Site to Site VPN mit Fritzbox

[shb256]

Hallo,

ich habe vor längere Zeit Site-to-Site VPN von opnsense (aktuelle Version) mit 2 Fritzboxen (7490) eingerichtet.
Vor der opnsense ist ein Vigor 130 als Modem eingestellt.

Nun habe ich den Vigor von Modem auf Router geändert und zwischen Router und opnsense ist jetzt logischerweise ein neues Netz entstanden. Auf dem Router habe ich die opnsense als DMZ Host eingerichtet. Alle andere Dienst (http, openvpn, usw.) laufen ohne Probleme, IT-Sec macht allerdings Probleme und verbindet sich nicht mehr. Bei einer Änderung auf Modem klappt wieder alles.

Alle drei Standorte haben eine feste IP.
 My identifier ist meine statische IP
 Peer identifier ist die statische IP der Gegenstelle

Der Rest Verschlüsselung usw hat sich ja nicht geändert
hier noch das Log, ich hab nur eine VPN Tunnel angemacht

Code: [Select]

Apr 18 14:42:17 charon: 04[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Apr 18 14:42:17 charon: 04[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Apr 18 14:42:17 charon: 04[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Apr 18 14:42:17 charon: 04[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Apr 18 14:42:17 charon: 04[CFG] loaded ca certificate "CN=Fake LE Intermediate X1" from '/usr/local/etc/ipsec.d/cacerts/0a3654cf.0.crt'
Apr 18 14:42:17 charon: 04[CFG] loaded ca certificate "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3" from '/usr/local/etc/ipsec.d/cacerts/4f06f81d.0.crt'
Apr 18 14:42:17 charon: 04[CFG] loaded ca certificate "C=DE, ST=Deutschland, L=XXXX, O=XXXXXX, E=XXXXXXXX, CN=internal-sslvpn-ca" from '/usr/local/etc/ipsec.d/cacerts/4e5ba7dc.0.crt'
Apr 18 14:42:17 charon: 04[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Apr 18 14:42:17 charon: 04[CFG] loaded IKE secret for [REMOTE IP ADDRESS]
Apr 18 14:42:17 charon: 04[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Apr 18 14:42:17 charon: 04[CFG] rereading secrets
Apr 18 14:42:17 charon: 00[JOB] spawning 16 worker threads
Apr 18 14:42:17 charon: 00[LIB] loaded plugins: charon aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf curve25519 xcbc cmac hmac gcm attr kernel-pfkey kernel-pfroute resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam whitelist addrblock counters
Apr 18 14:42:17 charon: 00[CFG] loaded 0 RADIUS server configurations
Apr 18 14:42:17 charon: 00[CFG] loaded IKE secret for [REMOTE IP ADDRESS]
Apr 18 14:42:17 charon: 00[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Apr 18 14:42:17 charon: 00[CFG] loading crls from '/usr/local/etc/ipsec.d/crls'
Apr 18 14:42:17 charon: 00[CFG] loading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Apr 18 14:42:17 charon: 00[CFG] loading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Apr 18 14:42:17 charon: 00[CFG] loading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Apr 18 14:42:17 charon: 00[CFG] loaded ca certificate "CN=Fake LE Intermediate X1" from '/usr/local/etc/ipsec.d/cacerts/0a3654cf.0.crt'
Apr 18 14:42:17 charon: 00[CFG] loaded ca certificate "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3" from '/usr/local/etc/ipsec.d/cacerts/4f06f81d.0.crt'
Apr 18 14:42:17 charon: 00[CFG] loaded ca certificate "C=DE, ST=Deutschland, L=XXXX, O=XXXXX, E=XXXXXXX, CN=internal-sslvpn-ca" from '/usr/local/etc/ipsec.d/cacerts/4e5ba7dc.0.crt'
Apr 18 14:42:17 charon: 00[CFG] loading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Apr 18 14:42:17 charon: 00[NET] enabling UDP decapsulation for IPv6 on port 4500 failed
Apr 18 14:42:17 charon: 00[KNL] unable to set UDP_ENCAP: Invalid argument
Apr 18 14:42:17 charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, FreeBSD 11.2-RELEASE-p9-HBSD, amd64)
Apr 18 14:42:15 charon: 00[DMN] signal of type SIGINT received. Shutting down
Apr 18 14:42:13 charon: 05[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Apr 18 14:42:13 charon: 05[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Apr 18 14:42:13 charon: 05[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Apr 18 14:42:13 charon: 05[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Apr 18 14:42:13 charon: 05[CFG] loaded ca certificate "CN=Fake LE Intermediate X1" from '/usr/local/etc/ipsec.d/cacerts/0a3654cf.0.crt'
Apr 18 14:42:13 charon: 05[CFG] loaded ca certificate "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3" from '/usr/local/etc/ipsec.d/cacerts/4f06f81d.0.crt'
Apr 18 14:42:13 charon: 05[CFG] loaded ca certificate "C=DE, ST=Deutschland, L=XXXX, O=XXXX, E=XXXXXX, CN=internal-sslvpn-ca" from '/usr/local/etc/ipsec.d/cacerts/4e5ba7dc.0.crt'
Apr 18 14:42:13 charon: 05[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Apr 18 14:42:13 charon: 05[CFG] loaded IKE secret for [REMOTE IP ADDRESS]
Apr 18 14:42:13 charon: 05[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Apr 18 14:42:13 charon: 05[CFG] rereading secrets
hat jemand eine Idee IP-Sec hinter einem router zu betreiben?

[micneu]

warum willst du das modem auch wieder im router modus laufen lassen, macht nur probleme z.b. doppeltes NAT
usw. kann ich nicht empfehlen.

[shb256]

ja ich weiß,

ich hätte aber noch eine zweite opnsense die ich als failover mit carp laufen lassen will, und da klemmt's leider mit pppoe. Oder gibts da Lösungsanzätze

danke stefan

[Maurice]

ich hätte aber noch eine zweite opnsense die ich als failover mit carp laufen lassen will, und da klemmt's leider mit pppoe. Oder gibts da Lösungsanzätze

Schau dir mal "True IP DMZ" an. Damit kann man den Vigor PPPoE machen lassen und dennoch die öffentliche IP-Adresse ohne zusätzliches NAT durchreichen. (In Verbindung mit CARP setzt das aber eine statische IP-Adresse voraus.)

Grüße

Maurice

[shb256]

Hallo,

feste IP ist vorhanden. Ture IP DMZ habe ich bereits gesehen, allerdings muss dort die MAC Adresse eingegeben werden und bei CARP hatte ich die Möglichkeit eine MAC zu vergeben nicht gesehen. Oder bin ich gerade auf dem Holzweg?

shb

[Maurice]

CARP verwendet die gleichen virtuellen MAC-Adressen wie VRRP: 00-00-5E-00-01-xx, wobei xx die VHID Group ist.

[shb256]

Danke,

diese Information hat mir gefehlt.
Muss ich den Vigor als Modem und opnsense auf beiden CARP devices als pppoe einstellen?

shb

[Maurice]

OPNsense kann PPPoE-Verbindungen wohl (noch) nicht abhängig vom CARP-Status auf- / abbauen.
Daher ja der Vorschlag, den Vigor PPPoE machen zu lassen:

• Vigor als PPPoE-Client konfigurieren und "True IP DMZ" aktivieren (mit der virtuellen CARP-MAC-Adresse als Host).
• Auf den OPNsenen die statische öffentliche IPv4-Adresse als CARP-Adresse zu den WAN-Interfaces hinzufügen.

(Ich habe das nicht getestet, aber eine andere Lösung mit OPNsense wüsste ich nicht.)