Hallo Leute!
Ich habe mir schon einen Wolf gesucht nach funktionierenden Konfigurationen.
Vorgabe ist Opensense mit fester IP und div. Fritzboxen mit DynDNS
alles was ich bisher ausprobiert habe läuft entweder gar nicht oder verbindet sich und bricht dann ab, oder Verbindung steht und nach Deedpeer wird nicht wieder aufgebaut (erst nach neustart der Sense.
es sind hauptsächlich ältere fritzen am start so wie 7490; 7390; 7360 usw.
hat mir jemand eine Konfig die dauerhaft läuft?
cu
Armin
Hallo
Ich habe eine OPNsense mit folgender IPSec-Konfiguration. Verbindung mit einer FritzBox 5490. Vorher war's eine 7390 mit der selben Konfiguration, wenn ich das noch recht in Erinnerung habe.
Phase 1
Connection method: Start on traffic
Key Exchange version: V1
Internet Protocol: IPv4
Interface: WAN
Remote gateway: Ziel-Host
Authentication method: Mutual PSK
Negotiation mode: Aggressive
My identifier: Distiguished name: Mein-Hostname
Peer identifier: Distiguished name: Ziel-Hostname
Pre-Shared Key: Sicheres Passwort
Encryption algorithm: AES256
DH key group: 2 (1024 bits)
Lifetime: 28800
Install policy: checked
Dead Peer Detection: checked, 10 seconds, 5 retries, default DPD action
Phase 2
Mode: Tunnel IPv4
Local Network Type: Some subnet
Remote Network Type: Some network
Protocol: ESP
Encryption algorithms: AES256
Hash algorithms: SHA512
PFS key group: 2 (1024 bits)
Lifetime: 3600
Entsprechende Firewallregeln werden natürlich auch noch benötigt.
und was hast du in der Fritze eingestellt ?
Kann als Vorlage für eine .cfg-Datei für den Import auf der Fritz!Box verwendet werden. Die Kommentare würde ich entfernen.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Ziel-Hostname"; # Standort der Sense
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Ziel-Hostname"; # Standort der Sense
localid {
fqdn = "Mein-Hostname"; # Standort der FritzBox
}
remoteid {
fqdn = "Ziel-Hostname"; # Standort der OPNsense
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "Sicheres Passwort";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0; # (IP-Bereich Seite FritzBox)
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.20.0; # (IP-Bereich Seite OPNsense)
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.20.0 255.255.255.0"; # IP-Bereich Seite OPNsense, Zugriffsrechte
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
mit der fritzbox konfig habe ich es erfolgreich am laufen mit einer pfsense:
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = " <=> ";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "DYNDNSSENSE";
localid {
fqdn = "MYFRITZ";
}
remoteid {
fqdn = "DYNDNSSENSE";
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "PSK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.X.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.3.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.3.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
so ist mein netz:
Ich habe jetzt beide Konfigs ausprobiert,
mit der Fritz 7490 klappt es immer
mit z.b. 7360 oder 7390 leider nicht auf fritz Seite kein eintrag im System-Log
auf der Sense wird dauernd versucht zu verbinden.
Die 7360 und 7390 sind direkt mit dem Internet verbunden oder sind noch andere Geräte dazwischen?
Quote from: magicas on September 07, 2022, 12:31:32 PM
Ich habe jetzt beide Konfigs ausprobiert,
mit der Fritz 7490 klappt es immer
mit z.b. 7360 oder 7390 leider nicht auf fritz Seite kein eintrag im System-Log
auf der Sense wird dauernd versucht zu verbinden.
warum setzt ihr noch die uralt boxen 7360 oder 7390 ein, da ich niemanden habe der sowas altes einsetzt bin ich raus. stelle doch da eine 7590 hin, mit der geht es auch?
Die fritzen sind direkt am Netz ohne Geräte dazwischen.
Die fritzen sind nur zur Datenübertragung von märkten (Kasse) an die Hauptstelle.
Da ist es unerheblich ob alt oder neu da gehen nur minimale Daten drüber.
Der VPN ist zum einen zur Datenübertragung (hauptsächlich) zum anderen zur Fernwartung
Das Alter der Boxen ist aber für die verwendete Firmware wichtig und ich bin mir nicht sicher aber ich denke das da eine sehr alte Firmware drauf ist. Wenn es für eine Firma ist warum stellt ihr nicht in jeder Filiale eine Sense und macht openvpn so teuer ist das nicht?
