OPNsense Forum
International Forums => German - Deutsch => Topic started by: groove21 on February 11, 2023, 11:40:41 am
-
Guten Tag,
ich habe ca. 25 dezentrale Standorte/Netze, die ich per IPsec Fritz Box zur OPNsense anbinde. Dies ging bisher auch problemlos. Nach dem Update auf 23.1 ist die Mehrzahl der Verbindungen weg, eine Verbindung ist ein Glücksspiel.
Kann jemand ähnliches berichten?
Ich habe den neuen Connections [new] Tab gesehen. Muss ich meine Verbindungen dahin migrieren? Ich tue mich mit der neuen Übersicht etwas schwer. Hat hier jemand eine funktionierende Config die er mal mit Screens teilen kann?
Gruß
Florian
-
Hallo Florian,
ich habe jetzt 4 Firewalls auf 23.1_6 angehoben und bis jetzt keine Probleme mit der Legacy-IPsec-Konfiguration der Tunnel gehabt, die automatisch beim Upgrade erzeugt worden sind.
Viele Grüße,
atom
-
Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:
1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.
-
...
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.
Öhm, wie optimierst du das? Ich hatte mal mit der MTU für die WG-Interfaces rumgespielt, aber eigentlich keinen Effekt gesehen und es dann gelassen. Ist aber schon einige Zeit her...
-
Den möglichen Effekt hatten wir gerade: https://forum.opnsense.org/index.php?topic=32354.msg156519
Im Wesentlichen muss die MSS berücksichtigen ob im Paket weitere Bytes übertragen werden (PPPoE, 802.1q, VPN-Header usw.).
-
Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:
1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.
Könntest du mir bei der Wireguard config helfen?
Das ist meine Config die ich in die Fritzbox hochlade.
[Interface]
Address = 10.11.0.2/24
ListenPort = 51828
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.11.0.1/24, 192.168.1.0/24
Endpoint = xxxxxxxxx.spdns.org:51828
PersistentKeepalive = 25
Konfig der OPNsense
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Address = 10.11.0.1/24
ListenPort = 51828
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Endpoint = xxxxxxxxxxxxxxxxx.myfritz.net:51828
AllowedIPs = 10.11.0.2/32,192.168.2.0/24
PersistentKeepalive = 25
Handshake und Transfer scheint zu klappen, ich kann aber aus dem opnsense netz 192.168.1.1/24 nicht auf das 192.168.2.1/24 zugreifen. Wo haben ich meinen Fehler? :)
-
...
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.
Öhm, wie optimierst du das? Ich hatte mal mit der MTU für die WG-Interfaces rumgespielt, aber eigentlich keinen Effekt gesehen und es dann gelassen. Ist aber schon einige Zeit her...
Ich mache das so.
(http://MSS_opti.png)
Damit mache ich die vollen 55 Mbit die meine Gegenstelle liefern kann.
-
Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:
1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.
Könntest du mir bei der Wireguard config helfen?
Das ist meine Config die ich in die Fritzbox hochlade.
[Interface]
Address = 10.11.0.2/24
ListenPort = 51828
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.11.0.1/24, 192.168.1.0/24
Endpoint = xxxxxxxxx.spdns.org:51828
PersistentKeepalive = 25
Konfig der OPNsense
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Address = 10.11.0.1/24
ListenPort = 51828
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Endpoint = xxxxxxxxxxxxxxxxx.myfritz.net:51828
AllowedIPs = 10.11.0.2/32,192.168.2.0/24
PersistentKeepalive = 25
Handshake und Transfer scheint zu klappen, ich kann aber aus dem opnsense netz 192.168.1.1/24 nicht auf das 192.168.2.1/24 zugreifen. Wo haben ich meinen Fehler? :)
Unter firewall rules für Wireguard Route die Regeln gesetzt?
http://x.x.x.x/firewall_rules.php?if=wireguard
-
Nein habe ich nicht. Wie muss die Rule aussehen?
