VPN zur Fritz.Box

Started by dslthomas, November 21, 2020, 11:17:01 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 21, 2020, 11:17:01 AM
Moin, Moin,

ich versuche die OPNsense mit einer entfernten Fritz.Box zu verbinden. Dabei schaut mein Aufbau so aus:

Home:

dynDNS: fw.test.de -> Fritz.Box; 192.168.100.1 -> OPNsense WAN: 192.168.100.2 -> OPNsense LAN: 192.168.0.1

Entferntes Netz:

dynDNS fsdrfefssre.myfritz.net -> Fritz.Box: 192.168.1.1

meine Config hierfür schaut so aus:

Code Select
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN_Hamburg";
                always_renew = yes;
                reject_not_encrypted = no; 
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "fw.test.de";
                localid {
                        fqdn = "fsdrfefssre.myfritz.net";
                }
                remoteid {
                        fqdn = "fw.test.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha"; 
                keytype = connkeytype_pre_shared;
                key = "0pk9q45dm7p8o74wflzuksizic7ipuniwpmbou4q8oqcmo8m8"; 
                cert_do_server_auth = no;
                use_nat_t = no; 
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Leider kann keine Verbindung aufgebaut werden. Die entfernte Fritz.Box gibt folgende Meldung aus:

Code Select
IKE-Error 0x2027 "timeout"

die OPNsense hat folgende Einträge im Log:

Code Select
2020-11-21T11:12:20 charon[87891] 11[CFG] ignoring acquire, connection attempt pending
2020-11-21T11:12:20 charon[87891] 16[KNL] creating acquire job for policy 192.168.0.1/32 === 231.232.123.1/32 with reqid {1}

Frage: was mache ich falsch? Ich habe alles mehrfach überprüft. Richte ich eine Verbindung zwischen den Fritz.Boxen untereinander ein, dann klappt die Verbindung sofort. Aber dann kann ich aus dem 192.168.0.0/24-Netz nicht auf das 192.168.1.0/24-Netz zugreifen und umgekehrt.

ESX 8 - 6 Core / 32GB Ram
Synology DS620slim 6 x 2 TB SSD
OPNsense 23.1.8 N-BOX-S2 i7-1165G7 16GB RAM
November 21, 2020, 11:22:28 AM #1 Last Edit: November 21, 2020, 11:24:38 AM by micneu
also es ist bei mir ein paar tage her, bei der fritzos version ab 7.20 oder so kannst du die konfigurations datei der fritzbox vergessen, du kannst alles über die web gui einrichten.
- bitte mal einen grafischen netzwerkplan
- bitte deine ipsec konfiguration als screenshot
- ich habe laufende ipsec´s zu fritzbox 6591, 7490

so kann ich die konfiguration mit meiner vergleichen
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 21, 2020, 12:26:41 PM #2
Quote from: micneu on November 21, 2020, 11:22:28 AM
- bitte mal einen grafischen netzwerkplan

Das wüsste ich jetzt nicht, wie ich das machen sollte. Reicht das nicht?:

Home:

dynDNS: fw.test.de -> Fritz.Box; 192.168.100.1 -> OPNsense WAN: 192.168.100.2 -> OPNsense LAN: 192.168.0.1

Entferntes Netz:

dynDNS fsdrfefssre.myfritz.net -> Fritz.Box: 192.168.1.1

Quote from: micneu on November 21, 2020, 11:22:28 AM
- bitte deine ipsec konfiguration als screenshot

Die habe ich als Anlage mit beigefügt.

Quote from: micneu on November 21, 2020, 11:22:28 AM
- ich habe laufende ipsec´s zu fritzbox 6591, 7490

Bei der entfernten Fritz.Box handelt es sich um eine FRITZ!Box 6490 Cable mit v. 7.20
ESX 8 - 6 Core / 32GB Ram
Synology DS620slim 6 x 2 TB SSD
OPNsense 23.1.8 N-BOX-S2 i7-1165G7 16GB RAM
November 21, 2020, 12:46:18 PM #3 Last Edit: November 21, 2020, 12:51:33 PM by micneu
1. als bei DH key group habe ich bei mir "2"
2. das entfernte netz ist doch die .100.0 oder nicht warum ist dann die .1.0 bei dir eingetragen?
3. mein  Pre-Shared Key habe ich glaube ich auf 32 zeichen begrenzt da ich mal mit der 7490 damals probleme hatte
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 21, 2020, 01:25:30 PM #4
Quote from: micneu on November 21, 2020, 12:46:18 PM
2. das entfernte netz ist doch die .100.0 oder nicht warum ist dann die .1.0 bei dir eingetragen?

In der Anlage mal mein "Netzwerkplan". Etwas stümperhaft, aber ich glaube man kann erkennen wie es aufgebaut ist.

Wenn ich da das Netz 100.0 eintrage, bringt mir das ja in meinem Netz nichts. Da profitiert ja nur die Firtz.Box selbst.
ESX 8 - 6 Core / 32GB Ram
Synology DS620slim 6 x 2 TB SSD
OPNsense 23.1.8 N-BOX-S2 i7-1165G7 16GB RAM
November 21, 2020, 03:49:27 PM #5
Erlaubst du IPsec auf dem WAN Interface?
,,The S in IoT stands for Security!" :)
November 21, 2020, 04:03:13 PM #6 Last Edit: November 22, 2020, 09:07:05 AM by dslthomas
Die Lösung des Problems war ganz simpel. Layer8  :)

Der Hashalgorithmus war auf 256 statt 512 gestellt. Das passiert wenn man sich durch Anleitungen hangelt aber in Wirklichkeit gar nicht versteht was man da tut.
ESX 8 - 6 Core / 32GB Ram
Synology DS620slim 6 x 2 TB SSD
OPNsense 23.1.8 N-BOX-S2 i7-1165G7 16GB RAM
Print
Go Up Pages1
User actions