könnte eine hilfreiche Option sein, um weitere Unterstützung zu erhalten und sicherzustellen, dass alles reibungslos funktioniert.
Viele Grüße
Tanja
0
Uneingeloggter Nutzer
von
Uneingeloggter Nutzer
von