Gesendet von iPhone mit Tapatalk Pro
es geht um ca. 30-50kb Daten jeden Tag, rechnet sich nicht
doch:
- du / die admins haben weniger stress
- ihr habt insgesamt mehr möglichkeiten mit einer sense
- oder nur austausch der alten fritten bekommt ihr mit neuen die aktuellsen (sicherheits) updates
- wenn ich es richtig gesehen habe ist die 7390/7360 eol also das alleine währe ein grund für mich das ding raus zu werfen
Erklär das mal nem Kunden der bis vor 1 Jahr mit Modem übertragen hat......
die fritten waren Teil der Umstellung vom Telefonprovider
das musst du mit dem sicherheits aspekt verkaufen (argumente habeich ja schon geliefert), ich bin in der glücklichen lage in einer internen it zu sein, war auch mal externer dienstleister
Quote from: magicas on September 07, 2022, 06:36:48 PM
Erklär das mal nem Kunden der bis vor 1 Jahr mit Modem übertragen hat......
die fritten waren Teil der Umstellung vom Telefonprovider
Dann kann man dem Kunden erklären, dass der Provider da Murks ausgeliefert hat. Kein Provider bringt bei einer Umstellung alte Gammelhardware zum Kunden, die allermeisten haben eh Deals mit Herstellern am Start und bringen deren neueste Produkte. 7530, 7520 (gebrandet) und Co. Wer letztes Jahr noch 73xx ausgeliefert hat, hat Altgeräte entsorgt die außerhalb des Supports von AVM sind. Das muss man dann auch mal dem Kunden verständlich machen.
Man kann da natürlich Stunden um Stunden reinhängen, oder einmal für weniger Geld ne neue Kiste hinstellen die ggf. dann mehr als nur MIESES IPsec kann (was AVM ja schon mehrfach zugegeben hat, dass man da bei Tunneln nicht up2date ist und das mehr schlecht wie recht pflegt). Oder man packt eben statt stundenlang Support Aufwand abzurechnen weils nicht geht einmal für ein bisschen Einsatz eine (zusätzliche) kleine Box dazu, packt *sense drauf und kann den Kunden egal was er in Zukunft vornedran hat ordentlich anbinden.
Egal wie super-preis-sensitiv der Kunde ist, das hat man mit ordentlicher Erklärung bislang jedem nahebringen können. Und für Murks von anderen Anbietern/Telkos/Firmen kann man nichts. Die uralt Kisten würden ja nichtmal das neue FritzOS bekommen mit Wireguard, sind also komplette Einbahnstraße. Dann lässt man sie eben weiter Modem oder Router spielen und packt ne günstige Kiste mit ner *Sense dahinter und fein :)
Cheers
Du hast ja vollkommen Recht mit deiner Argumentation.
Ich werde auch beim Kunden mal vorsprechen deswegen.
Aber nichts desto trotz muss und sollte es doch eine Lösung mit den fritten egal ob alt oder neu geben.
Als Beispiel deine Eltern und oder Opa/Oma sind nicht Technik affin haben vor längerer Zeit bei der Telekom ne Leitung mit Internet und telefon bekommen, diese wurde mit irgendeiner Hardware bestückt meist im Kauf. Nun möchtest du sie supporten. Das ginge am einfachsten mit einer s2s vpn verbindung. Diese herrschaften sagen dir auf jeden Fall das funktioniert schon immer einwndfrei warum soll ich jetzt was neues kaufen. und im privaten haben sie ja auch recht. was machst du dann?
Gammelhardware --> kein Support. Ganz einfach. Kein Backup, kein Mitleid.
Quote from: magicas on September 08, 2022, 06:54:03 PM
Du hast ja vollkommen Recht mit deiner Argumentation.
Ich werde auch beim Kunden mal vorsprechen deswegen.
Aber nichts desto trotz muss und sollte es doch eine Lösung mit den fritten egal ob alt oder neu geben.
Als Beispiel deine Eltern und oder Opa/Oma sind nicht Technik affin haben vor längerer Zeit bei der Telekom ne Leitung mit Internet und telefon bekommen, diese wurde mit irgendeiner Hardware bestückt meist im Kauf. Nun möchtest du sie supporten. Das ginge am einfachsten mit einer s2s vpn verbindung. Diese herrschaften sagen dir auf jeden Fall das funktioniert schon immer einwndfrei warum soll ich jetzt was neues kaufen. und im privaten haben sie ja auch recht. was machst du dann?
wenn es deine familie ist dann kaufst (zahlst) DU halt die hardware und gut ist (mache ich bei meiner mutter auch)
aber das tut ja hier nichts zur sache, es ging ja um deinen kunden oder hat sich die lage geändert?
> Aber nichts desto trotz muss und sollte es doch eine Lösung mit den fritten egal ob alt oder neu geben.
Das Problem ist aber dass AVM eben bei IPsec viel nachpatchen und fixen musste damit der Kram überhaupt noch/wieder irgendwie ging mit "normalen" Gegenstellen die keine Fritten sind. Und wenn du da auf altem Elektroschrott sitzt, der nicht updatefähig ist, bekommst du die ganzen IPsec Updates eben nicht mit und musst dich dann mit Bugs rumschlagen, die es in der Form vielleicht gar nicht mehr gibt.
