OPNsense <-> FRITZ!Box 7590 AX - IPsec Verbindung aufbauen

Started by Gutfred, June 11, 2025, 02:26:21 PM

Previous topic - Next topic
Guten Tag,

wir haben Probleme beim Verbinden einer OPNsense mit einer FRITZ!Box 7590 AX mit IPsec

Die OPNsense steht am Standort A und hat folgende Einstellungen:

# Standort A OPNsense Phase 1
  • Anschlussart: Standard
  • V1
  • IPv4
  • Schnittstelle WAN
  • Ferner Gateway: DynDNS Adresse der FRITZ!Box
  • Auth Methode: Mutual PSK
  • Bestimmungsmodus: Aggressive
  • Meine Kennung: Eindeutiger Name: eigene DynDNS Adresse
  • Peer-Identifizierer: Eindeutiger Name: DynDNS Adresse der FRITZ!Box
  • AES 256
  • SHA 512
  • DH 14
  • Richtlinie installieren aktiviert
  • NAT-T aktiviert
  • DPD aktiviert

# Standort A OPNsense Phase 2
  • Tunnel IPv4
  • Lokales LAN Subnetz
  • Entfernt: Netzwerk x.x.x.x/24
  • ESP
  • AES256
  • SHA215
  • DH 14
  • 3600 Sekunden

Laut meiner Recherche sollen die IPsec Einstellungen auf der OPNsense korrekt sein
(wobei ich vieles versucht habe)

Am Standort B soll die FRITZ!Box bald hingestellt werden.
Im Moment befindet sich die FRITZ!Box an Standort C, um konfiguriert zu werden

Am Standort C wird die Internetverbindung auch mit einer FRITZ!Box aufgebaut.
Diese FRITZ!Box hat Exposed Host auf eine andere OPNsense an Standort C.
Diese OPNsense leitet IPsec Pakete weiter an die FRITZ!Box, die nach erfolgreicher Konfig von C nach B soll. (Screenshot angehängt)
(diese Weiterleitungs-Regeln scheinen zu funktionieren, da beim Verbindungsaufbau Versuch verschiedene Fehlermeldungen auf der FRITZ!Box kommen)

Problem:
- bei der Einrichtung von IPsec stoße ich je nach Konfiguration auf der FRITZ!Box auf folgende Fehler-Codes
- IKE-Error 0x2005 - internal error
- IKE-Error 0x2027 - timeout
- IKE-Error 0x2026 - no proposal chosen
- IKE-Error 0x203f - authentication failed

Hat ein bisschen gedauert bis ich gemerkt habe, die FRITZ!Box kann nur IKEv1

Habe einige Anleitungen und Forenbeiträge gesichtet, ohne Erfolg.

# Folgende Einstellungen sind im Moment auf der FRITZ!Box
  • VPN-Benutzername(Key-ID): Im Moment die DynDNS Adresse der FRITZ!Box
  • VPN-Kennwort:(Preshared-Key): Der PSK in der OPNsense + dieser FRITZ!Box
  • XAUTH verwenden: Nein
  • Internet-Adresse der Gegenstelle: DynDNS Adresse der OPNsense
  • Internet-Adresse dieser FRITZ!Box: eigene DynDNS Adresse
  • Entferntes Netzwerk x.x.x.x/24
  • VPN-Verbindung dauerhaft halten angecheckt
  • NetBIOS erlauben: Ja

OPNsense Version: 24.10.1 opnsense-business
FRITZ!Box Version: 8.02

Anfangs dachte ich, das wird einfach. Jetzt frage ich mich, warum ich immer noch damit struggle.
Die hier genannten Einstellungen sind die aktuellen - ich habe verschiedenes versucht.

Ich hoffe sehr, Ihr könnt mir helfen! :)

P.S.: Hier der aktuelle Log von der OPNsense beim Verbindungsaufbau und die aktuelle FRITZ!Box Fehlermeldung mit der aktuell genannten Konfig

