IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

[groove21]

Guten Tag,

ich habe ca. 25 dezentrale Standorte/Netze, die ich per IPsec Fritz Box zur OPNsense anbinde. Dies ging bisher auch problemlos. Nach dem Update auf 23.1 ist die Mehrzahl der Verbindungen weg, eine Verbindung ist ein Glücksspiel.
Kann jemand ähnliches berichten?
Ich habe den neuen Connections [new] Tab gesehen. Muss ich meine Verbindungen dahin migrieren? Ich tue mich mit der neuen Übersicht etwas schwer. Hat hier jemand eine funktionierende Config die er mal mit Screens teilen kann?

Gruß
Florian

[atom]

Hallo Florian,

ich habe jetzt 4 Firewalls auf 23.1_6 angehoben und bis jetzt keine Probleme mit der Legacy-IPsec-Konfiguration der Tunnel gehabt, die automatisch beim Upgrade erzeugt worden sind.

Viele Grüße,
atom

[meyergru]

Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:

1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.

[chemlud]

...
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.

Öhm, wie optimierst du das? Ich hatte mal mit der MTU für die WG-Interfaces rumgespielt, aber eigentlich keinen Effekt gesehen und es dann gelassen. Ist aber schon einige Zeit her...

[meyergru]

Den möglichen Effekt hatten wir gerade: https://forum.opnsense.org/index.php?topic=32354.msg156519

Im Wesentlichen muss die MSS berücksichtigen ob im Paket weitere Bytes übertragen werden (PPPoE, 802.1q, VPN-Header usw.).

[Lip90]

Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:

1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.

Könntest du mir bei der Wireguard config helfen?

Das ist meine Config die ich in die Fritzbox hochlade.

Code: [Select]

[Interface]
Address = 10.11.0.2/24
ListenPort = 51828
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.11.0.1/24, 192.168.1.0/24
Endpoint = xxxxxxxxx.spdns.org:51828
PersistentKeepalive = 25

Konfig der OPNsense

Code: [Select]

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Address = 10.11.0.1/24
ListenPort = 51828

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Endpoint = xxxxxxxxxxxxxxxxx.myfritz.net:51828
AllowedIPs = 10.11.0.2/32,192.168.2.0/24
PersistentKeepalive = 25


Handshake und Transfer scheint zu klappen, ich kann aber aus dem opnsense netz 192.168.1.1/24 nicht auf das 192.168.2.1/24 zugreifen. Wo haben ich meinen Fehler?

[lewald]

...
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.

Öhm, wie optimierst du das? Ich hatte mal mit der MTU für die WG-Interfaces rumgespielt, aber eigentlich keinen Effekt gesehen und es dann gelassen. Ist aber schon einige Zeit her...

Ich mache das so.


Damit mache ich die vollen 55 Mbit die meine Gegenstelle liefern kann.

[lewald]

Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:

1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.

Könntest du mir bei der Wireguard config helfen?

Das ist meine Config die ich in die Fritzbox hochlade.

Code: [Select]

[Interface]
Address = 10.11.0.2/24
ListenPort = 51828
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.11.0.1/24, 192.168.1.0/24
Endpoint = xxxxxxxxx.spdns.org:51828
PersistentKeepalive = 25

Konfig der OPNsense

Code: [Select]

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Address = 10.11.0.1/24
ListenPort = 51828

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Endpoint = xxxxxxxxxxxxxxxxx.myfritz.net:51828
AllowedIPs = 10.11.0.2/32,192.168.2.0/24
PersistentKeepalive = 25


Handshake und Transfer scheint zu klappen, ich kann aber aus dem opnsense netz 192.168.1.1/24 nicht auf das 192.168.2.1/24 zugreifen. Wo haben ich meinen Fehler?

Unter firewall rules für Wireguard Route die Regeln gesetzt?

http://x.x.x.x/firewall_rules.php?if=wireguard

[Lip90]

Nein habe ich nicht. Wie muss die Rule aussehen?

[lewald]

Naja je nachdem was da laufen soll.
Zur not erstmal mal any any.

[Lip90]

Achso, ja any any ist gesetzt. Muss ich noch ein Gateway erstellen oder so?

[meyergru]

Wenn das VPN erst einmal steht kann es ja nur Routing oder Firewall sein. Ersteres bekommt man mit einem Traceroute raus, letztes, indem man ins Firewall-Log schaut.

[groove21]

Guten Tag,

ich hatte nach dem ersten Post aus Zeitgründen einen Restore meines Snapshots gemacht und alles war wieder gut. Doch so langsam muss ich das PRoblem mal lösen. Daher die Frage: Noch nicht all meine FritzBoxen können Wireguard, so dass ich zumindest für einen Teil noch IPsec machen muss.
Hat jemand eine funktionierende Verbindung mit connections (new) und könnte mal ein paar Screens posten?

Meine Fritz-Config sieht so aus:

Code: [Select]

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "FQDN OPNSENSE";
                localid {
                        fqdn = "Dyndns Fritz";
                }
                remoteid {
                        fqdn = "FQDN OPNSENSE";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "1FYrdoCfScWXfGISrA44";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.141.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.201.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 10.0.0.0 255.0.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Mit der hat bisher immer alles geklappt.

Wie müsste das Gegenstück auf der OPNsense in der neuen GUI nun aussehen?

Gruß
Florian

[dmark]

Zwei Anmerkungen:
- In "phase2ss" würde ich das "3des" entfernen.
- "use_nat_t = no;" - Bist Du sicher, dass auf der Strecke kein NAT im Spiel ist? Yes schadet in der Regel nicht.
- Kann es sein, dass Du deinen "key" gerade kompromittiert hast?

[groove21]

Hey dmark,

danke für die Anmerkungen.

use_nat_t hatte ich sogar probiert, hat aber nicht zur Besserung beigetragen. Ich probiere es nochmal.
phase2ss werde ich mal versuchen 3des zu entfernen (kann mir aber fast nicht vorstellen, dass es daran liegt)
Ja das mit dem Key habe ich auch schon bemerkt. Ich werde ihn natürlich auf beiden Seiten austauschen.

Ich probiere es später und melde mich dann wieder.

Hast du zufällig Screens von der aktuellen neuen GUI bzgl. IPsec?

Gruß
Florian