> Nun möchtest du sie supporten.
Da fängt der Unterschied an ;) Möchte ich nicht :D Oder anders gesagt: wenn ich sie supporten möchte, berate ich sie direkt bei der Technik und spreche das klar an, dass das nicht klappt so. Und alternativ bekommen sie nen Raspi mit OpenVPN oder Wireguard hinter ihre 08/15 Providerbox reingeballert wenns gar nicht anders geht. Das ist dann die günstigste Lösung nach "kleine Routerbox statt Providertröte" direkt davor. Aber selbst meine Eltern oder mein Bruder die wenig Plan von dem Kram haben glauben mir dann, dass es eben nicht ordentlich funktioniert und dass dann eben noch ein Teil gebraucht wird.
> diese herrschaften sagen dir auf jeden Fall das funktioniert schon immer einwndfrei
Was es vorher nicht gab (S2S) kann nicht schon immer einwandfrei funktioniert haben, die Argumentation ist da einfach falsch :) Wenn ich als Privatperson oder als Firma jemand supporten möchte, dann hört der im Normalfall auch auf mich, sonst würde ich ihn nicht supporten wollen. Gegen jemandes Interessen agiere ich nicht und wenn der Kunde, Kollege, Partner, Eltern, whatever davon schon ausgehen, dann brauche ich da gar nicht weiter zu machen :)
Und ja wenn dann eben jemand keine Änderung machen möchte weil "es war ja schon immer so", dann gibts eben keine Hilfestellung, denn "das war ja dann auch schon immer so". Ich kann nicht zaubern :D
Aber zurück zum Problem:
Wir hatten u.a. genau deshalb schon direkt mit AVM und auch mehrere Kunden schon direkt Kontakt. Wegen aktueller und älterer Boxen. Und Quintessenz war "ja wir wissen dass das nicht toll ist, wir haben das vom damals tollen AVM VPN Server runtergedummt in die Fritzboxen rein und dann halt kaum mehr angefasst. Wir (Support) hätten das auch gern, dass da mehr geht als es tut aber wir könnens nur an die Technik weitergeben." Und die tut offensichtlich nicht viel, was IPsec angeht, sondern baut statt dessen jetzt lieber - weil ein tolles HypeThema - Wireguard ein. Nicht dass ich was dagegen habe, das klappt dann vielleicht endlich mal besser als IPsec. Aber AVM dummt die Dienste gern so weit runter, dass sie wie ne Eisenbahnschiene funktionieren. Vorne ein Stück, hinten ein Stück, abbiegen ist nicht. Und wenn bspw. mit WG wieder nur ein Netz A mit B verbunden werden kann weil man die Config der Box einfach so verdummt hat dass per UI man nicht mehr einstellen kann, dann wird das für viele wieder ne Enttäuschung. Sogar jetzt musste man schon wieder mehrfach den Release nach hinten stellen, weil die Labor FW doch nicht so sauber funktioniert hatte wie man wollte. Daher habe ich da aktuell wenig Hoffnung, dass der erste Wireguard Wurf von AVM so toll ausfällt wie sie ihn hypen. Zumal der Fokus wohl erstmal nur auf Einwahl und weniger auf Tunnel S2S liegt.
Aber da man auf der IFA ja schon damit geworben hat, demnächst Matter und Thread unterstützten zu wollen, gibts schon das nächste Hype Thema, bevor die neue Firmware erstmal funktioniert. Ich sehe die Prioritäten da leider eher aktuell auf "neusten Hype schnell implementieren" statt erstmal ordentlich stabil zu bauen bevor die nächste Baustelle kommt.
Hi Leute !
Der Provider ist eingeknickt und liefert jetzt zug um zug 7590 / 7530 AX als Ersatz.
Trotzdem würde mich das interessieren wie man die Tunnel zu alten Fritten aufbauen kann.
mit nem Lancom 1781 funktionieren die Tunnel jeweils sofort.
Das IPsec der alten Fritten is kaputt. Deshalb geht's ja auch nicht.
Quote from: magicas on September 09, 2022, 03:11:07 PM
Hi Leute !
Der Provider ist eingeknickt und liefert jetzt zug um zug 7590 / 7530 AX als Ersatz.
Trotzdem würde mich das interessieren wie man die Tunnel zu alten Fritten aufbauen kann.
mit nem Lancom 1781 funktionieren die Tunnel jeweils sofort.
freu dich auf die neuen boxen und vergiss die alten fritzboxen, für mich ist dein thema jetzt erledigt, viel spaß noch im forum