VPN Reconnect after WAN Disconnect/Reconnect

[Schubbie]

Ich habe nun die Verbindung zwischen OPNsense und FritzBox eingerichtet.
Wie verhindere ich die Trennung zwischen 47 und 60 Minuten.
In Minute 47 werden die Keys gelöscht (von der FritzBox oder von der OPNsense?). Danach ist keine Neuverbindung mehr möglich, erst nachdem die Lifetime der empfohlenen 3600 Sekunden (1 Stunde) abgelaufen ist oder ich irgendetwas in der Konfiguration des VPN auf der OPNsense ändere. Bis dahin werden die Anmeldeversuche der FritzBox aufgrund flascher Logindaten abgelehnt.
Auch wenn ich auf der FritzBox den VPN nur kurz trenne und dann wieder aufbauen will, wird die Verbindung abgelehnt.

Meldung der OPNsense an die Fritzbox:
charon: 10[IKE] <633> no IKE config found for 192.168.153.1...79.197.254.212, sending NO_PROPOSAL_CHOSEN

Fehlermeldung in der FritzBox:
VPN-Fehler: "DynDNS-Adresse", IKE-Error 0x2026
https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/018/hilfe_syslog_122

Wäre ja schön, wenn der VPN durchgängig laufen würde...

Welche Ports muss ich denn auf der OPNsense definitv weiterleiten, um nicht zu viele freizugeben? Diese leite ich dann von * auf die IP der Firewall weiter? Zumindest habe ich es nun so gemacht.

Besser per PN, um das Thema nicht zu kapern, neues Thema oder geht es hier?

Mit freundlichem Gruß
Andreas

[Schubbie]

Um 2:30 Uhr war die Zwangstrennung. Ich habe alles bis eben stehen lassen, aber es war keine erneute Verbindung möglich (ich habe die FQDN von Strato und keine festen IPs eingetragen). Ich habe auf der OPNsense die Tunnel de-/aktiviert, IPsec neu gestartet, den Pre-Shared-Key geändert und zurückgeändert... Schlussendlich half nur ein Neustart der OPNsense und der Tunnel stand wieder. Das kann doch aber keine Lösung sein?

Edit: Nach kurzer Zeit wird zwar der VPN auf der FritzBox immer noch grün angezeigt, jedoch erreiche ich die Geräte jetzt nicht. Direkt nach dem Neuaufbau war dieses möglich. Gestern Abend war diese auch während der 47 Minuten mögich.

[micneu]

> da soll das VPN 3x so schnell sein

Mit was? (3)DES und MD5? :D Dass sie das 2020 immer noch überhaupt ausliefern bzw. bei ner IPsec Verbindung als Proposal schicken ist eine Beleidigung für das "P" in VPN. Das P bei AVMs VPN steht eher für Panne ;)

nein das machen die nicht mehr, hier habe mal eine anleitung erstellt.
keine Garantie das alles richtig ist, aber bei mir läuft es so.

[micneu]

@Schubbie bitte mal deine konfig von der ipsec verbindung zu der fritzbox posten (als bild bitte)
und vergleiche mal meine anleitung mit deinen einstellungen.

[JeGr]

(OT:)
> nein das machen die nicht mehr, hier habe mal eine anleitung erstellt.

Doch genau das machen sie. Ich hab hier mehrere aktuelle FBs und wenn du dir das Proposal beim Verbindungsaufbau anschaust, kommen die noch mit DES und 3DES im Proposal der P1. Das ist armselig. Kann sein, dass sie das in ihrer neuen Laborfirmware jetzt endlich raushaben, aber der letzte 7.1x Stand hier auf den Boxen macht das noch genau so. Und der war bis vor wenigen Tagen noch aktuell. 2020. Grausam.

Und ja es wäre sinnvoll die IPSEC P1 und P2 Settings der Sense und wie du die Fritte konfiguriert hast hier zu posten, damit man sehen kann, ob/was vllt auffällt. Wir haben die Dinger jetzt soweit stabil hinbekommen, dass sie eigentlich alle 60min ihren Neuaufbau machen und sich auch gleich wieder verbinden (auch wenn es bescheuert ist, dass P1 und P2 auf 3600 gelockt sind, was definitiv nicht OK ist).