-
Naja je nachdem was da laufen soll.
Zur not erstmal mal any any.
(http://rule.png)
-
Achso, ja any any ist gesetzt. Muss ich noch ein Gateway erstellen oder so?
-
Wenn das VPN erst einmal steht kann es ja nur Routing oder Firewall sein. Ersteres bekommt man mit einem Traceroute raus, letztes, indem man ins Firewall-Log schaut.
-
Guten Tag,
ich hatte nach dem ersten Post aus Zeitgründen einen Restore meines Snapshots gemacht und alles war wieder gut. Doch so langsam muss ich das PRoblem mal lösen. Daher die Frage: Noch nicht all meine FritzBoxen können Wireguard, so dass ich zumindest für einen Teil noch IPsec machen muss.
Hat jemand eine funktionierende Verbindung mit connections (new) und könnte mal ein paar Screens posten?
Meine Fritz-Config sieht so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "FQDN OPNSENSE";
localid {
fqdn = "Dyndns Fritz";
}
remoteid {
fqdn = "FQDN OPNSENSE";
}
mode = phase1_mode_aggressive;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "1FYrdoCfScWXfGISrA44";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.141.0.0;
mask = 255.255.0.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.201.0.0;
mask = 255.255.0.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 10.0.0.0 255.0.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Mit der hat bisher immer alles geklappt.
Wie müsste das Gegenstück auf der OPNsense in der neuen GUI nun aussehen?
Gruß
Florian
-
Zwei Anmerkungen:
- In "phase2ss" würde ich das "3des" entfernen.
- "use_nat_t = no;" - Bist Du sicher, dass auf der Strecke kein NAT im Spiel ist? Yes schadet in der Regel nicht.
- Kann es sein, dass Du deinen "key" gerade kompromittiert hast?
-
Hey dmark,
danke für die Anmerkungen.
use_nat_t hatte ich sogar probiert, hat aber nicht zur Besserung beigetragen. Ich probiere es nochmal.
phase2ss werde ich mal versuchen 3des zu entfernen (kann mir aber fast nicht vorstellen, dass es daran liegt)
Ja das mit dem Key habe ich auch schon bemerkt. Ich werde ihn natürlich auf beiden Seiten austauschen.
Ich probiere es später und melde mich dann wieder.
Hast du zufällig Screens von der aktuellen neuen GUI bzgl. IPsec?
Gruß
Florian
-
Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.
Falls es Dir hilft:
Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an
Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden
-
Der Knackpunkt ist, dass man IKEv1 und Aggressive Mode eigentlich nicht will. Man kann IKEv1 noch verwenden, sollte dann aber den Main Mode wählen.
-
Die Fritzbox-Gegenstelle hat eine dynamische IP, daher das Aggressive. Prinzipiell hast Du natürlich recht, dass man das eigentlich nicht mehr will.
Ich lauere schon auf das FritzOS 7.50 für die FB7490. Dann fliegt IPSEC zugunsten von Wireguard raus.
-
Ich bin gerade dabei die Verbindungen auf WG umzustellen. Die Logik ist hier ja etwas anders wie bei IPsec und daran scheitere ich gerade.
Ich habe jetzt einen Tunnel von der Fritz zur OPNsense stehen an zwei Standorten.
Von den Fritzen kann ich auch auf die Server der OPNsense im LAN pingen, funktioniert.
Was nicht geht:
Ping aus dem jeweiligen dezentralen Netz (beipielsweise Client aus 10.105.0.0/16) kann nicht die WG-IP der eigenen Fritz erreichen (10.202.105.1/32)
Allerdings kann ich wiederum die WG-IP eines anderen dezentralen Standortes erreichen (beispielsweise aus 10.105.0.0/16 erreiche ich die WG-IP des anderen Standortes (10.202.102.1/32)
Auch kann ich von der OPNsense die Geräte im Fritzbox-Netz hinter dem Tunnel pingen (Route und Gateway eingerichtet). Beispielsweise 10.105.0.0/16 über 10.202.105.1 bzw. 10.102.0.0/16 über 10.202.102.1
Was nicht klappt:
Ich erreiche aus dem Client-Netz Standort A (10.105.0.0/16) keine Clients in Standort B (10.102.0.0/16) bzw. umgekehrt.