# FRITZ!Box
- VPN-Fehler: VPN-Verbindung, IKE-Error 0x203f [36 Meldungen seit 11.06.25 14:16:37]

# OPNsense
  • 2025-06-11T14:13:15   Informational   charon   10[NET] <258174> sending packet: from 15.15.15.15[500] to 30.30.30.30[500] (56 bytes)   
  • 2025-06-11T14:13:15   Informational   charon   10[ENC] <258174> generating INFORMATIONAL_V1 request 361127135 [ N(AUTH_FAILED) ]   
  • 2025-06-11T14:13:15   Informational   charon   10[IKE] <258174> no peer config found   
  • 2025-06-11T14:13:15   Informational   charon   10[CFG] <258174> looking for pre-shared key peer configs matching 15.15.15.15...30.30.30.30[65:32:76:45:12:69:35:23:64:3a:15:14:74:3e:12:69:78:73:54:34]   
  • 2025-06-11T14:13:15   Informational   charon   10[CFG] <258174> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048   
  • 2025-06-11T14:13:15   Informational   charon   10[IKE] <258174> 30.30.30.30 is initiating a Aggressive Mode IKE_SA   
  • 2025-06-11T14:13:15   Informational   charon   10[ENC] <258174> received unknown vendor ID: a3:42:3c:23:54:49:3f:3a:23:ee:7f:3b:2a:64:f5:2b   
  • 2025-06-11T14:13:15   Informational   charon   10[IKE] <258174> received draft-ietf-ipsec-nat-t-ike-03 vendor ID   
  • 2025-06-11T14:13:15   Informational   charon   10[IKE] <258174> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID   
  • 2025-06-11T14:13:15   Informational   charon   10[IKE] <258174> received NAT-T (RFC 3947) vendor ID   
  • 2025-06-11T14:13:15   Informational   charon   10[IKE] <258174> received DPD vendor ID   
  • 2025-06-11T14:13:15   Informational   charon   10[IKE] <258174> received XAuth vendor ID   
  • 2025-06-11T14:13:15   Informational   charon   10[ENC] <258174> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]   
  • 2025-06-11T14:13:15   Informational   charon   10[NET] <258174> received packet: from 30.30.30.30[500] to 15.15.15.15[500] (884 bytes)

P.P.S.: Ich hatte auch mit IKev2 auch folgendes:
2025-06-11T11:54:55   Informational   charon   11[IKE] <con10|251943> received AUTHENTICATION_FAILED notify error   
2025-06-11T11:54:55   Informational   charon   11[ENC] <con10|251943> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]

Liebe Grüße!
Gutfred

Guten Tag!

Also: Wie gesagt:
- Die FRITZ!Box sagt IKE-Error 0x203F "authentication failed"
- die OPNsense sagt [IKE] no peer config found und [ENC] generating INFORMATIONAL_V1 request [ N(AUTH_FAILED) ]
Das heißt: Die Verbindung (und die Portweiterleitung-Regeln auf der OPNsense am Standort C) sollte funktionieren, es ist nur die Authentication?

Ich versuche es jetzt erneut.
Wenn ich es hinbekommen habe/den Fehler gefunden habe, melde ich mich natürlich sofort hier mit Rückmeldung!
Wenn jemand Tipps/etc. hat - Danke! :D

Liebe Grüße!

Hi!

Als ich auf der OPNsense den "Peer-Identifizierer" von "Eindeutiger Name" auf "KeyID-Tag" geändert habe (ohne den Inhalt zu ändern), bekomme ich auf der OPNsense folgendes:

