Guten Tag,
wir haben Probleme beim Verbinden einer OPNsense mit einer FRITZ!Box 7590 AX mit IPsec
Die OPNsense steht am Standort A und hat folgende Einstellungen:
# Standort A OPNsense Phase 1
# Standort A OPNsense Phase 2
Laut meiner Recherche sollen die IPsec Einstellungen auf der OPNsense korrekt sein
(wobei ich vieles versucht habe)
Am Standort B soll die FRITZ!Box bald hingestellt werden.
Im Moment befindet sich die FRITZ!Box an Standort C, um konfiguriert zu werden
Am Standort C wird die Internetverbindung auch mit einer FRITZ!Box aufgebaut.
Diese FRITZ!Box hat Exposed Host auf eine andere OPNsense an Standort C.
Diese OPNsense leitet IPsec Pakete weiter an die FRITZ!Box, die nach erfolgreicher Konfig von C nach B soll. (Screenshot angehängt)
(diese Weiterleitungs-Regeln scheinen zu funktionieren, da beim Verbindungsaufbau Versuch verschiedene Fehlermeldungen auf der FRITZ!Box kommen)
Problem:
- bei der Einrichtung von IPsec stoße ich je nach Konfiguration auf der FRITZ!Box auf folgende Fehler-Codes
- IKE-Error 0x2005 - internal error
- IKE-Error 0x2027 - timeout
- IKE-Error 0x2026 - no proposal chosen
- IKE-Error 0x203f - authentication failed
Hat ein bisschen gedauert bis ich gemerkt habe, die FRITZ!Box kann nur IKEv1
Habe einige Anleitungen und Forenbeiträge gesichtet, ohne Erfolg.
# Folgende Einstellungen sind im Moment auf der FRITZ!Box
OPNsense Version: 24.10.1 opnsense-business
FRITZ!Box Version: 8.02
Anfangs dachte ich, das wird einfach. Jetzt frage ich mich, warum ich immer noch damit struggle.
Die hier genannten Einstellungen sind die aktuellen - ich habe verschiedenes versucht.
Ich hoffe sehr, Ihr könnt mir helfen! :)
P.S.: Hier der aktuelle Log von der OPNsense beim Verbindungsaufbau und die aktuelle FRITZ!Box Fehlermeldung mit der aktuell genannten Konfig
# FRITZ!Box
- VPN-Fehler: VPN-Verbindung, IKE-Error 0x203f [36 Meldungen seit 11.06.25 14:16:37]
# OPNsense
P.P.S.: Ich hatte auch mit IKev2 auch folgendes:
2025-06-11T11:54:55 Informational charon 11[IKE] <con10|251943> received AUTHENTICATION_FAILED notify error
2025-06-11T11:54:55 Informational charon 11[ENC] <con10|251943> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Liebe Grüße!
Gutfred
wir haben Probleme beim Verbinden einer OPNsense mit einer FRITZ!Box 7590 AX mit IPsec
Die OPNsense steht am Standort A und hat folgende Einstellungen:
# Standort A OPNsense Phase 1
- Anschlussart: Standard
- V1
- IPv4
- Schnittstelle WAN
- Ferner Gateway: DynDNS Adresse der FRITZ!Box
- Auth Methode: Mutual PSK
- Bestimmungsmodus: Aggressive
- Meine Kennung: Eindeutiger Name: eigene DynDNS Adresse
- Peer-Identifizierer: Eindeutiger Name: DynDNS Adresse der FRITZ!Box
- AES 256
- SHA 512
- DH 14
- Richtlinie installieren aktiviert
- NAT-T aktiviert
- DPD aktiviert
# Standort A OPNsense Phase 2
- Tunnel IPv4
- Lokales LAN Subnetz
- Entfernt: Netzwerk x.x.x.x/24
- ESP
- AES256
- SHA215
- DH 14
- 3600 Sekunden
Laut meiner Recherche sollen die IPsec Einstellungen auf der OPNsense korrekt sein
(wobei ich vieles versucht habe)
Am Standort B soll die FRITZ!Box bald hingestellt werden.
Im Moment befindet sich die FRITZ!Box an Standort C, um konfiguriert zu werden
Am Standort C wird die Internetverbindung auch mit einer FRITZ!Box aufgebaut.
Diese FRITZ!Box hat Exposed Host auf eine andere OPNsense an Standort C.
