IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

Started by groove21, February 11, 2023, 11:40:41 AM

Previous topic - Next topic
Print
Go Down Pages1 2 3
User actions
February 11, 2023, 11:40:41 AM
Guten Tag,

ich habe ca. 25 dezentrale Standorte/Netze, die ich per IPsec Fritz Box zur OPNsense anbinde. Dies ging bisher auch problemlos. Nach dem Update auf 23.1 ist die Mehrzahl der Verbindungen weg, eine Verbindung ist ein Glücksspiel.
Kann jemand ähnliches berichten?
Ich habe den neuen Connections [new] Tab gesehen. Muss ich meine Verbindungen dahin migrieren? Ich tue mich mit der neuen Übersicht etwas schwer. Hat hier jemand eine funktionierende Config die er mal mit Screens teilen kann?

Gruß
Florian
February 11, 2023, 03:15:49 PM #1
Hallo Florian,

ich habe jetzt 4 Firewalls auf 23.1_6 angehoben und bis jetzt keine Probleme mit der Legacy-IPsec-Konfiguration der Tunnel gehabt, die automatisch beim Upgrade erzeugt worden sind.

Viele Grüße,
atom
February 11, 2023, 05:21:45 PM #2
Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:

1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
February 11, 2023, 06:07:23 PM #3
Quote from: meyergru on February 11, 2023, 05:21:45 PM
...
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.

Öhm, wie optimierst du das? Ich hatte mal mit der MTU für die WG-Interfaces rumgespielt, aber eigentlich keinen Effekt gesehen und es dann gelassen. Ist aber schon einige Zeit her...
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
February 11, 2023, 09:30:03 PM #4
Den möglichen Effekt hatten wir gerade: https://forum.opnsense.org/index.php?topic=32354.msg156519

Im Wesentlichen muss die MSS berücksichtigen ob im Paket weitere Bytes übertragen werden (PPPoE, 802.1q, VPN-Header usw.).
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
February 18, 2023, 07:36:59 PM #5
Quote from: meyergru on February 11, 2023, 05:21:45 PM
Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:

1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.


Könntest du mir bei der Wireguard config helfen?

Das ist meine Config die ich in die Fritzbox hochlade.
Code Select

[Interface]
Address = 10.11.0.2/24
ListenPort = 51828
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.11.0.1/24, 192.168.1.0/24
Endpoint = xxxxxxxxx.spdns.org:51828
PersistentKeepalive = 25


Konfig der OPNsense
Code Select

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Address = 10.11.0.1/24
ListenPort = 51828

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Endpoint = xxxxxxxxxxxxxxxxx.myfritz.net:51828
AllowedIPs = 10.11.0.2/32,192.168.2.0/24
PersistentKeepalive = 25



Handshake und Transfer scheint zu klappen, ich kann aber aus dem opnsense netz 192.168.1.1/24 nicht auf das 192.168.2.1/24 zugreifen. Wo haben ich meinen Fehler? :)
February 18, 2023, 08:12:56 PM #6
Quote from: chemlud on February 11, 2023, 06:07:23 PM
Quote from: meyergru on February 11, 2023, 05:21:45 PM
...
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.

Öhm, wie optimierst du das? Ich hatte mal mit der MTU für die WG-Interfaces rumgespielt, aber eigentlich keinen Effekt gesehen und es dann gelassen. Ist aber schon einige Zeit her...

Ich mache das so.


Damit mache ich die vollen 55 Mbit die meine Gegenstelle liefern kann.
February 18, 2023, 08:22:03 PM #7
Quote from: Lip90 on February 18, 2023, 07:36:59 PM
Quote from: meyergru on February 11, 2023, 05:21:45 PM
Ich habe das früher auch mit IPsec gemacht, aber mit dem neuen FritzOS funktioniert Wireguard ziemlich problemlos und sehr schnell. Wichtig sind neben der Wireguard Konfiguration selbst nur zwei Punkte:

1. "Renew Wireguard DNS" per Cron aufrufen, damit bei neuen IPs die Verbindung neu erzeugt wird.
2. Für die Wireguard-Interfaces unter Firewall->Settings->Normalization eine kleinere MSS einstellen.


