Suche Site2Site Konfiguration für div. Fritzboxen an Opensense

[magicas]

Hallo Leute!
Ich habe mir schon einen Wolf gesucht nach funktionierenden Konfigurationen.
Vorgabe ist Opensense mit fester IP und div. Fritzboxen mit DynDNS
alles was ich bisher ausprobiert habe läuft entweder gar nicht oder verbindet sich und bricht dann ab, oder Verbindung steht und nach Deedpeer wird nicht wieder aufgebaut (erst nach neustart der Sense.
es sind hauptsächlich ältere fritzen am start so wie 7490; 7390; 7360 usw.

hat mir jemand eine Konfig die dauerhaft läuft?
cu
Armin

[Reiter der OPNsense]

Hallo

Ich habe eine OPNsense mit folgender IPSec-Konfiguration. Verbindung mit einer FritzBox 5490. Vorher war's eine 7390 mit der selben Konfiguration, wenn ich das noch recht in Erinnerung habe.

Phase 1
Connection method: Start on traffic
Key Exchange version: V1
Internet Protocol: IPv4
Interface: WAN
Remote gateway: Ziel-Host
Authentication method: Mutual PSK
Negotiation mode: Aggressive
My identifier: Distiguished name: Mein-Hostname
Peer identifier: Distiguished name: Ziel-Hostname
Pre-Shared Key: Sicheres Passwort
Encryption algorithm: AES256
DH key group: 2 (1024 bits)
Lifetime: 28800
Install policy: checked
Dead Peer Detection: checked, 10 seconds, 5 retries, default DPD action

Phase 2
Mode: Tunnel IPv4
Local Network Type: Some subnet
Remote Network Type: Some network
Protocol: ESP
Encryption algorithms: AES256
Hash algorithms: SHA512
PFS key group: 2 (1024 bits)
Lifetime: 3600

Entsprechende Firewallregeln werden natürlich auch noch benötigt.

[magicas]

und was hast du in der Fritze eingestellt ?

[Reiter der OPNsense]

Kann als Vorlage für eine .cfg-Datei für den Import auf der Fritz!Box verwendet werden. Die Kommentare würde ich entfernen.

Code Select Expand


vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Ziel-Hostname"; # Standort der Sense
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "Ziel-Hostname"; # Standort der Sense
                localid {
                        fqdn = "Mein-Hostname"; # Standort der FritzBox
                }
                remoteid {
                        fqdn = "Ziel-Hostname"; # Standort der OPNsense
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Sicheres Passwort";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0; # (IP-Bereich Seite FritzBox)
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.20.0; # (IP-Bereich Seite OPNsense)
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.20.0 255.255.255.0"; # IP-Bereich Seite OPNsense, Zugriffsrechte
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


[micneu]

mit der fritzbox konfig habe ich es erfolgreich am laufen mit einer pfsense:

Code Select Expand

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = " <=> ";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DYNDNSSENSE";
                localid {
                        fqdn = "MYFRITZ";
                }
                remoteid {
                        fqdn = "DYNDNSSENSE";
                }
                mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "PSK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.X.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.3.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

so ist mein netz:

[magicas]

Ich habe jetzt beide Konfigs ausprobiert,
mit der Fritz 7490 klappt es immer
mit z.b. 7360 oder 7390 leider nicht auf fritz Seite kein eintrag im System-Log
auf der Sense wird dauernd versucht zu verbinden.

[Reiter der OPNsense]

Die 7360 und 7390 sind direkt mit dem Internet verbunden oder sind noch andere Geräte dazwischen?

[micneu]

Ich habe jetzt beide Konfigs ausprobiert,
mit der Fritz 7490 klappt es immer
mit z.b. 7360 oder 7390 leider nicht auf fritz Seite kein eintrag im System-Log
auf der Sense wird dauernd versucht zu verbinden.

warum setzt ihr noch die uralt boxen 7360 oder 7390 ein, da ich niemanden habe der sowas altes einsetzt bin ich raus. stelle doch da eine 7590 hin, mit der geht es auch?

[magicas]

Die fritzen sind direkt am Netz ohne Geräte dazwischen.
Die fritzen sind nur zur Datenübertragung von märkten (Kasse) an die Hauptstelle.
Da ist es unerheblich ob alt oder neu da gehen nur minimale Daten drüber.
Der VPN ist zum einen zur Datenübertragung (hauptsächlich) zum anderen zur Fernwartung

[micneu]

Das Alter der Boxen ist aber für die verwendete Firmware wichtig und ich bin mir nicht sicher aber ich denke das da eine sehr alte Firmware drauf ist. Wenn es für eine Firma ist warum stellt ihr nicht in jeder Filiale eine Sense und macht openvpn so teuer ist das nicht?


Gesendet von iPhone mit Tapatalk Pro

[magicas]

es geht um ca. 30-50kb Daten jeden Tag, rechnet sich nicht

[micneu]

doch:
- du / die admins haben weniger stress
- ihr habt insgesamt mehr möglichkeiten mit einer sense
- oder nur austausch der alten fritten bekommt ihr mit neuen die aktuellsen (sicherheits) updates
- wenn ich es richtig gesehen habe ist die 7390/7360 eol also das alleine währe ein grund für mich das ding raus zu werfen

[magicas]

Erklär das mal nem Kunden der bis vor 1 Jahr mit Modem übertragen hat......
die fritten waren Teil der Umstellung vom Telefonprovider

[micneu]

das musst du mit dem sicherheits aspekt verkaufen (argumente habeich ja schon geliefert), ich bin in der glücklichen lage in einer internen it zu sein, war auch mal externer dienstleister

[JeGr]

Erklär das mal nem Kunden der bis vor 1 Jahr mit Modem übertragen hat......
die fritten waren Teil der Umstellung vom Telefonprovider

Dann kann man dem Kunden erklären, dass der Provider da Murks ausgeliefert hat. Kein Provider bringt bei einer Umstellung alte Gammelhardware zum Kunden, die allermeisten haben eh Deals mit Herstellern am Start und bringen deren neueste Produkte. 7530, 7520 (gebrandet) und Co. Wer letztes Jahr noch 73xx ausgeliefert hat, hat Altgeräte entsorgt die außerhalb des Supports von AVM sind. Das muss man dann auch mal dem Kunden verständlich machen.

Man kann da natürlich Stunden um Stunden reinhängen, oder einmal für weniger Geld ne neue Kiste hinstellen die ggf. dann mehr als nur MIESES IPsec kann (was AVM ja schon mehrfach zugegeben hat, dass man da bei Tunneln nicht up2date ist und das mehr schlecht wie recht pflegt). Oder man packt eben statt stundenlang Support Aufwand abzurechnen weils nicht geht einmal für ein bisschen Einsatz eine (zusätzliche) kleine Box dazu, packt *sense drauf und kann den Kunden egal was er in Zukunft vornedran hat ordentlich anbinden.

Egal wie super-preis-sensitiv der Kunde ist, das hat man mit ordentlicher Erklärung bislang jedem nahebringen können. Und für Murks von anderen Anbietern/Telkos/Firmen kann man nichts. Die uralt Kisten würden ja nichtmal das neue FritzOS bekommen mit Wireguard, sind also komplette Einbahnstraße. Dann lässt man sie eben weiter Modem oder Router spielen und packt ne günstige Kiste mit ner *Sense dahinter und fein :)

Cheers