Fritzbox VPN (IPSec) Config Creator

[micneu]

Moin, ich habe mal ein wenig gebastelt, habe ein cli tool gebaut mit der ihr eine Konfig für eure Fritzboxen und Linux Systeme bauen könnt.

- Erstellt die Konfig für Linux Systeme (ipsec.conf, ipsec.secret und für nftables die firewall regel)
- Erstellt die Konfig für Fritzboxen (*.cfg)

Gerne Feedback geben, ist mein erster versuch.

https://github.com/micneu72/FritzL2LVPN

Bisher getestet mit:
- Ubuntu 20.04 Server
- Fritzbox 7490

Gruß Michael

[Patrick M. Hausen]

Cool! Wo hast Du die Doku für die Fritzbox her? Hab da immer nur mehr oder weniger volkständiges Reverse-Engineering gefunden, aber nie eine offizielle Referenz. Mit ein Grund, VPN auf Fitzboxen wo möglich zu meiden.

[micneu]

keine, einfach Reverse-Engineering gemacht... nix offizielles.

[juere]

Sieht gut aus

Ich würde vielleicht noch

- die Netzwerkmasken für "SEITEA" und "SEITEB" zu Parametern machen, momentan ist's hardgecodet /24
- Der Config-Entry "editable = yes;" hat bei mir in der Fritz!Box nie funktioniert. Klappt das bei dir ?

[micneu]

ich habe die netzmaske hard gekodet da meist nur ein 24er netz mit der fritzbox genutzt wird.
das mit dem editieren hat bei der 7490 geklappt

[JeGr]

> - die Netzwerkmasken für "SEITEA" und "SEITEB" zu Parametern machen, momentan ist's hardgecodet /24

Wäre ich vorsichtig, selbst wenn man das händisch editiert hatten wir schon Kunden, wo wir das mit Fritten machen mussten und bei denen andere Werte (oder mehrere Phase 2 Entries) einfach nicht geklappt haben.

> - Der Config-Entry "editable = yes;" hat bei mir in der Fritz!Box nie funktioniert. Klappt das bei dir ?

Klappt hier auch. Bringt zwar nicht viel aber geht immerhin.

Ansonsten bin ich bei @pmhausen und würde VPN mit Fritzen meiden wo es geht. Es ist einfach nicht wirklich absehbar ob das Endresultat wirklich stabil läuft oder nicht. Einer unserer Kunden hat mal freundlicherweise bei AVM nachgehakt warum seine Box partout mit der OPNsense keinen Tunnel aufbauen wollte und hat da sehr "bastelhafte" Hinweise bekommen sowie - durch die Blume - dass der Kram eben (ver)alt(et) ist und niemand das seit langem mal anfassen wollte (oder in Marketing Sprech: Man wollte den alten AVM VPN Server irgendwie abbilden/portieren und seither ist das Produkt etwas stehengeblieben). Dass die Kiste immer noch nix von IKE2 geschweige denn von AES-GCM weiß spricht eigentlich Bände.

[juere]

> - die Netzwerkmasken für "SEITEA" und "SEITEB" zu Parametern machen, momentan ist's hardgecodet /24
Wäre ich vorsichtig, selbst wenn man das händisch editiert hatten wir schon Kunden, wo wir das mit Fritten machen mussten und bei denen andere Werte (oder mehrere Phase 2 Entries) einfach nicht geklappt haben.

Wenn ich da noch kurz meine eigene Erfahrung beitragen darf:

-  eine abweichende "SEITEA" Netzwerkmaske klappt bei den aktuell knapp 40 von uns angebundenen Fritz!Boxen immer, die verwenden im Moment alle entweder /16 oder /23. Wahrscheinlich sind sie deshalb bei ansonstem gleichen Config-File nicht "editable"
Lokal (also Fritz!Box seitig) ist's immer /24, ich hatte auch noch nie die Notwendigkeit, dort etwas anderes zu verwenden.