Diese OPNsense leitet IPsec Pakete weiter an die FRITZ!Box, die nach erfolgreicher Konfig von C nach B soll. (Screenshot angehängt)
(diese Weiterleitungs-Regeln scheinen zu funktionieren, da beim Verbindungsaufbau Versuch verschiedene Fehlermeldungen auf der FRITZ!Box kommen)
Problem:
- bei der Einrichtung von IPsec stoße ich je nach Konfiguration auf der FRITZ!Box auf folgende Fehler-Codes
- IKE-Error 0x2005 - internal error
- IKE-Error 0x2027 - timeout
- IKE-Error 0x2026 - no proposal chosen
- IKE-Error 0x203f - authentication failed
Hat ein bisschen gedauert bis ich gemerkt habe, die FRITZ!Box kann nur IKEv1
Habe einige Anleitungen und Forenbeiträge gesichtet, ohne Erfolg.
# Folgende Einstellungen sind im Moment auf der FRITZ!Box
- VPN-Benutzername(Key-ID): Im Moment die DynDNS Adresse der FRITZ!Box
- VPN-Kennwort:(Preshared-Key): Der PSK in der OPNsense + dieser FRITZ!Box
- XAUTH verwenden: Nein
- Internet-Adresse der Gegenstelle: DynDNS Adresse der OPNsense
- Internet-Adresse dieser FRITZ!Box: eigene DynDNS Adresse
- Entferntes Netzwerk x.x.x.x/24
- VPN-Verbindung dauerhaft halten angecheckt
- NetBIOS erlauben: Ja
OPNsense Version: 24.10.1 opnsense-business
FRITZ!Box Version: 8.02
Anfangs dachte ich, das wird einfach. Jetzt frage ich mich, warum ich immer noch damit struggle.
Die hier genannten Einstellungen sind die aktuellen - ich habe verschiedenes versucht.
Ich hoffe sehr, Ihr könnt mir helfen! :)
P.S.: Hier der aktuelle Log von der OPNsense beim Verbindungsaufbau und die aktuelle FRITZ!Box Fehlermeldung mit der aktuell genannten Konfig
# FRITZ!Box
- VPN-Fehler: VPN-Verbindung, IKE-Error 0x203f [36 Meldungen seit 11.06.25 14:16:37]
# OPNsense
- 2025-06-11T14:13:15 Informational charon 10[NET] <258174> sending packet: from 15.15.15.15[500] to 30.30.30.30[500] (56 bytes)
- 2025-06-11T14:13:15 Informational charon 10[ENC] <258174> generating INFORMATIONAL_V1 request 361127135 [ N(AUTH_FAILED) ]
- 2025-06-11T14:13:15 Informational charon 10[IKE] <258174> no peer config found
- 2025-06-11T14:13:15 Informational charon 10[CFG] <258174> looking for pre-shared key peer configs matching 15.15.15.15...30.30.30.30[65:32:76:45:12:69:35:23:64:3a:15:14:74:3e:12:69:78:73:54:34]
- 2025-06-11T14:13:15 Informational charon 10[CFG] <258174> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048
- 2025-06-11T14:13:15 Informational charon 10[IKE] <258174> 30.30.30.30 is initiating a Aggressive Mode IKE_SA
- 2025-06-11T14:13:15 Informational charon 10[ENC] <258174> received unknown vendor ID: a3:42:3c:23:54:49:3f:3a:23:ee:7f:3b:2a:64:f5:2b
- 2025-06-11T14:13:15 Informational charon 10[IKE] <258174> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
- 2025-06-11T14:13:15 Informational charon 10[IKE] <258174> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
- 2025-06-11T14:13:15 Informational charon 10[IKE] <258174> received NAT-T (RFC 3947) vendor ID
- 2025-06-11T14:13:15 Informational charon 10[IKE] <258174> received DPD vendor ID
- 2025-06-11T14:13:15 Informational charon 10[IKE] <258174> received XAuth vendor ID
- 2025-06-11T14:13:15 Informational charon 10[ENC] <258174> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
- 2025-06-11T14:13:15 Informational charon 10[NET] <258174> received packet: from 30.30.30.30[500] to 15.15.15.15[500] (884 bytes)
P.P.S.: Ich hatte auch mit IKev2 auch folgendes:
2025-06-11T11:54:55 Informational charon 11[IKE] <con10|251943> received AUTHENTICATION_FAILED notify error
2025-06-11T11:54:55 Informational charon 11[ENC] <con10|251943> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Liebe Grüße!
Gutfred