IPSec VPN zu Fritzbox

[Lip90]

Hallo Leute,

ich habe ein Problem mit meiner Host zu Host Verbindung. Ich schaffe es durch die bekannten Anleitungen die Verbindung zur Fritzbox herzustellen. Jedoch bekomme ich kein Zugriff ins Fritzbox Netz.

Im Status Overview kann ich nachvollziehen das Bytes raus gehen aber keine eingehen. Weis jemand auf anhieb was ich einstellen muss damit das klappt? Ich habe noch eine zweite Phase 1 für mobile IPsec damit ich mit meinen iOS Geräten auf die opnsense komme. Das klappt ohne Probleme.

Für IPSec wurde eine Firewall Rule angelegt:
IPv4 *   *   *   *   *   *   *

Und eine Outbound Rule für das Mobile IPSEC:
WAN   192.168.3.0/24    *   *   *   Interface address   *   NO


IPSec Übersicht:


Fritzbox
Phase:1


Fritzbox
Phase2:


iOS Phase 1:


iOS Phase 2:


Mobile Config:

[juere]

Kann natürlich auch ein Firewall/Routing-Problem sein (man sieht nicht, was dein LAN Netz ist), aber ich hab für alle Fritz!Box VPN's Hash-Algo SHA1 in Phase1, SHA1+MD5 in Phase2.
Das klappt

[micneu]

ich weiß zwar nicht was du mit host to host meinst?
ich hatte erfolgreich mehere site2site vpn‘s zu fritzboxen


Gesendet von iPad mit Tapatalk Pro

[Lip90]

Ich meine auch lanzulan...

Kann es daran liegen das ich gleichzeitig auch ipSec für's iPhone zur Verfügung stelle?

[micneu]

ich hatte immer nur site2site über ipsec am laufen, deshalb kann ich dazu nichts sagen, habe immer für meine anderen geräte openvpn verwendet.

[glasi]

Gibt es einen speziellen Grund, warum Du für die LAN-LAN-Kopplung NAT Traversal und MOBIKE verwendest?

[juere]

Gibt es einen speziellen Grund, warum Du für die LAN-LAN-Kopplung NAT Traversal und MOBIKE verwendest?

MOBIKE verwendet er gar nicht, weil beide Tunnel auf IKEv1 stehen.
Die Einstellung unter "Disable MOBIKE" ist somit völlig egal, weil kein IKEv2.

NAT Traversal lässt sich bei StrongSwan gar nicht mehr abschalten, siehe https://wiki.strongswan.org/projects/strongswan/wiki/NATTraversal. Insbesondere wird es immer verwendet, wenn bei IKEv2 MOBIKE aktiv ist, aber das ist für den vorliegenden Fall egal.

Die OPNSense Einstellung "NAT Traversal" erzeugt in der Einstellung "disabled" nur andere, automatische Firewall-Rules, die NAT Traversal über UDP Port 4500 nicht durchlassen, damit aber möglicherweise auch die gesamte Verbindung verhindern. Darüber bin ich kürzlich gestolpert, als ich aus einem ganz anderen Grund NAT Traversal verhindern wollte. Geht nicht

Insofern ist es safe, NAT Traversal immer auf enabled zu lassen und es sollte im vorliegenden Fall ebenfalls egal sein

[glasi]

Guter Hinweis bzgl. MOBIKE. Die FritzBox spricht ja kein IKEv2, insofern ist das unproblematisch.

NAT Traversal ist zwar nicht zwingend erforderlich, behindert den Tunnel aber auch nicht wirklich. Hab es gerade ausprobiert. Funktioniert.

Ansonsten kann ich nicht wirklich viel Falsches an Deiner Konfiguration entdecken.

Aber ein paar Anmerkungen hätte ich. Connection method würde ich von "default" auf "Start on traffic" umstellen. Die Einstellung "default" setzt den strongswan-Paramter auto auf "start". Das führt u. U. zu folgendem Problem:

CHILD_SAs configured with start_action=start (or auto=start) will automatically be established when the daemon is started.  They are not automatically restarted when they go down for some reason. You need to specify other configuration settings (dpd_action/dpdaction and/or close_action/closeaction) to restart them automatically, but even then, the setup is not bullet-proof and will potentially leak packets.

Bei den Einstellungen für den Mobile Client würde ich auf IKEv2 und MOBIKE setzen. Das sollte das IPhone beherrschen, oder?

Kann es daran liegen das ich gleichzeitig auch ipSec für's iPhone zur Verfügung stelle?

Kann ich mir nicht wirklich vorstellen. Bei mir laufen site2site zu einer OPNsense, site2site zu einer FritzBox sowie Mobile VPN nebeneinander ohne Probleme.


Wie hast Du die FritzBox konfiguriert? Einrichtungsassisstent verwendet oder eigene VPN-Konfigurationsdatei erstellt und importiert?

[juere]

Wie hast Du die FritzBox konfiguriert? Einrichtungsassisstent verwendet oder eigene VPN-Konfigurationsdatei erstellt und importiert?

Gute Frage, wollte ich auch gerade fragen

Ich hab hier an einer Terminalserverfarm aktuell 17 Fritz!Boxen angebunden, das VPN wird zur Ansteuerung lokaler Drucker verwendet.
Die laufen alle ganz gut.

Fritz!Box seitig verwende ich ein Config-File, siehe Anhang. Alles in [] wäre anzupassen.

OPNsense-seitig weichen meine Einstellungen wie folgt von deinen ab:

Phase1:
Connection method: Start on Traffic (wie auch von glasi empfohlen)
Encryption algorithm: AES128
Hash Algorithm: SHA1
NAT Traversal: force

Phase2:
Encryption algorithms: AES(auto)
Hash Algorithms: MD5,SHA1

Die Lifetimes weichen auch noch ab, aber das sollte egal sein.

Mir ist völlig klar, dass AES128 und SHA1 (zu MD5 sag ich lieber gar nichts) sowas von nicht zeitgemäß sind, aber es ist halt nur ne Fritz!Box und ich habe vor knapp 2 Jahren lange mit den Einstellungen rumgespielt und was rauskam, lief dann stabil.

Gut möglich, dass die Fritz!Box inzwischen dazugelernt hat und jetzt auch AES256 mag.
Ich würde aber genau an der Stelle nach dem Fehler suchen.

[atom]

Mit 7.20 kann die FRITZ!Box schon deutlich mehr.

https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-verbinden/