Auch erreiche ich aus anderen Server des OPNsense-LANs nur die WG-IPs der jeweiligen FritzBoxen, aber nicht die dahinterliegenden Client-Netze (10.105.0.0/16 bzw. 10.102.0.0/16).
Wieso erreiche ich die Clients über das Ping-Tool der OPNsense, nicht aber von den anderen Servern im LAN der OPNsense?
Und wie bekomme ich das Routing zwischen den dezentralen Client-Netzen hin?
Hat hier jemand eine Lösung?
Die Fritzen sind wie folgt angebunden:
[Interface]
PrivateKey = key
ListenPort = 51820
Address = 10.202.105.1/32
DNS = 10.201.2.2
[Peer]
PublicKey = key
AllowedIPs = 10.0.0.0/10, 10.64.0.0/11, 10.96.0.0/13, 10.104.0.0/16, 10.106.0.0/15, 10.108.0.0/14, 10.112.0.0/12, 10.128.0.0/9 => alles außer 10.105.0.0/16
Endpoint = FQDN opnsense:4445
PersistentKeepalive = 25
Zugelassene IPs auf OPNsense Seite für den dezentralen Standort:
10.202.105.1/32 und 10.105.0.0/16
-
Ich werde das WG zwar weiterverfolgen, habe jetzt aber aus Stabilitätsgründen erst mal wieder einen Rollback auf die alte OPNsense-Version gemacht.
Ich habe jetzt auch nochmal etwas gegoogled:
StrongSwan IPsec configuration now uses the preferred swanctl.conf instead of the deprecated ipsec.conf which could lead to connectivity issues in ambiguous cases. Subtle bugs cannot be ruled out as well so please raise an issue on GitHub to be able to investigate each case.
The new IPsec connections pages and API create an independent set of connections following the design of swanctl.conf. Legacy tunnel settings cannot be managed from the API and are not migrated.
Kann mir jemand sagen, wie man die Verbindungen auf strongswan richtig anlegt (ggf. Screens). Ich steige da nicht durch.
WG werde ich zwar auch weiterverfolgen, mangels FritzBoxen ohne WG-Untersützung in stable (7490) komme ich aber noch nicht ganz ohne IPSEC aus.
-
Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.
Falls es Dir hilft:
Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an
Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden
Und diese Config läuft bei dir mit Version 23? Ich bekomme es so nicht ans Laufen.
Ich habe das Problem, dass vor dem Update alle Tunnel stabil sind.
Nach dem Update kommen mit gleicher Config ein Teil der Tunnel (ca. 2-3) wieder hoch, doch dies ist nicht dauerhaft. Nach einem Reboot sind diese dann auch weg und kommen nicht wieder.
Ich habe dezentral einen Mix aus 7590 und 7490. Du betriebst diese Config mit Version 23?
Gruß
-
Hallo @groove21,
kannst Du posten was im Log geschieht, wenn die Verbindungen in 23.1 starten/nicht starten?
Meine ipsec Verbindungen zur Fritzbox funktionieren nach dem Update auf 23.1 leider auch nicht mehr. Hier habe ich meine Config und etwas aus dem Log gepostet: https://forum.opnsense.org/index.php?topic=32683.0 (https://forum.opnsense.org/index.php?topic=32683.0)
Außerdem meine Vermutung, dass die neue Verbindung mit strongswan mit den Fritzboxen nicht funktioniert, da opnsense die Verbindung nicht mehr mit der niedrigen DH Gruppe 2 initiieren möchte.
