IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

[dmark]

Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.

Falls es Dir hilft:

Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an

Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden

[Patrick M. Hausen]

Der Knackpunkt ist, dass man IKEv1 und Aggressive Mode eigentlich nicht will. Man kann IKEv1 noch verwenden, sollte dann aber den Main Mode wählen.

[dmark]

Die Fritzbox-Gegenstelle hat eine dynamische IP, daher das Aggressive. Prinzipiell hast Du natürlich recht, dass man das eigentlich nicht mehr will.

Ich lauere schon auf das FritzOS 7.50 für die FB7490. Dann fliegt IPSEC zugunsten von Wireguard raus.

[groove21]

Ich bin gerade dabei die Verbindungen auf WG umzustellen. Die Logik ist hier ja etwas anders wie bei IPsec und daran scheitere ich gerade.

Ich habe jetzt einen Tunnel von der Fritz zur OPNsense stehen an zwei Standorten.
Von den Fritzen kann ich auch auf die Server der OPNsense im LAN pingen, funktioniert.

Was nicht geht:
Ping aus dem jeweiligen dezentralen Netz (beipielsweise Client aus 10.105.0.0/16) kann nicht die WG-IP der eigenen Fritz erreichen (10.202.105.1/32)

Allerdings kann ich wiederum die WG-IP eines anderen dezentralen Standortes erreichen (beispielsweise aus 10.105.0.0/16 erreiche ich die WG-IP des anderen Standortes (10.202.102.1/32)

Auch kann ich von der OPNsense die Geräte im Fritzbox-Netz hinter dem Tunnel pingen (Route und Gateway eingerichtet). Beispielsweise 10.105.0.0/16 über 10.202.105.1 bzw. 10.102.0.0/16 über 10.202.102.1

Was nicht klappt:

Ich erreiche aus dem Client-Netz Standort A (10.105.0.0/16) keine Clients in Standort B (10.102.0.0/16) bzw. umgekehrt.

Auch erreiche ich aus anderen Server des OPNsense-LANs nur die WG-IPs der jeweiligen FritzBoxen, aber nicht die dahinterliegenden Client-Netze (10.105.0.0/16 bzw. 10.102.0.0/16).

Wieso erreiche ich die Clients über das Ping-Tool der OPNsense, nicht aber von den anderen Servern im LAN der OPNsense?

Und wie bekomme ich das Routing zwischen den dezentralen Client-Netzen hin?

Hat hier jemand eine Lösung?

Die Fritzen sind wie folgt angebunden:

Code: [Select]

[Interface]
PrivateKey = key
ListenPort = 51820
Address = 10.202.105.1/32
DNS = 10.201.2.2

[Peer]
PublicKey = key
AllowedIPs = 10.0.0.0/10, 10.64.0.0/11, 10.96.0.0/13, 10.104.0.0/16, 10.106.0.0/15, 10.108.0.0/14, 10.112.0.0/12, 10.128.0.0/9 => alles außer 10.105.0.0/16
Endpoint = FQDN opnsense:4445
PersistentKeepalive = 25

Zugelassene IPs auf OPNsense Seite für den dezentralen Standort:
10.202.105.1/32 und 10.105.0.0/16

[groove21]

Ich werde das WG zwar weiterverfolgen, habe jetzt aber aus Stabilitätsgründen erst mal wieder einen Rollback auf die alte OPNsense-Version gemacht.

Ich habe jetzt auch nochmal etwas gegoogled:

Code: [Select]

StrongSwan IPsec configuration now uses the preferred swanctl.conf instead of the deprecated ipsec.conf which could lead to connectivity issues in ambiguous cases. Subtle bugs cannot be ruled out as well so please raise an issue on GitHub to be able to investigate each case.
The new IPsec connections pages and API create an independent set of connections following the design of swanctl.conf. Legacy tunnel settings cannot be managed from the API and are not migrated.
Kann mir jemand sagen, wie man die Verbindungen auf strongswan richtig anlegt (ggf. Screens). Ich steige da nicht durch.

WG werde ich zwar auch weiterverfolgen, mangels FritzBoxen ohne WG-Untersützung in stable (7490) komme ich aber noch nicht ganz ohne IPSEC aus.

[groove21]

Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.

Falls es Dir hilft:

Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an

Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden

Und diese Config läuft bei dir mit Version 23? Ich bekomme es so nicht ans Laufen.
Ich habe das Problem, dass vor dem Update alle Tunnel stabil sind.
Nach dem Update kommen mit gleicher Config ein Teil der Tunnel (ca. 2-3) wieder hoch, doch dies ist nicht dauerhaft. Nach einem Reboot sind diese dann auch weg und kommen nicht wieder.

Ich habe dezentral einen Mix aus 7590 und 7490. Du betriebst diese Config mit Version 23?

Gruß

[lebernd]

Hallo @groove21,

kannst Du posten was im Log geschieht, wenn die Verbindungen in 23.1 starten/nicht starten?

Meine ipsec Verbindungen zur Fritzbox funktionieren nach dem Update auf 23.1 leider auch nicht mehr. Hier habe ich meine Config und etwas aus dem Log gepostet: https://forum.opnsense.org/index.php?topic=32683.0

Außerdem meine Vermutung, dass die neue Verbindung mit strongswan mit den Fritzboxen nicht funktioniert, da opnsense die Verbindung nicht mehr mit der niedrigen DH Gruppe 2 initiieren möchte.

VG, Bernd

[franco]

> Außerdem meine Vermutung, dass die neue Verbindung mit strongswan mit den Fritzboxen nicht funktioniert, da opnsense die Verbindung nicht mehr mit der niedrigen DH Gruppe 2 initiieren möchte.

Gibts hier schon eine konkrete Idee? swanctl.conf falsch generiert?


Grüsse
Franco

[lebernd]

Gibts hier schon eine konkrete Idee? swanctl.conf falsch generiert?

Die Vermutung hatte ich, da 23.1 erst mit modp2048/DH Gruppe 14 startet und die Fritzbox initial modp1024/DH Gruppe 2 möchte. Siehe https://avm.de/service/vpn/fritzbox-mit-einem-firmen-ipsec-vpn-verbinden/

Grüße, Bernd

[franco]

Zeig doch mal bitte die swanctl.conf auf 23.1 und ggf. die vorherige ipsec.conf auf 22.7.x.


Danke,
Franco

[lebernd]

Ich hab's hier gepostet: https://forum.opnsense.org/index.php?topic=32683.msg158174#msg158174

Die Vermutung betrifft ja nur die "neuen Verbindungen", nicht die Umschrift von ipsec.conf zu swanctl.conf ...

Danke und Grüße
Bernd

[franco]

Perfekt, ich schau mal.


Grüsse
Franco

[groove21]

Gibt es jetzt schon eine Erkenntnis, warum die alten Verbindungen mit der Fritz nicht mehr funktionieren? Selbst wenn ich von DH14 auf DH2 und SHA1 zurückgehe (was ja auch nicht so toll ist), bekomme ich das nicht mehr hin.

[franco]

Also modp1024 fehlt bei den neuen Connections, weil es aktuell schon "deprecated" ist. Mit den alten Einstellungen unter Tunnel muss es aber funktionieren.


Grüsse
Franco

[groove21]

Ich habe die Connections gar nicht im neuen Tab angelegt, sondern nutze nach wie vor den alten.
Das geht mit Version 22 auch einwandfrei. Update ich dann auf Version 23 und ändere sonst nichts, kommt keine Verbindung mehr zustande. Die FritzBox meckert in ihrem Log "no proposal chosen"

Gibt es hier Ideen?