VPN von Juniper SSG (Netscreen XT) zu einer Fritzbox aufbauen

Nach langen Versuchen habe ich eine laufende Konfiguration gefunden

Hintergrund: die Fritzbox 7390 bietet – obwohl man von DF Group 2 ausgeht nur DH Group 1 an. Dazu musste ich einen eigenen Eintrag in der Juniper/Netscreen anlegen.

## 2012-09-19 23:33:34 : IKE<0.0.0.0        >   Check P2 Proposal

## 2012-09-19 23:33:34 : IKE<0.0.0.0        >   PFS group = 1

## 2012-09-19 23:33:34 : IKE<217.17.206.220> SA life type = seconds

## 2012-09-19 23:33:34 : IKE<0.0.0.0        >   SA life duration (TV) = 3600

## 2012-09-19 23:33:34 : IKE<0.0.0.0        >   encap mode from peer = 1.

## 2012-09-19 23:33:34 : IKE<0.0.0.0        >   encap mode after converting it to private value = 1.

## 2012-09-19 23:33:34 : IKE<217.17.206.220> Phase 2 received:

## 2012-09-19 23:33:34 : IKE<217.17.206.220> atts<00000003 00000000 00000003 00000002 00000001 00000001>

## 2012-09-19 23:33:34 : IKE<217.17.206.220> proto(3)<ESP>, esp(3)<ESP_3DES>, auth(2)<SHA>, encap(1)<TUNNEL>, group(1)

## 2012-09-19 23:33:34 : IKE<217.17.206.220> expect [0]:

## 2012-09-19 23:33:34 : IKE<217.17.206.220> atts<00000003 00000000 00000003 00000002 00000001 00000002>

## 2012-09-19 23:33:34 : IKE<217.17.206.220> proto(3)<ESP>, esp(3)<ESP_3DES>, auth(2)<SHA>, encap(1)<TUNNEL>, group(2)

## 2012-09-19 23:33:34 : IKE<217.17.206.220> proposal not acceptable, but no more proposal in payload.

## 2012-09-19 23:33:34 : IKE<217.17.206.220> Phase 2: Rejected proposals from peer. Negotiations failed.

## 2012-09-19 23:33:34 : IKE<217.17.206.220> (3,r): ERROR:

 

Die Lösung steckt im DEBUG IKE DETAIL auf der Juniper.

So funktioniert es:

  1. TELNET zur Juniper aufbauen
  2. CL DBUF – vorangegangenen Strem löschen
  3. DEBUG IKE ALL – debug starten udn laufen lassen …
  4. UNDEBUG ALL – Debug beenden
  5. GET DBUF STREAM – Das mitgeschnittene Ergebnis anschauen

Hier ist die Konfig der Fritzbox:

/*
* C:\Users\AppData\fritzbox.cfg
* Mon Sep 17 20:24:56 2012
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = „4.5.6.7“;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 4.5.6.7;
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 1.2.3.4;
}
remoteid {
ipaddr = 4.5.6.7;
}
mode = phase1_mode_idp;
phase1ss = „def/all-no-aes/all“;
keytype = connkeytype_pre_shared;
key = „geheim“;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.200.99.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.0;
mask = 255.0.0.0;
}
}
phase2ss = „esp-3des-sha/ah-no/comp-no/pfs“;
accesslist = „permit ip any 10.136.0.0 255.255.0.0“;
}
ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500“,
„udp 0.0.0.0:4500 0.0.0.0:4500“;
}

// EOF

 

 

Hier ist die Konfig der Juniper:

set ike gateway „030_P1_RK“ address 1.2.3.4 Main outgoing-interface „ethernet0/2“ preshare „ZioCP36kN7VhxLsNXLC/n6+heBnrergaacw==“ proposal „pre-g1-des-md5“
set vpn „030_P2_RK“ monitor
set vpn „030_P2_RK“ id 0x108 bind interface tunnel.64
set vpn „030_P2_RK“ proxy-id check
set vpn „030_P2_RK“ proxy-id local-ip 10.0.0.0/8 remote-ip 10.220.29.0/24 „ANY“