VG, Bernd
-
> Außerdem meine Vermutung, dass die neue Verbindung mit strongswan mit den Fritzboxen nicht funktioniert, da opnsense die Verbindung nicht mehr mit der niedrigen DH Gruppe 2 initiieren möchte.
Gibts hier schon eine konkrete Idee? swanctl.conf falsch generiert?
Grüsse
Franco
-
Gibts hier schon eine konkrete Idee? swanctl.conf falsch generiert?
Die Vermutung hatte ich, da 23.1 erst mit modp2048/DH Gruppe 14 startet und die Fritzbox initial modp1024/DH Gruppe 2 möchte. Siehe https://avm.de/service/vpn/fritzbox-mit-einem-firmen-ipsec-vpn-verbinden/ (https://avm.de/service/vpn/fritzbox-mit-einem-firmen-ipsec-vpn-verbinden/)
Grüße, Bernd
-
Zeig doch mal bitte die swanctl.conf auf 23.1 und ggf. die vorherige ipsec.conf auf 22.7.x.
Danke,
Franco
-
Ich hab's hier gepostet: https://forum.opnsense.org/index.php?topic=32683.msg158174#msg158174 (https://forum.opnsense.org/index.php?topic=32683.msg158174#msg158174)
Die Vermutung betrifft ja nur die "neuen Verbindungen", nicht die Umschrift von ipsec.conf zu swanctl.conf ...
Danke und Grüße
Bernd
-
Perfekt, ich schau mal.
Grüsse
Franco
-
Gibt es jetzt schon eine Erkenntnis, warum die alten Verbindungen mit der Fritz nicht mehr funktionieren? Selbst wenn ich von DH14 auf DH2 und SHA1 zurückgehe (was ja auch nicht so toll ist), bekomme ich das nicht mehr hin.
-
Also modp1024 fehlt bei den neuen Connections, weil es aktuell schon "deprecated" ist. Mit den alten Einstellungen unter Tunnel muss es aber funktionieren.
Grüsse
Franco
-
Ich habe die Connections gar nicht im neuen Tab angelegt, sondern nutze nach wie vor den alten.
Das geht mit Version 22 auch einwandfrei. Update ich dann auf Version 23 und ändere sonst nichts, kommt keine Verbindung mehr zustande. Die FritzBox meckert in ihrem Log "no proposal chosen"
Gibt es hier Ideen?
-
Funktioniert denn der Tunnel, wenn Du den FQDN durch Deine aktuelle IP-Adresse ersetzt ?
-
Beim "Fernen Gateway" oder bei "Meine Kennung"?
Ich habe bei beiden jeweils den DYNDNS-Namen drin stehen, was bisher problemlos funktioniert.
Außerdem habe ich in der Fritz-Config den DYNDNS-Namen auch bei localid drin stehen. Was soll ich da dann reinschreiben?
-
Mache es doch mal testhalber erst auf einer Seite und versuche den Tunnel von der einen oder anderen Seite zu initiieren und dann auf beiden Seiten. Ich habe etwas ähnliches festgestellt und dafür ein Ticket aufgemacht.
Vielleicht handelt es sich ja um dasselbe Problem.
https://github.com/opnsense/core/issues/6313 (https://github.com/opnsense/core/issues/6313)
-
Hallo,
sorry die letzten Tage war etwas Land unter, daher komme ich erst jetzt dazu. Eine Frage: Du schreibst in dem verlinkten Ticket folgendes: Maybe it would fix the problem if I could maintain the fields "remote addresses"/"local addresses" and change the entry to "fqdn:host.example.org" , as it works for the automatically migrated tunnels.
Hierzu hätte ich 2 Fragen:
Erledigt sich das Problem, wenn ich die Verbindungen zu strongswan migriere?
Wie kann man diese automatische Migration zu strongswan anstoßen?
