OPNsense Forum
International Forums => German - Deutsch => Topic started by: Mathias on November 21, 2017, 02:15:05 pm
-
Hallo,
habe schon ein bisschen gesucht, doch leider finde ich keine Anleitung zur Einrichtung von einer VPN Verbindung von einer Fritzbox zu Opnsense. Hat jemand von euch eine Anleitung oder hat es schon jemand eingerichtet und kann mir ein paar Tipps geben?
-
https://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_2.2
Zu pfSense findet man oft Anleitungen, die sich 1:1 auf OPNsense übernehmen lassen ;)
-
ok, danke
-
In dem Link steht, dass bei bestimmten pfSense Versionen keine Verbindung zur Fritzbox möglich ist. Das scheint auch für OPNSense zu stimmen. Seit dem Upgrade auf die 17er Version ist keine IPSEc-Verbindung zu meiner 7490 mehr möglich.
Gibt es da irgendeine Lösung?
Gut, ausser AVM zu bequengeln OPENVPN zu implementieren, was wohl nicht so bald passieren wird.
Grüsse
T
-
Warum genau geht es denn nicht? Logs?
Grüsse
Franco
-
okay, anscheinend geht es jetzt wieder mit der anleitung und den mittlerweile einigen opnsense und fritzbox updates. die orginalconfig die ich lange benutzt hatte geht nicht mehr. aber ich habe eine neue. ich werde die morgen mal einstellen mit links zu hilfreichen seiten - es hat sich anscheinend einiges getan. aber bei dem link oben ist 3des als verschlusselung und das ist nicht zeitgemäß
-
:)
-
Okay, sorry, aber gestern hatte ich dann keine Möglichkeit mehr das ordentlich zu beschreiben.
It is as it is:
- Nach dem Upgrade auf die 17er OPNsense ging auf einmal mein IPSec an meine Fritzbox 7490 nicht mehr. Nach einen oder zwei kleinen Updates, hat es sich einmal (nach Filter neu laden) wieder verbunden, aber seit dem wieder nicht
- Zusätzlich wurden unsere ISDN-Anschlüsse auf VOIP umgestellt. Da die Anbindung der Telefonanlage direkt über Zyxel DSL-Modems aus anderen Problemen nicht funktioniert hat (lange Fehlersuche und Hardwareprobleme), habe ich kurzerhand zwei 7490er als VOIP/ISDN Übersetzer angeschlossen und hinter diesen beiden dann die OPNSense mit einer "Exposed Host" Konfiguration angeschlossen. Das ist nicht elegant, aber gute Provisorien halten bekanntlich ein Leben lang. Wenn der Weihnachtsmann die gewünschte Zeit bringt, wird das evtl. wieder geändert
- Dennoch: Mit der Orginalkonfig die über Jahre funktionierte war keine Verbindung möglich. Die Anbindung über OpenVPN ging nicht so gut, aber Provisorien (siehe oben).
- Die Anleitung für pfSense wie oben gelinkt funktioniert tatsächlich wieder - allerdings ist DH G1 und 3DES ist nun wirklich nicht, was ich dauerhaft betreiben möchte.
- Hier: https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert/ findet sich eine Liste mit möglichen Einstellungen und da wurde einiges gestet. Was wirklich hilfreich ist, da nicht jede Kombination einfach so funktioniert.
- Es ist *zwingend* notwendig eine funktionierende Config zu erstellen. Und hier fängt der Ärger an. Man muss tatsächlich ein wenig probieren. Meine Einstellungen in der OPNSense sind wie folgt:
Anschlussart: Standard
Schlüsselaustauschversion V1
Internetprotokoll IPv4
Ferner Gateway: <IP der Gegenseite>
Authentifizierung: Mutual PSK
Bestimmungsmodus: Agressiv
Meine Kennung: Bedeutender Name -> DNS Name OPNSense
-> Die IP funktioniert hier nicht, die ist ja an der Fritzbox, nicht an der OPNSense
Peer Identifier: Bedeutender Name -> DNS Name der Fritzbox
Verschlüsselungsalgorithmus: AES, 256 (mehr geht nicht). Die Anderen AES mit CGM gehen *nicht*!
Hash: SHA1 (seufz)
DH: Group2
Lebenszeit 28800
Für Phase 2:
Protokoll: ESP
Verschlüsselung: AES/Automatisch
Hash: SHA1
PFS: 2 (1024 Bit)
Lebenszeit 3600
Die Konfig für die Fritzbox ist wie folgt (bitte anpassen):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "NAME DER VERBINUNG"; // NAME der Verbindung
always_renew = yes; // Verbindung immer herstellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = <LOKALEIP FritzBox>;
local_virtualip = 0.0.0.0;
remoteip = <IP DER OPNSENSE>; // Feste oeffentliche IP der pfSense Firewall
remote_virtualip = 0.0.0.0;
localid {
fqdn = "DNS.NAME.FRITZ"; // dyndns name der FritzBox
}
remoteid {
fqdn = "DNS.NAME.OPNSENSE";
}
// mode = phase1_mode_aggressive; Alt, machte Probleme mit pfSense 2.2
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "EinTollesPasswortabernichtzulang";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0; // Das interne Netzwerk LAN hinter der pfSense
mask = 255.255.255.0; // inklusive Subnetmask
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; // wichtig, da sonst kein Datenaustausch
accesslist = "permit ip any 192.168.1.0 255.255.255.0"; // Firewall Einstellungen für pfSense Subnetz
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Zur Anmerkung: Alle meine Anschlüsse haben eine feste IP.
So funktioniert es bei mir zumindest.
Eine wichtige Anmerkung: Das Passwort darf nicht zu lang sein. Irgendwann nimmt die Fritzbox das nicht mehr an... Sagt aber nix. Im Protokoll der OPNSense kommt dann "Authentifizierungsfehler".
Ciao
T