[gelöst] OPNSense IPSec Fritzbox

[marju]

Hallo zusammen,
erstmal ein großes Lob an das Forum. 
Nur leider finde ich keine Lösung um eine Fritzbox per IPSec an die OPNSense anzubinden.
Fritzbox per Dyndns. OPNSense mit Fester IP.
Ich habe folgendes auf der OPNSens eingestellt:

Schnittstelle:
WAN: Blockiere private Netze ist "raus".

Firewallregeln:
IPSec P: IPV4 Q:* P:* Z:* P:* G:*
WAN: P: IPv4 ESP Q:* P:* Z: WAN Adresse P:* G:*
         P: IPv4TCP/UDP Q:* P:* Z:WAN Adresse P:500(ISAKMP) G:*
         P: IPv4TCP/UDP Q:* P:* Z:WAN Adresse P:4500(IPSec NAT-T) G:*

IPSec Tunneleinstellungen:
Allgemeine Informationen:
Anschlussart: sofort starten
Schlüsselaustauschversion: V1
Internt Protokol: IPv4
Schnittstelle: WAN

Phase1:
Authentifizierungsmethode: Murtal PSK
Bestimmungsmodus: Aggressive
Meine Kennung: DNS Name der OPNSense

Phase1 Vorschlag:
Verschlüsselung: AES 256
Hash: SHA1
DH: 2 (2024)
Zeit: 28800

Aktiviert ist nur noch: Install Policy
Phase 2:
Modus: Tunnel IPv4
Typ: LAN Subnetz
Protokol: ESP
Verschlüsselung: AES 256
Hash: SHA1
Gruppe: 2(1024)
Zeit: 3600

Mobile Clients ist aktiviert

Pre-Sharde Schlüssel habe ich erstellt.
Kennung: DYNDns Name der Fritzbox

In der Protokolldatei steht leider immer wieder:
charon: 16[IKE] <6936> no proposal found
charon: 16[CFG] <6936> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Die Fritzbox habe ich wie folgt konfiguriert.
vpncfg {
connections {
  enabled = yes;
  conn_type = conntype_lan;
  name = "Name der Verbindung"; // NAME der Verbindung
  always_renew = yes; // Verbindung immer herstellen
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remoteip = xxx.xxx.xxx.xxx ; // Feste oeffentliche IP der pfSense Firewall
  remote_virtualip = 0.0.0.0;
  localid {
    fqdn = "DNS Name der Fritzbox"; // dyndns name der FritzBox
    }
  remoteid {
    ipaddr = xxx.xxx.xxx.xxx; // Feste oeffentliche IP der pfSense Firewall
    }
  mode = phase1_mode_aggressive;
  //mode = phase1_mode_idp;
  phase1ss = "dh2/aes/sha";
  keytype = connkeytype_pre_shared;
  key = "xxxxxxxxxxxx";
  cert_do_server_auth = no;
  use_nat_t = no;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = IP Netz der Fritzbox;
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = LAN hinter der OPNSense;
      mask = 255.255.0.0; // inklusive Subnetmask
      }
    }
  phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; // wichtig, da sonst kein Datenaustausch
  accesslist = "permit ip any LANNETZOPNSense 255.255.0.0"; // Firewall Einstellungen für pfSense Subnetz
  }
}

Leider komme ich einfach nicht weiter.
Ich habe es mit DH14 und SHA256 auch getestet. Leider alles ohne erfolg.
Muss oder wo kann ich den entfernten Gateway eintragen?

Besten Dank Marc





 

[marju]

Version hatte ich noch vergessen:
OPNSense: 19.1.6
Fritzbox: 07.01

[marju]

Hallo zusammen,
ich habe es selbst gefunden. Der Ferne Gateway war noch auf mobiler Client eingestellt.
Habe diesen deaktiviert und einen neuen Tunnel Phase 1 und 2 erstellt.
Siehe da. Verbindung steht. 

[micneu]

also läuft es bei dir?
dann kannst du es ja als gelöst markieren.
ich habe es bei mir auch am laufen, hätte dir sons helfen können.

[schnipp]

Hallo,

ich habe ähnliche Herausforderungen mit Opnsense und der Fritzbox. I habe bereits mehrere Testsszenarien mit den Fritzbox-Modellen 7412, 7490 and 7560 durchgeführt und mehrfach Analysen gemacht. Weiterhin hatte ich mit AVM mehrere Diskussionen zu diesem Thema. Meist sind die Probleme bei der importierten Konfiguration oder Firmwarebugs der Fritzbox zu suchen.

Derzeit kann ich IPsec-Tunnel mit den Modellen 7412 and 7560 im LAN aufbauen. Der Aufbau eines Tunnels zu einer Fritzbox 7490 über das Internet is noch problematisch.

Firmware 7.01 hat einen Bug, welcher sich in einer fehlerhaften Aktivierung neu importierter Konfigurationen äußert. Bitte deaktivere eine neu importierte Konfiguration zunächst und speichere diese Einstellung. Danach aktiviere die Konfiguration erneut und speichere die Einstellung wieder. Dieser Fehler soll in der demnächst erscheinenden Firmwareversion 7.10 behoben sein.

Bitte vermeide DH2 und wähle eine höhere Gruppe wie DH14, DH2 wird eventuell nicht mehr unterstützt. Bitte setze die Zeit in beiden Phasen auf 3600.

Übrigens ist die Verwendung von Wireshark sehr hilfreich bei der Diagnose von Fehlern im IPsec-Handshake.

[marju]

Hallo zusammen,
danke für die Infos. Werde die beiden Zeiten auf 3600 einstellen.
So langsam läuft alles. Vielen Dank an alle

[mpanknin]

Hallo,
hat jemand schon die IPSEC Verbindungen mit Fritzbox nach Connection New migriert?
Ich habe zwar einen Tunnel bekomme aber keine Verbindungen dadrüber.

Viele Grüße
Micha

[schnipp]

Ja. Falls der Tunnel wirklich steht, ist die neue Konfiguration korrekt und der Datentransfer sollte funktionieren. Hast Du die alte Verbindung deaktiviert?

BTW Es ist besser, einen neuen Thread zu starten, da die Überschrift eine abgeschlossene Diskussion suggeriert.