2025-06-12T14:32:57   Informational   charon   10[IKE] <con10|308981> deleting IKE_SA con10[308981] between 15.15.15.15[fritz.dyndns.de]...30.30.30.30[65:32:76:45:12:69:35:23:64:3a:15:14:74:3e:12:69:78:73:54:34]   
2025-06-12T14:32:57   Informational   charon   10[IKE] <con10|308981> received DELETE for IKE_SA con10[308981]   
2025-06-12T14:32:57   Informational   charon   10[ENC] <con10|308981> parsed INFORMATIONAL_V1 request 2370631154 [ HASH D ]   
2025-06-12T14:32:57   Informational   charon   10[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (124 bytes)   
2025-06-12T14:32:54   Informational   charon   10[ENC] <con10|308981> parsed INFORMATIONAL_V1 response 648070960 [ HASH N(DPD_ACK) ]   
2025-06-12T14:32:54   Informational   charon   10[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (140 bytes)   
2025-06-12T14:32:54   Informational   charon   10[NET] <con10|308981> sending packet: from 15.15.15.15[4500] to 30.30.30.30[39390] (140 bytes)   
2025-06-12T14:32:54   Informational   charon   10[ENC] <con10|308981> generating INFORMATIONAL_V1 request 648070960 [ HASH N(DPD) ]   
2025-06-12T14:32:54   Informational   charon   10[IKE] <con10|308981> sending DPD request   
2025-06-12T14:32:49   Informational   charon   06[IKE] <con10|308981> received retransmit of request with ID 3118083309, but no response to retransmit   
2025-06-12T14:32:49   Informational   charon   06[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (1132 bytes)   
2025-06-12T14:32:45   Informational   charon   05[IKE] <con10|308981> received retransmit of request with ID 3118083309, but no response to retransmit   
2025-06-12T14:32:45   Informational   charon   05[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (1132 bytes)   
2025-06-12T14:32:43   Informational   charon   09[NET] <con10|308981> sending packet: from 15.15.15.15[4500] to 30.30.30.30[39390] (124 bytes)   
2025-06-12T14:32:43   Informational   charon   09[ENC] <con10|308981> generating INFORMATIONAL_V1 request 4253349708 [ HASH N(NO_PROP) ]   
2025-06-12T14:32:43   Informational   charon   09[IKE] <con10|308981> no matching proposal found, sending NO_PROPOSAL_CHOSEN   
2025-06-12T14:32:43   Informational   charon   09[CFG] <con10|308981> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ   
2025-06-12T14:32:43   Informational   charon   09[CFG] <con10|308981> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_384_192/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_512_256/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ, ESP:AES_GCM_8_256/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_12_256/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_16_256/NO_EXT_SEQ, ESP:AES_CCM_8_128/NO_EXT_SEQ, ESP:AES_CCM_8_256/NO_EXT_SEQ, ESP:AES_CCM_12_128/NO_EXT_SEQ, ESP:AES_CCM_12_256/NO_EXT_SEQ, ESP:AES_CCM_16_128/NO_EXT_SEQ, ESP:AES_CCM_16_256/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ, ESP:AES_GCM_8_256/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_12_256/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_16_256/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ   
2025-06-12T14:32:43   Informational   charon   09[ENC] <con10|308981> parsed QUICK_MODE request 3118083309 [ HASH SA No ID ID ]   
2025-06-12T14:32:43   Informational   charon   09[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (1132 bytes)   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> received NO_PROPOSAL_CHOSEN error notify   
2025-06-12T14:32:42   Informational   charon   06[ENC] <con10|308981> parsed INFORMATIONAL_V1 request 473474286 [ HASH N(NO_PROP) ]   
2025-06-12T14:32:42   Informational   charon   06[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (124 bytes)   
2025-06-12T14:32:42   Informational   charon   06[NET] <con10|308981> sending packet: from 15.15.15.15[4500] to 30.30.30.30[39390] (492 bytes)   
2025-06-12T14:32:42   Informational   charon   06[ENC] <con10|308981> generating QUICK_MODE request 259796168 [ HASH SA No KE ID ID ]   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> received NO_PROPOSAL_CHOSEN error notify   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> remote endpoint changed from 30.30.30.30[4500] to 30.30.30.30[39390]   
2025-06-12T14:32:42   Informational   charon   06[ENC] <con10|308981> parsed INFORMATIONAL_V1 request 44268975 [ HASH N(NO_PROP) ]   
2025-06-12T14:32:42   Informational   charon   06[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (124 bytes)   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> queueing TRANSACTION request as tasks still active   
2025-06-12T14:32:42   Informational   charon   06[NET] <con10|308981> received packet: from 30.30.30.30[39390] to 15.15.15.15[4500] (124 bytes)   
2025-06-12T14:32:42   Informational   charon   06[NET] <con10|308981> sending packet: from 15.15.15.15[4500] to 30.30.30.30[4500] (492 bytes)   
2025-06-12T14:32:42   Informational   charon   06[ENC] <con10|308981> generating QUICK_MODE request 2533247892 [ HASH SA No KE ID ID ]   
2025-06-12T14:32:42   Informational   charon   06[NET] <con10|308981> sending packet: from 15.15.15.15[4500] to 30.30.30.30[4500] (236 bytes)   
2025-06-12T14:32:42   Informational   charon   06[ENC] <con10|308981> generating AGGRESSIVE request 0 [ HASH NAT-D NAT-D ]   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> maximum IKE_SA lifetime 14586s   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> scheduling rekeying in 13146s   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> IKE_SA con10[308981] established between 15.15.15.15[fritz.dyndns.de]...30.30.30.30[65:32:76:45:12:69:35:23:64:3a:15:14:74:3e:12:69:78:73:54:34]   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> remote host is behind NAT   
2025-06-12T14:32:42   Informational   charon   06[CFG] <con10|308981> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048   
2025-06-12T14:32:42   Informational   charon   06[ENC] <con10|308981> received unknown vendor ID: a3:42:3c:23:54:49:3f:3a:23:ee:7f:3b:2a:64:f5:2b   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> received draft-ietf-ipsec-nat-t-ike-03 vendor ID   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> received NAT-T (RFC 3947) vendor ID   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> received DPD vendor ID   
2025-06-12T14:32:42   Informational   charon   06[IKE] <con10|308981> received XAuth vendor ID   
2025-06-12T14:32:42   Informational   charon   06[ENC] <con10|308981> parsed AGGRESSIVE response 0 [ SA KE No ID HASH N((24576)) V V V V V V NAT-D NAT-D ]   
2025-06-12T14:32:42   Informational   charon   06[NET] <con10|308981> received packet: from 30.30.30.30[500] to 15.15.15.15[500] (744 bytes)   
2025-06-12T14:32:41   Informational   charon   08[NET] <con10|308981> sending packet: from 15.15.15.15[500] to 30.30.30.30[500] (501 bytes)   
2025-06-12T14:32:41   Informational   charon   08[ENC] <con10|308981> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]   
2025-06-12T14:32:41   Informational   charon   08[IKE] <con10|308981> initiating Aggressive Mode IKE_SA con10[308981] to 30.30.30.30   
2025-06-11T21:57:43   Informational   charon   07[ENC] <275429> generating IKE_SA_INIT response 0 [ N(NO_PROP) ]   
2025-06-01T07:01:05   Informational   charon   14[ENC] <con3|4196> generating INFORMATIONAL_V1 request 3089818789 [ HASH N(DPD_ACK) ]

