IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

Started by groove21, February 11, 2023, 11:40:41 AM

Previous topic - Next topic
Print
Go Down Pages 1 2 3
User actions
February 22, 2023, 10:59:46 AM #15
Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.

Falls es Dir hilft:

Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an

Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden
February 22, 2023, 11:12:19 AM #16
Der Knackpunkt ist, dass man IKEv1 und Aggressive Mode eigentlich nicht will. Man kann IKEv1 noch verwenden, sollte dann aber den Main Mode wählen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 22, 2023, 11:18:47 AM #17
Die Fritzbox-Gegenstelle hat eine dynamische IP, daher das Aggressive. Prinzipiell hast Du natürlich recht, dass man das eigentlich nicht mehr will.

Ich lauere schon auf das FritzOS 7.50 für die FB7490. Dann fliegt IPSEC zugunsten von Wireguard raus.
February 26, 2023, 01:14:49 PM #18
Ich bin gerade dabei die Verbindungen auf WG umzustellen. Die Logik ist hier ja etwas anders wie bei IPsec und daran scheitere ich gerade.

Ich habe jetzt einen Tunnel von der Fritz zur OPNsense stehen an zwei Standorten.
Von den Fritzen kann ich auch auf die Server der OPNsense im LAN pingen, funktioniert.

Was nicht geht:
Ping aus dem jeweiligen dezentralen Netz (beipielsweise Client aus 10.105.0.0/16) kann nicht die WG-IP der eigenen Fritz erreichen (10.202.105.1/32)

Allerdings kann ich wiederum die WG-IP eines anderen dezentralen Standortes erreichen (beispielsweise aus 10.105.0.0/16 erreiche ich die WG-IP des anderen Standortes (10.202.102.1/32)

Auch kann ich von der OPNsense die Geräte im Fritzbox-Netz hinter dem Tunnel pingen (Route und Gateway eingerichtet). Beispielsweise 10.105.0.0/16 über 10.202.105.1 bzw. 10.102.0.0/16 über 10.202.102.1

Was nicht klappt:

Ich erreiche aus dem Client-Netz Standort A (10.105.0.0/16) keine Clients in Standort B (10.102.0.0/16) bzw. umgekehrt.

Auch erreiche ich aus anderen Server des OPNsense-LANs nur die WG-IPs der jeweiligen FritzBoxen, aber nicht die dahinterliegenden Client-Netze (10.105.0.0/16 bzw. 10.102.0.0/16).

Wieso erreiche ich die Clients über das Ping-Tool der OPNsense, nicht aber von den anderen Servern im LAN der OPNsense?

Und wie bekomme ich das Routing zwischen den dezentralen Client-Netzen hin?

Hat hier jemand eine Lösung?

Die Fritzen sind wie folgt angebunden:

Code Select
[Interface]
PrivateKey = key
ListenPort = 51820
Address = 10.202.105.1/32
DNS = 10.201.2.2

[Peer]
PublicKey = key
AllowedIPs = 10.0.0.0/10, 10.64.0.0/11, 10.96.0.0/13, 10.104.0.0/16, 10.106.0.0/15, 10.108.0.0/14, 10.112.0.0/12, 10.128.0.0/9 => alles außer 10.105.0.0/16
Endpoint = FQDN opnsense:4445
PersistentKeepalive = 25


Zugelassene IPs auf OPNsense Seite für den dezentralen Standort:
10.202.105.1/32 und 10.105.0.0/16
February 26, 2023, 07:24:05 PM #19
Ich werde das WG zwar weiterverfolgen, habe jetzt aber aus Stabilitätsgründen erst mal wieder einen Rollback auf die alte OPNsense-Version gemacht.

Ich habe jetzt auch nochmal etwas gegoogled:

Code Select
StrongSwan IPsec configuration now uses the preferred swanctl.conf instead of the deprecated ipsec.conf which could lead to connectivity issues in ambiguous cases. Subtle bugs cannot be ruled out as well so please raise an issue on GitHub to be able to investigate each case.
The new IPsec connections pages and API create an independent set of connections following the design of swanctl.conf. Legacy tunnel settings cannot be managed from the API and are not migrated.

Kann mir jemand sagen, wie man die Verbindungen auf strongswan richtig anlegt (ggf. Screens). Ich steige da nicht durch.

WG werde ich zwar auch weiterverfolgen, mangels FritzBoxen ohne WG-Untersützung in stable (7490) komme ich aber noch nicht ganz ohne IPSEC aus.
February 28, 2023, 11:39:17 PM #20
Quote from: dmark on February 22, 2023, 10:59:46 AM
Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.

Falls es Dir hilft:

Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an

Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden

Und diese Config läuft bei dir mit Version 23? Ich bekomme es so nicht ans Laufen.
Ich habe das Problem, dass vor dem Update alle Tunnel stabil sind.
Nach dem Update kommen mit gleicher Config ein Teil der Tunnel (ca. 2-3) wieder hoch, doch dies ist nicht dauerhaft. Nach einem Reboot sind diese dann auch weg und kommen nicht wieder.

