Sonicwall FRITZ!Box Site-to-Site VPN einrichten

Das VPN mit einer Fritz!Box aufzubauen war irritierend umständlich. Die Fritz!Box kann überraschend viel, zeigt das nur leider nicht und ist zumindest in Richtung VPN-Settings nicht wirklich gut dokumentiert. Zugegeben, die Box ist kein „Unternehmensrouter“, aber in Corona-Homeoffice Zeiten muss man nehmen was man kriegen kann 🙂 Auf die Details was und warum ehe ich nicht ein, das hier ist nur die „working config“, wie von uns gewohnt.

In diesem Fall: Sonicwall NSA 3650 und eine aktuelle Fritz!Box. Welche genau weiss ich nicht, aber das ist in weiten Teilena auch egal.

Wichtig: Keines der zu verbindenden Netze darf identisch oder ein Subnetz des anderen sein. Die Fritzbox mag sowas nicht routen und für ein Homeoffice dann noch NAT-Pools einrichten ist … übertrieben.

  • Unternehmen: 192.168.0.0 /16
  • Homeoffice: 10.0.178.0 /24

Sonicwall Seite

Ich nutze der Einfachheit halber eine VPN-Policy, kein Tunnelinterface. Das schöne daran ist, das der Tunnel seine SA’s sofort in die Routingtabelle einträgt, wenn also der Tunnel steht direkt das IP-Netzwerk verfügbar ist.

Ich gehe davon aus, das alle beteiligten Netzwerkobjekte bereits als solche angelegt sind.

VPN Policy auf der Sonicwall hinzufügen

Manage > VPN > Base Settings > Add

  • Security Policy
    • Policy-Type: Site to Site
    • Authentication Method: IKE using Preshared Secret
    • Name: FBox-VPN-42
    • Psec Primary Gateway Name or Address: <IP/DNS der Homeoffice FBox>
  • IKE Authentication
    • Shared Secret: <Supergeheimeskennwort>
    • Local IKE ID: Domain Name : <IP/FQDN der Sonicwall>
    • Peer IKE ID: Domain Name : <IP/FQDN der Fritz!Box>
  • Network
    • Local Networks
      • Choose local network from list: <Objektgruppe der/des Unternehmens-Netzwerke>
    • Remote Networks
      • Choose destination network from list: <Objektgruppe des Homeoffice-Netzes>
  • Proposals
    • IKE (Phase 1) Proposal
      • Exchange: Aggressive Mode
      • DH Group: Group 2
      • Encryption: AES-256
      • Authentication: SHA1
      • Life Time (seconds): 28800
    • Ipsec (Phase 2) Proposal
      • Protocol: ESP
      • Encryption: AES-256
      • Authentication: SHA1
      • Enable Perfect Forward Secrecy Einschalten (!)
      • DH Group: Group 2
      • Life Time (seconds): 3600

FRITZ!Box Seite

Man nutze nicht den „Firmen“ Assistenten, sondern lade die Konfiguration vie „Datei importieren“ hoch. Das geht unter Internet > Freigaben > VPN.

Eine laufende CFG Configfile sieht so aus:

 vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Tunnel to Northkorea";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "<IP/FQDN Sonicwall>";
                localid {
                        fqdn = "<IP/FQDN FRITZ!Box>";
                }
                remoteid {
                        fqdn = "<IP/FQDN Sonicwall>";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "<Supergeheimeskennwort>";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = <NetzID FritzBox-Netzwerk>;
                                mask = <Subnetzmaske FritzBox-Netzwerk>;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = <NetzID Unternehmensnetzwerk>;
                                mask = <Subnetzmaske Unternehmensnetzwerk>;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =    "permit ip any <NetzID FritzBox-Netzwerk> <Subnetzmaske FritzBox-Netzwerk>",
                                "permit ip any <NetzID Unternehmensnetzwerk> <Subnetzmaske Unternehmensnetzwerk>";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
} 

12 Replies to “Sonicwall FRITZ!Box Site-to-Site VPN einrichten”

  1. Super Ansatz!
    Leider lässt sich die CGF nicht in die FritzBox 6490 mit aktuellem OS 7.12 einladen.
    Gibt es hierfür Abhilfe, zB. wie man die Parameter manuell in die Fritzbox bekommt?
    Vielen Dank!

    • CFG-Dateien zur VPN-Konfiguration lassen sich auch bei v7.12 weiterhin in der Fritz!Box laden. Überprüfe, ob deine Ansicht wirklich auf „Expertenansicht“ umgestellt ist 🙂

  2. Prinzipiell ja, das Menü dazu ist natürlich da.
    Die FB beginnt auch mit dem Import der Datei, beim Verarbeiten jedoch kommt die Fehlermeldung „Der Import der VPN-Einstellungen ist fehlgeschlagen“.
    Eine CFG, die zuvor von der App „Fritz!Fernzugang einrichten“ erstellt wurde, wird dagegen einwandfrei importiert.
    Es muss sich also um etwas in der CFG selbst handeln.

    • Ohne deine Configs, die Fritz! Boxen (Versionen) zu sehen, können wir natürlich nichts dazu sagen. Aber vergleiche doch einfach deine manuell erstelle config mit einer aus dem generator …

  3. Hat schon jemand fritz os 7.22 NSa 3650 mit der oder ähnlicher Config am laufen ?
    Ich hatte jahrelang keinen Stress mit dem Tunnel. Seitdem mein Provider meinte die Box auf 7.22 anzuheben baut der Tunnel zwar laut Log auf beiden Seiten komplett fehlerfrei auf, ich kann das remote Gateway auf dessen LAN IP für ca. 60 Sekunden anpingen und dann nix mehr. Beide Seiten meinen alles grün und steht, aber Daten sind durch den Tunnel nicht mehr zu bekommen.

  4. Moin Leute,
    hatte ebenfalls Probleme beim Import. Grund war ein Fehler im der CFG-Datei. Unter
    localid {
    fqdn = ";
    }

    fehlt am Ende ein Anführungszeichen.

    VG
    Fogell

  5. Hallo,

    kann mir vielleicht jemand einen Tipp geben wie ich die proposals anpassen kann? ich würde ungerne sha1 und dh group2 nehmen, da diese als unsicher gelten.

    viele grüße
    Kim

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.