[micneu]

@JeGr hast du in meine anleitung geschaut?
ich mache es da mit aes

[Schubbie]

Vielen Dank für die Unterstützung. Ich versuche heute Abend nochmals Zeit zu finden., Screenshot mit dem Handy macht keinen Sinn
Ein Reconnect alle 60 Minuten ist in beiden von Euch beschriebenen Fällen notwendig?

/*
* C:\Users\Andreas\AppData\Roaming\AVM\FRITZ!Fernzugang\elke_xxx-home_de\fritzbox_elke_xxx-home_de.cfg
* Wed Jul 22 08:55:32 2020
*/

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "dns.xxx-home.de";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dns.xxx-home.de";
                localid {
                        fqdn = "elke.xxx-home.de";
                }
                remoteid {
                        fqdn = "dns.xxx-home.de";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "0dU8zensiert1cd3bf 8bTbbwa3cc9bb1a1";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.53.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.153.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.153.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

[micneu]

leider sehe ich in deiner skizze keine ip´s welche seite was hat.
und laut deinem bild hast du 2 sense (je vpn seite eine)
dann braucht man ja auch keine vpn zu der fritzbox.
oder verstehe ich deinen aufbau und dein vorhaben nicht?
du willst zwischen 2 standorten eine vpn laut deinem bild mit wireguard, jetzt sind wir mit ipsec und vpn bei der fritzbox. was ist das problem bitte genau.
- warum ist die vpn nicht zwischen den beiden sense aufgebaut, was ist das problem?
- warum wurde nicht über die beiden sense openvpn gemacht?
- sind auf beiden seiten die sense das standard gateway?
- sind auf beiden seiten modems oder router vor der sense?
- wenn du router hast, sind die ports auf die sense durchgereicht auf die sense (exposthost)?

kannst du mal bitte eine einen netzwerkplan zeichnen in der auch die ip´s der entsprechenden netze mit drin sind.

[Schubbie]

@micneu Du meinst mich?
Ich nehme mir heute Abend mehr Zeit, wenn ich sdiese finde und mache Screenshots.

Beide Seiten haben einen DynDNS, somit müssen FQDN eingetragen werden. Das sind dann DNS.xxx-Home.de für meine OPNsense und für die entfernte FritzBox elke.xxx-home.de (xxx ist ein Platzhalter).

Mit freundlichem Gruß
Andreas

[micneu]

ja, ich glaube ich hatte dir sogar angebot dich zu unterstützen. kannst dich gerne melden bei mir

PS: keine ahnung welche firmware du hast, aber man benötigt nicht mehr diese avm tool um vpn´s zu erstellen das geht jetzt direkt in der fritzbox. und nochmal ein beispiel für einen netzwerkplan (ist nicht perfekt, man sieht aber alle wichtigen angaben für das netzwerk)

[Schubbie]

Ich habe jetzt erst den ganzen Text von dir angezeigt bekommen.

Nun sind wir glaube ich etwas durcheinander.
WireGuard soll für meine mobilen Geräte sein, aber unabhängig von dem Site2Site-VPN. Ich könnte theoretisch auf der entfernten Synology eine WireGuard VM installieren.

OpenVPN bieten beide Synologies, jedoch bricht der VPN nach Zwangstrennung ab und benötigt 1/2 Stunde zum Wiederaufbau, bis dahin melden die Synologies, dass der Verbindungsversuch gescheitert ist.

Daher kam hier der Vorschlag mit VPN zwischen FritzBox und OPNsense und die Möglichkeit des Site2Site-VPN gefällt mir.
Aufbau wie folgt, bei meinem Standort angefangen:

Synology (bzw. Netzwerk) -> Switch -> OPNsense -> Modem PPPoE -> DNS.xxx-home.de <-> elke.xxx-home.de -> FritzBox 7490 -> Synology

Die FritzBox steht bei Mutti, welche keinen Plan von Technik hat. Meine Daten sichern nachts über den VPN auf die Synology und wenn Mutti etwas am Rechner macht, wird ihr Ordner in der Synology mit einem Ordner auf meiner Synology direkt synchronisiert, so dass ich dann mal fix Word-Dateien oder sonstiges formatieren kann, mir Schreiben durchlese oder sonstiges und ihre Daten gleich bei mir auf dem RAID liegen.