Da stehe ich gerade auf dem Schlauch, gerade was den letzten Punkt angeht.
Wenn diese automatische Migration das Problem (vorübergehend) löst, bis ein Fix für neue Strongswan-Connections da ist, wäre das ja auch eine Option (ich muss aktuell keine neuen Verbindungen anlegen, daher wäre eine Migration der bestehenden Verbindungen erst mal ok).
Gruß
groove21
-
Hallo,
mit dem Upgrade auf 23.1 wurde die Konfiguration automatisch von ipsec.conf zu swanctl.conf migriert.
Es scheint nun Probleme mit FQDN-Einträgen zu geben. Ich kann aber nicht sagen, wo das Problem genau liegt ( vielleicht Namensauflösung bei Strongswan ? ). Ich habe bei mir nun IP-Adressen eingetragen und ziehe - als Workaround - diese bei IP-Adressänderungen manuell nach, damit die Tunnel wieder funktionieren
Viele Grüße,
atom
-
Ok aber die Migration auf swanctl hat dann nicht zur Folge dass die Verbindungen unter dem neuen Menupunkt neu angelegt werden, habe ich das richtig verstanden?
Gibt es auch Probleme wenn man die Connection unter dem neuen Menupunkt neu anlegt oder geht dies auch nicht?
@franco
Wird an dem Problem aus dem Ticket bzgl. FQDN aktiv gearbeitet? Bin am überlegen ob ich mit dem Update dann noch so lange warte.
-
Es gibt aus meiner Sicht im Moment mehrere Probleme mit IPsec unter 23.1 und "Connections[new]". Die Phase1 und Phase2 Timeout-Werte für IKEv1- und IKEv2-Tunnel werden aus den GUI-Einstellungen nicht übernommen, so dass hier die Tunnel nur mit den Standard-Werten von stringswan laufen. https://github.com/opnsense/core/issues/6370 (https://github.com/opnsense/core/issues/6370)
Ich habe auch noch keine Möglichkeit gesehen manuelle SPD-Einträge zu pflegen. Insofern habe ich nur ein paar Test-Systeme auf 23.1 und "Connections[new]" migriert und warte mit meinen produktiven Systemen darauf, dass die Fehler behoben werden.
-
@groove21:
Läuft es mittlerweile? Falls nicht, kann ich die kommenden Tage mal meine Konfig posten.
-
Hallo Schnipp,
funktioniert dein Setup jeweils mit DynDNS auf der dezentralen Seite?
Nutzt du die alte oder neue GUI. Wenn du DynDNS zum Laufen bekommen hast (egal mit alt oder neu), dann gerne deine Config mal teilen :)
Danke!
Gruß
-
funktioniert dein Setup jeweils mit DynDNS auf der dezentralen Seite?
Sofern Du mit dezentraler Seite die Fritzbox meinst: Ja. Wobei zu berücksichtigen ist, dass in der folgenden Konfiguration ausschließlich die Opnsense die IPsec-Verbindung zur Fritzbox aufbaut. Das ist so gewollt, und daher ist der Parameter "remoteip" in der VPN-Konfiguration der Fritzbox "0.0.0.0"
Nutzt du die alte oder neue GUI. Wenn du DynDNS zum Laufen bekommen hast (egal mit alt oder neu), dann gerne deine Config mal teilen :)
Ich habe alle meine IPsec-Konfigurationen mittlerweile auf die neue GUI (neues Strongswan Interface) umgestellt.