Ich habe dezentral einen Mix aus 7590 und 7490. Du betriebst diese Config mit Version 23?

Gruß
March 01, 2023, 09:38:26 AM #21
Hallo @groove21,

kannst Du posten was im Log geschieht, wenn die Verbindungen in 23.1 starten/nicht starten?

Meine ipsec Verbindungen zur Fritzbox funktionieren nach dem Update auf 23.1 leider auch nicht mehr. Hier habe ich meine Config und etwas aus dem Log gepostet: https://forum.opnsense.org/index.php?topic=32683.0

Außerdem meine Vermutung, dass die neue Verbindung mit strongswan mit den Fritzboxen nicht funktioniert, da opnsense die Verbindung nicht mehr mit der niedrigen DH Gruppe 2 initiieren möchte.

VG, Bernd
IPU451, 16GB RAM, 120GB SSD:
OPNsense 22.7.11_1-amd64
FreeBSD 13.1-RELEASE-p5
OpenSSL 1.1.1s 1 Nov 2022

IPU441, 8GB RAM, 120GB SSD:
OPNsense 23.1.1_2-amd64
FreeBSD 13.1-RELEASE-p6
OpenSSL 1.1.1t 7 Feb 2023
March 01, 2023, 09:43:13 AM #22
> Außerdem meine Vermutung, dass die neue Verbindung mit strongswan mit den Fritzboxen nicht funktioniert, da opnsense die Verbindung nicht mehr mit der niedrigen DH Gruppe 2 initiieren möchte.

Gibts hier schon eine konkrete Idee? swanctl.conf falsch generiert?


Grüsse
Franco
March 01, 2023, 09:59:58 AM #23
QuoteGibts hier schon eine konkrete Idee? swanctl.conf falsch generiert?

Die Vermutung hatte ich, da 23.1 erst mit modp2048/DH Gruppe 14 startet und die Fritzbox initial modp1024/DH Gruppe 2 möchte. Siehe https://avm.de/service/vpn/fritzbox-mit-einem-firmen-ipsec-vpn-verbinden/

Grüße, Bernd
IPU451, 16GB RAM, 120GB SSD:
OPNsense 22.7.11_1-amd64
FreeBSD 13.1-RELEASE-p5
OpenSSL 1.1.1s 1 Nov 2022

IPU441, 8GB RAM, 120GB SSD:
OPNsense 23.1.1_2-amd64
FreeBSD 13.1-RELEASE-p6
OpenSSL 1.1.1t 7 Feb 2023
March 01, 2023, 10:03:32 AM #24
Zeig doch mal bitte die swanctl.conf auf 23.1 und ggf. die vorherige ipsec.conf auf 22.7.x.


Danke,
Franco
March 01, 2023, 10:06:32 AM #25
Ich hab's hier gepostet: https://forum.opnsense.org/index.php?topic=32683.msg158174#msg158174

Die Vermutung betrifft ja nur die "neuen Verbindungen", nicht die Umschrift von ipsec.conf zu swanctl.conf ...

Danke und Grüße
Bernd
IPU451, 16GB RAM, 120GB SSD:
OPNsense 22.7.11_1-amd64
FreeBSD 13.1-RELEASE-p5
OpenSSL 1.1.1s 1 Nov 2022

IPU441, 8GB RAM, 120GB SSD:
OPNsense 23.1.1_2-amd64
FreeBSD 13.1-RELEASE-p6
OpenSSL 1.1.1t 7 Feb 2023
March 01, 2023, 10:23:38 AM #26
Perfekt, ich schau mal.


Grüsse
Franco
March 02, 2023, 09:45:39 PM #27
Gibt es jetzt schon eine Erkenntnis, warum die alten Verbindungen mit der Fritz nicht mehr funktionieren? Selbst wenn ich von DH14 auf DH2 und SHA1 zurückgehe (was ja auch nicht so toll ist), bekomme ich das nicht mehr hin.
March 03, 2023, 07:24:41 AM #28
Also modp1024 fehlt bei den neuen Connections, weil es aktuell schon "deprecated" ist. Mit den alten Einstellungen unter Tunnel muss es aber funktionieren.


Grüsse
Franco
March 04, 2023, 12:07:40 PM #29
Ich habe die Connections gar nicht im neuen Tab angelegt, sondern nutze nach wie vor den alten.
Das geht mit Version 22 auch einwandfrei. Update ich dann auf Version 23 und ändere sonst nichts, kommt keine Verbindung mehr zustande. Die FritzBox meckert in ihrem Log "no proposal chosen"

Gibt es hier Ideen?
Print
Go Up Pages 1 2 3
User actions