Moin, Moin,
ich versuche die OPNsense mit einer entfernten Fritz.Box zu verbinden. Dabei schaut mein Aufbau so aus:
Home:
dynDNS: fw.test.de -> Fritz.Box; 192.168.100.1 -> OPNsense WAN: 192.168.100.2 -> OPNsense LAN: 192.168.0.1
Entferntes Netz:
dynDNS fsdrfefssre.myfritz.net -> Fritz.Box: 192.168.1.1
meine Config hierfür schaut so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN_Hamburg";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "fw.test.de";
localid {
fqdn = "fsdrfefssre.myfritz.net";
}
remoteid {
fqdn = "fw.test.de";
}
mode = phase1_mode_aggressive;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "0pk9q45dm7p8o74wflzuksizic7ipuniwpmbou4q8oqcmo8m8";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Leider kann keine Verbindung aufgebaut werden. Die entfernte Fritz.Box gibt folgende Meldung aus:
IKE-Error 0x2027 "timeout"
die OPNsense hat folgende Einträge im Log:
2020-11-21T11:12:20 charon[87891] 11[CFG] ignoring acquire, connection attempt pending
2020-11-21T11:12:20 charon[87891] 16[KNL] creating acquire job for policy 192.168.0.1/32 === 231.232.123.1/32 with reqid {1}
Frage: was mache ich falsch? Ich habe alles mehrfach überprüft. Richte ich eine Verbindung zwischen den Fritz.Boxen untereinander ein, dann klappt die Verbindung sofort. Aber dann kann ich aus dem 192.168.0.0/24-Netz nicht auf das 192.168.1.0/24-Netz zugreifen und umgekehrt.
also es ist bei mir ein paar tage her, bei der fritzos version ab 7.20 oder so kannst du die konfigurations datei der fritzbox vergessen, du kannst alles über die web gui einrichten.
- bitte mal einen grafischen netzwerkplan
- bitte deine ipsec konfiguration als screenshot
- ich habe laufende ipsec´s zu fritzbox 6591, 7490
so kann ich die konfiguration mit meiner vergleichen
Quote from: micneu on November 21, 2020, 11:22:28 AM
- bitte mal einen grafischen netzwerkplan
Das wüsste ich jetzt nicht, wie ich das machen sollte. Reicht das nicht?:
Home:dynDNS: fw.test.de -> Fritz.Box; 192.168.100.1 -> OPNsense WAN: 192.168.100.2 -> OPNsense LAN: 192.168.0.1
Entferntes Netz:dynDNS fsdrfefssre.myfritz.net -> Fritz.Box: 192.168.1.1
Quote from: micneu on November 21, 2020, 11:22:28 AM
- bitte deine ipsec konfiguration als screenshot
Die habe ich als Anlage mit beigefügt.
Quote from: micneu on November 21, 2020, 11:22:28 AM
- ich habe laufende ipsec´s zu fritzbox 6591, 7490
Bei der entfernten Fritz.Box handelt es sich um eine FRITZ!Box 6490 Cable mit v. 7.20
1. als bei DH key group habe ich bei mir "2"
2. das entfernte netz ist doch die .100.0 oder nicht warum ist dann die .1.0 bei dir eingetragen?
3. mein Pre-Shared Key habe ich glaube ich auf 32 zeichen begrenzt da ich mal mit der 7490 damals probleme hatte
Quote from: micneu on November 21, 2020, 12:46:18 PM
2. das entfernte netz ist doch die .100.0 oder nicht warum ist dann die .1.0 bei dir eingetragen?
In der Anlage mal mein "Netzwerkplan". Etwas stümperhaft, aber ich glaube man kann erkennen wie es aufgebaut ist.
Wenn ich da das Netz 100.0 eintrage, bringt mir das ja in meinem Netz nichts. Da profitiert ja nur die Firtz.Box selbst.
Erlaubst du IPsec auf dem WAN Interface?
Die Lösung des Problems war ganz simpel. Layer8 :)
Der Hashalgorithmus war auf 256 statt 512 gestellt. Das passiert wenn man sich durch Anleitungen hangelt aber in Wirklichkeit gar nicht versteht was man da tut.