Könntest du mir bei der Wireguard config helfen?

Das ist meine Config die ich in die Fritzbox hochlade.
Code Select

[Interface]
Address = 10.11.0.2/24
ListenPort = 51828
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.11.0.1/24, 192.168.1.0/24
Endpoint = xxxxxxxxx.spdns.org:51828
PersistentKeepalive = 25


Konfig der OPNsense
Code Select

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Address = 10.11.0.1/24
ListenPort = 51828

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Endpoint = xxxxxxxxxxxxxxxxx.myfritz.net:51828
AllowedIPs = 10.11.0.2/32,192.168.2.0/24
PersistentKeepalive = 25



Handshake und Transfer scheint zu klappen, ich kann aber aus dem opnsense netz 192.168.1.1/24 nicht auf das 192.168.2.1/24 zugreifen. Wo haben ich meinen Fehler? :)

Unter firewall rules für Wireguard Route die Regeln gesetzt?

http://x.x.x.x/firewall_rules.php?if=wireguard
February 18, 2023, 08:30:11 PM #8
Nein habe ich nicht. Wie muss die Rule aussehen?
February 18, 2023, 08:57:19 PM #9
Naja je nachdem was da laufen soll.
Zur not erstmal mal any any.



February 18, 2023, 09:01:56 PM #10
Achso, ja any any ist gesetzt. Muss ich noch ein Gateway erstellen oder so?
February 18, 2023, 10:04:08 PM #11
Wenn das VPN erst einmal steht kann es ja nur Routing oder Firewall sein. Ersteres bekommt man mit einem Traceroute raus, letztes, indem man ins Firewall-Log schaut.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
February 19, 2023, 02:31:33 PM #12
Guten Tag,

ich hatte nach dem ersten Post aus Zeitgründen einen Restore meines Snapshots gemacht und alles war wieder gut. Doch so langsam muss ich das PRoblem mal lösen. Daher die Frage: Noch nicht all meine FritzBoxen können Wireguard, so dass ich zumindest für einen Teil noch IPsec machen muss.
Hat jemand eine funktionierende Verbindung mit connections (new) und könnte mal ein paar Screens posten?

Meine Fritz-Config sieht so aus:
Code Select
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "FQDN OPNSENSE";
                localid {
                        fqdn = "Dyndns Fritz";
                }
                remoteid {
                        fqdn = "FQDN OPNSENSE";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "1FYrdoCfScWXfGISrA44";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.141.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.201.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 10.0.0.0 255.0.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Mit der hat bisher immer alles geklappt.

Wie müsste das Gegenstück auf der OPNsense in der neuen GUI nun aussehen?

Gruß
Florian
February 20, 2023, 12:06:37 PM #13
Zwei Anmerkungen:
- In "phase2ss" würde ich das "3des" entfernen.
- "use_nat_t = no;" - Bist Du sicher, dass auf der Strecke kein NAT im Spiel ist? Yes schadet in der Regel nicht.
- Kann es sein, dass Du deinen "key" gerade kompromittiert hast?
February 20, 2023, 01:01:15 PM #14
Hey dmark,

danke für die Anmerkungen.

use_nat_t hatte ich sogar probiert, hat aber nicht zur Besserung beigetragen. Ich probiere es nochmal.
phase2ss werde ich mal versuchen 3des zu entfernen (kann mir aber fast nicht vorstellen, dass es daran liegt)
Ja das mit dem Key habe ich auch schon bemerkt. Ich werde ihn natürlich auf beiden Seiten austauschen.

Ich probiere es später und melde mich dann wieder.

Hast du zufällig Screens von der aktuellen neuen GUI bzgl. IPsec?

Gruß
Florian
Print
Go Up Pages1 2 3
User actions