Ich frage mich, ob es besser aussieht!

P.S.: Die FRITZ!Box sagt jetzt: IKE-Error 0x2005 - internal error

Ich hoffe, es sieht besser aus!

Da ich in der Anleitung von AVM gelesen habe, in Phase 2 wird kein DH verwendet, sondern das DH vom Phase 1 verwendet, habe ich es mal deaktiviert.

Ich habe in P2 auf der OPNsense DH auf "Aus" gestellt - jetzt konnte die Verbindung erfolgreich hergestellt werden! =D

Habe es dann wohl doch geschafft! :)

Danke fürs Lesen! :)

Grüße! Gutfred!

P.S.: Ich habe den Log von der OPNsense hier drin gelassen - vielleicht hilft dies mal jemand weiter! :)

Leider funktioniert die VPN doch nicht wie ich anfangs dachte

- von der OPNsense kann ich die FRITZ!Box und einen Client hinter dem FB LAN pingen
- nach ca. 15 Sekunden ist die Verbindung weg - dann kein Ping mehr

- er zeigt bei IPsec "Statusübersicht" zwei Phase 2 Einträge an - Status 1 x "REKEYED" und 1 x "INSTALLED" (2 x mit dem selben "Local subnets" - korrekte IP) (das "Ferne Subnetze" zeigt er korrekt an - beides mal der gleiche Eintrag/dasselbe Subnetz)

- ich kann von der FRITZ!Box keine OPNsense sowie auch nicht das LAN dahinter anpingen

- auf der FRITZ!Box zeigt er unter "lokales Netz" 0.0.0.0 an - vorher zeigte er sogar die LAN IP unter lokales Netz an, die zwischen FB + OPNsense am Standort C sind - das ist komisch und kann ich nicht ändern - so wie ich es gesehen habe wird nach ca. 5-10 Verbindungsversuchen nicht mehr 0.0.0.0 angezeigt sondern die LAN IP zwischen FB und OPNsense Standort C

Überlegungen:

Die FRITZ!Box befindet sich ja hinter einer anderen OPNsense (die IPsec Portweiterleitungen auf die FB hat) die sich hinter einer anderen FB verbirgt (die macht WAN und hat exposed host auf die OPNsense)
- da die Verbindung aufgebaut werden kann und ich den Ping von der OPNsense auf die FB + das LAN dahinter machen kann, sollte es keine Probleme beim Exposed Host bzw. IPsec Portweiterleitungen auf die FB geben?! (ESP, NAT-T, ISAKMP)

Ich bin gerade dabei zu versuchen, eine manuelle Konfiguration zu erstellen und auf die FB zu importieren
- im Moment hat die OPNsense Timeouts beim Verbindungsversuch und die FRITZ!Box zeigt unter "Ereignisse" nichts an - als würde nichts ankommen?
- da bin ich im Moment noch dran ...

Wieder würde ich mich sehr über Tipps/etc. freuen! :)

Liebe Grüße! Gutfred!