VPN-Konfiguration der Fritzbox (in diesem Fall 7490 mit Firmware 7.29)
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "<User defined name in Fritzbox>";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "<local id>";
}
remoteid {
fqdn = "<remote id>";
}
mode = phase1_mode_aggressive;
phase1ss = "dh15/aes/sha";
keytype = connkeytype_pre_shared;
key = "***************************************************************";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
//Fritzbox
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
//OpnSense
ipaddr = 10.0.0.0;
mask = 255.0.0.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.0.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
VPN-Konfiguration Opnsense (Neue GUI)
=============================
IPsec -> connection [new]
=============================
General settings:
- Enabled: yes
- Proposals: aes256-sha512-modp3072
- Unique: Replace
- Aggressive: enabled
- Version: IKEv1
- Mobike: disabled
- Local adresses: <DynDNS of Opnsense>
- Remote adresses: <DynDNS of Fritzbox>
- UDP encapsulation: disabled
- Re-auth time (s): 3600
- Rekey time (s): <empty>
- Over time (s): <empty>
- DPD delay (s): <empty>
- DPD timeout (s): <empty>
- Pools: Nothing selected
- Send cert req. disabled
- Send certificate: never
- Keyingtries: 5
- Description: <User defined name in Opnsense>
Local authentication:
- Enabled: yes
- Connection: <Name mentioned in general settings>
- Round: 0
- Authentication: Pre-Shared Key
- Id: <Remote id mentioned in Fritzbox VPN config>
- Certificates: Nothing selected
- Description: <User defined description>
Remote authentication:
- Enabled: yes
- Connection: <Name mentioned in general settings>
- Round: 0
- Authentication: Pre-Shared Key
- Id: <Local id mentioned in Fritzbox VPN config>
- Certificates: Nothing selected
- Description: <User defined description>
Children:
- Enabled: yes
- Connection: <Name mentioned in general settings>
- Mode: Tunnel
- Policies: enabled
- Start action: Trap
- DPD action: Trap
- ReqId: <empty>
- ESP proposals: aes256-sha512-modp3072, aes256gcm16-sha256-modp3072
- Local: 10.0.0.0/8
- Remote: 192.168.1.0/24
- Description: <User defined description>
=============================
IPsec -> Preshared Keys
=============================
- Local identifier: <Id mentioned in General settings -> Local authentication>
- Remote identifier: <Id mentioned in General settings -> Remote authentication>
- Pre-Shared Key: <Same key as in Fritzbox VPN config>
- Type: PSK
Weiterhin ist zu berücksichtigen:
- Der Pre-Shared Key sollte zufällig gewählt und lang sein, jedoch weniger als 128 Zeichen und ohne folgende Zeichen: "\
- IP-Adressbereiche des lokalen und entfernten Netzwerks sind entsprechend den Umgebungsbedingungen anzupassen
- Die Proposals in der VPN-Konfiguration der Fritzbox sind nicht die aktuellsten und sichersten (z.B. 3DES), daher ist es wichtig, dies über die Konfiguration der Opnsense entsprechend zu steuern
Da die möglichen gültigen Werte der VPN-Konfigurationsparameter von der jeweiligen Firmwareversion der Fritzbox abhängen, bietet das Internet weitere Informationen (z.B. hier (https://burth-online.de/cms/pages/dokumentationen/avm-fritzbox/fritzbox---vpn---konfigurationsdatei.php)). Die aktuell neu entwickelten Firmwareversionen der Fritzbox sollen neben Wireguard auch IKEv2 unterstützen. Sofern Du IPsec beibehalten möchtest, ist es in jedem Fall ratsam, zügig auf IKEv2 umzustellen.
Grüße,
Schnipp
-
Danke für das Teilen.
Es ist wie verhext: Ich habe jetzt wieder das Update gemacht und scheinbar wurde in der letzten Version was gefixt. Alle Verbindungen gingen nach dem Update auf Anhieb mit der alten Config, was vorher nicht der Fall war.
Ich werde aber nach und nach auch auf Strongswan umstellen.
Frage: Hast du schon eine Fritz mit IKEv2 laufen?
-
Frage: Hast du schon eine Fritz mit IKEv2 laufen?
Noch nicht, ich muss erst abwarten, bis die finale Firmwareversion für die 7490 den Laborstatus verlässt.