Mit freundlichem Gruß
Andreas

[micneu]

trotzdem verstehe ich deinen netzwerkplan nicht, passt irgend wie nicht zu dem was du hier beschreibst)

[Schubbie]

Ich bin nicht der TE, sondern habe mich hier eingeklinkt. Daher meine vorherige Frage, ob ich ein eigenes Thema eröffnen soll. Vielleicht liegt hier das Verständigungsproblem. Eine Skizze habe ich nicht eingestellt, ich nehme an, dass du die aus dem ersten Post meinst, der nicht von mir ist.

Mit freundlichem Gruß
Andreas

[JeGr]

@JeGr hast du in meine anleitung geschaut?
ich mache es da mit aes

Lies nochmal was ich geschrieben hatte Mic, das war nicht was ich gesagt habe. Natürlich _geht_ es mit AES, aber dass sie 2020 überhaupt noch im Proposal mit DES/3DES antworten(!) ist eigentlich ein Unding, wenn man ein "private" Network aufbauen will. Ja sie haben AES gelernt. Wow. Aber dass die Boxen valide(!) immer noch mit unsicheren Settings einen Tunnel aufbauen ist absolut schwach.

@schubbie:

füge in deine .cfg für die FB mal

editable = yes;

unter dem enabled mit ein, dann ist das Ding plötzlich in der UI auch editierbar ;)
zusätzlich kannst du noch eine IP mit

keepalive_ip = <ip>;

mit einbauen, vllt. deine Synology, die dann von der FB gepingt wird. Das sollte den Tunnel ordentlich offenhalten.

[Schubbie]

Moin,
ich hatte zwischenzeitlich per eMail Kontakt zu micneu, danke hierfür.
Einiges habe ich ausprobiert, was aber nur immer nur kurzfristig nach Besserung aussah.

Jetzt habe ich mir vorhin nochmals eine Doku von OPNsense durchgelesen:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html

So habe ich meine ganzen Freigaben gelöscht und nochmals neu angelegt. Danach habe ich beide Seiten diverse Male gestartet und der längste Neuaufbau des VPN hat ca. 1:10 Minuten gebraucht, wo zuvor es häufiger nicht ging. Auch die Fehlermeldungen sind verschwunden. In der FritzBox konnte man diverse Versuche den VPN aufzubauen beobachten und in der OPNsense charon: 10[IKE] <633> no IKE config found for 192.168.153.1...79.197.254.212, sending NO_PROPOSAL_CHOSEN im Log für IPsec lesen, was nun bei Neuverbindung auch nicht mehr auftritt.

Der Fehler war hier ein ganz einfacher. Blöderweise bin ich als bluriger Anfänger davon ausgegangen, dass ich die Regeln auch unter Firewall --> NAT --> Portweiterleitungen eintippen kann, jedoch müssen die lt. obigem Link jedoch direkt unter Firewall --> Regeln --> WAN eingegeben werden und zumindest der Neuaufbau flutscht nun anscheinend Reibungslos.

Davor hatte ich das Problem, dass der Tunnel nur noch wenige Minuten Daten übertragen hat. Der wurde in der FritzBox ständig als verbunden angezeigt, aber es gingen keine Daten mehr durch. Ich hoffe, dass das damit erledigt ist.

Bei der Portweiterleitung denkt ihr vermutlich, dass das ein blöder Anfängerfehler ist ;-) Aber es ist meine erste Firewall (außer dem Ubiklicki Kram), die ich mir einrichte und Beruflich bin ich weit weg von der Materie...

Vielleicht hat der TE ja ähnlichen Fehler gemacht.

Bisher habe ich also folgendes gemacht:
Firewall --> Erweitert --> Dynamic state reset [checked] Reset all states when a dynamic IP address changes.
Und Portweiterleitung neu eingerichtet: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html

Mit freundlichem Gruß
Andreas