- mehrere Phase2 Entries hat noch nie geklappt, lässt sich aber OPNSense seitig zumeist durch NAT lösen

Ansonsten bin ich bei @pmhausen und würde VPN mit Fritzen meiden wo es geht. Es ist einfach nicht wirklich absehbar ob das Endresultat wirklich stabil läuft oder nicht. Einer unserer Kunden hat mal freundlicherweise bei AVM nachgehakt warum seine Box partout mit der OPNsense keinen Tunnel aufbauen wollte und hat da sehr "bastelhafte" Hinweise bekommen sowie - durch die Blume - dass der Kram eben (ver)alt(et) ist und niemand das seit langem mal anfassen wollte (oder in Marketing Sprech: Man wollte den alten AVM VPN Server irgendwie abbilden/portieren und seither ist das Produkt etwas stehengeblieben). Dass die Kiste immer noch nix von IKE2 geschweige denn von AES-GCM weiß spricht eigentlich Bände.

Was allgemein die Verwendung von Fritz!Box VPN's angeht, bin ich weniger dogmatisch und sehe die Hauptproblematik nicht in der Stabilität (die laufen bei unseren Kunden richtig gut, deutlich stabiler als die angebundenen BinTec Router) oder der Sicherheit (neuere Fritz!Boxen können AES256 und SHA512, mit gutem PSK ist auch IKEv1 im Aggressive Mode sicher) sondern schlicht und einfach in der erzielbaren Geschwindigkeit.
Mangels CPU Leistung habe ich da mit Fritz!Boxen noch nie mehr als 15Mbit im Tunnel gesehen und das ist für manche Anwendungen einfach zu lahm.

Für die Anbindung lokaler Drucker an Terminalserverlandschaften beispielsweise taugts allemal und ist unschlagbar preiswert und einfach zu realisieren, wenn vor Ort bereits eine Fritz!Box vorhanden ist. Neu anschaffen würde ich für den Zweck keine, da gibts meist bessere Lösungen.

Ein weiterer Showstopper wird zunehmend, dass die ganze Fritz!Box VPN Implementation (im Gegensatz zum Rest der Fritz!Box ) nicht IPv6 fähig ist.

[JeGr]

> Lokal (also Fritz!Box seitig) ist's immer /24, ich hatte auch noch nie die Notwendigkeit, dort etwas anderes zu verwenden.

Ah dann kann es gut sein, dass es daran liegt, das scheinen die Boxen überhaupt nicht zu mögen, dass was anderes als 1x /24 da anliegt.

> - mehrere Phase2 Entries hat noch nie geklappt, lässt sich aber OPNSense seitig zumeist durch NAT lösen

Ja, fieses Drama aber wäre auch etwas viel verlangt, 2021 nen vernünftiges IPsec zu bringen

> mit gutem PSK ist auch IKEv1 im Aggressive Mode sicher

Das hat da nichts mit Dogma zu tun, Agressive Mode ist seit Jahren no-go und wird allein wenns mal um Compliance geht glattweg abgelehnt. Sobald man da mit Unternehmen zu tun hat, die BSI Recommendations ernst nehmen oder befolgen müssen, ist da Sense. Und wenn man das halt 2021 immer noch bringt und als Standard(!) dann mit 3DES ums Eck kommt muss ich eben sehr vehement den Kopf schütteln

> Ein weiterer Showstopper wird zunehmend, dass die ganze Fritz!Box VPN Implementation (im Gegensatz zum Rest der Fritz!Box ) nicht IPv6 fähig ist.

*schaut aufs Datum*
*geht kopfschüttelnd ab und murmelt was von kokosnusspflücken oder Holz*

[Patrick M. Hausen]

*geht kopfschüttelnd ab und murmelt was von kokosnusspflücken oder Holz*

Ananas anbauen in Alaska ... 

[JeGr]

Ich hab ein Kokosnusspflücker-Diplom gemacht. Man muss ja vorbereitet sein... Ansonsten was mit Holz. Holz ist geduldig und arbeitet im Stillen