Nach langen Versuchen habe ich eine laufende Konfiguration gefunden
Hintergrund: die Fritzbox 7390 bietet – obwohl man von DF Group 2 ausgeht nur DH Group 1 an. Dazu musste ich einen eigenen Eintrag in der Juniper/Netscreen anlegen.
## 2012-09-19 23:33:34 : IKE<0.0.0.0 > Check P2 Proposal
## 2012-09-19 23:33:34 : IKE<0.0.0.0 > PFS group = 1
## 2012-09-19 23:33:34 : IKE<217.17.206.220> SA life type = seconds
## 2012-09-19 23:33:34 : IKE<0.0.0.0 > SA life duration (TV) = 3600
## 2012-09-19 23:33:34 : IKE<0.0.0.0 > encap mode from peer = 1.
## 2012-09-19 23:33:34 : IKE<0.0.0.0 > encap mode after converting it to private value = 1.
## 2012-09-19 23:33:34 : IKE<217.17.206.220> Phase 2 received:
## 2012-09-19 23:33:34 : IKE<217.17.206.220> atts<00000003 00000000 00000003 00000002 00000001 00000001>
## 2012-09-19 23:33:34 : IKE<217.17.206.220> proto(3)<ESP>, esp(3)<ESP_3DES>, auth(2)<SHA>, encap(1)<TUNNEL>, group(1)
## 2012-09-19 23:33:34 : IKE<217.17.206.220> expect [0]:
## 2012-09-19 23:33:34 : IKE<217.17.206.220> atts<00000003 00000000 00000003 00000002 00000001 00000002>
## 2012-09-19 23:33:34 : IKE<217.17.206.220> proto(3)<ESP>, esp(3)<ESP_3DES>, auth(2)<SHA>, encap(1)<TUNNEL>, group(2)
## 2012-09-19 23:33:34 : IKE<217.17.206.220> proposal not acceptable, but no more proposal in payload.
## 2012-09-19 23:33:34 : IKE<217.17.206.220> Phase 2: Rejected proposals from peer. Negotiations failed.
## 2012-09-19 23:33:34 : IKE<217.17.206.220> (3,r): ERROR:
Die Lösung steckt im DEBUG IKE DETAIL auf der Juniper.
So funktioniert es:
- TELNET zur Juniper aufbauen
- CL DBUF – vorangegangenen Strem löschen
- DEBUG IKE ALL – debug starten udn laufen lassen …
- UNDEBUG ALL – Debug beenden
- GET DBUF STREAM – Das mitgeschnittene Ergebnis anschauen
Hier ist die Konfig der Fritzbox:
/*
* C:\Users\AppData\fritzbox.cfg
* Mon Sep 17 20:24:56 2012
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = „4.5.6.7“;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 4.5.6.7;
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 1.2.3.4;
}
remoteid {
ipaddr = 4.5.6.7;
}
mode = phase1_mode_idp;
phase1ss = „def/all-no-aes/all“;
keytype = connkeytype_pre_shared;
key = „geheim“;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.200.99.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.0;
mask = 255.0.0.0;
}
}
phase2ss = „esp-3des-sha/ah-no/comp-no/pfs“;
accesslist = „permit ip any 10.136.0.0 255.255.0.0“;
}
ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500“,
„udp 0.0.0.0:4500 0.0.0.0:4500“;
}
// EOF
Hier ist die Konfig der Juniper:
set ike gateway „030_P1_RK“ address 1.2.3.4 Main outgoing-interface „ethernet0/2“ preshare „ZioCP36kN7VhxLsNXLC/n6+heBnrergaacw==“ proposal „pre-g1-des-md5“
set vpn „030_P2_RK“ monitor
set vpn „030_P2_RK“ id 0x108 bind interface tunnel.64
set vpn „030_P2_RK“ proxy-id check
set vpn „030_P2_RK“ proxy-id local-ip 10.0.0.0/8 remote-ip 10.220.29.0/24 „ANY“