IPSec mit Fritz!Box und OpnSense

Started by Sany, August 10, 2023, 09:06:15 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 10, 2023, 09:06:15 AM
Moin Zusammen,

Ich habe eine Fritz!Box 6820v3 LTE mit einem Geschäftskundentarif und habe entsprechend eine öffentlich erreichbare IPv4 an der Fritz!Box.

Meine Konstellation:

Fritz!Box LTE (Intern 172.16.9.1/24) (IP: 1.1.1.1) -----> OpnSense im RZ (IP: 2.2.2.2) -> Internes Netz (172.16.1.0/24, GW: 172.16.1.1)

So, der Verbindungsaufbau IPSec war nicht das Problem, das Problem ist nur, das vermeintlich nichts durch das Tunnel geht.
Ich kann aus dem Netz der Fritz!Box das GW 172.16.1.1 nicht anpingen. (Habe auch schon auf Windows "route add 172.16.1.0 mask 255.255.255.0 172.16.1.1") gemacht, ohne erfolg.

Aus dem Netz der OpnSense (172.16.1.0/24) kann das das GW 172.16.9.1 auch nicht pingen, der Ping geht aber durch die Firewall durch und wird auch als ICMP (Grün) im Firewall Log angezeigt und der Zähler Bytes Out addiert sich...

Phase 1 und 2 sind completed, es steht auch bei Phase 2 "INSTALLED" der Zähler Bytes Out zählt auch den Ping, aber der Zähler Bytes IN bleibt hartnäckig auf 0....

Eine Rule von Source IPSec ins interne LAN habe ich erstellt...

Hier mal meine Fritz!Box Konfig:

Code Select

vpncfg {
connections {
  enabled = yes;
  editable= yes;
  use_ikev2 = no;
  conn_type = conntype_lan;
  name = "VPN";
  always_renew = yes;
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 2.2.2.2;
  local_virtualip = 0.0.0.0;
  remoteip = 1.1.1.1;
  remote_virtualip = 0.0.0.0;
  localid {
    fqdn = "SECRET";
    }
  remoteid {
   fqdn = "SECRET";
    }
  mode = phase1_mode_aggressive;
  phase1ss = "all/all/all";
  keytype = connkeytype_pre_shared;
  key = "SECRET";
  cert_do_server_auth = no;
  use_nat_t = yes;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = 172.16.9.0;
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = 172.16.1.0;
      mask = 255.255.255.0;
      }
    }
  phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
  accesslist = "permit ip any mask 255.255.255.0 172.16.1.0 255.255.255.0";
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}


Hat jemand eine Idee?! :)
August 18, 2023, 03:02:08 PM #1
Hallo Sany
kannst Du evtl. eine graphische Darstellung Deines Aufbaus reinstellen? Ich sehe bei Deinen IP-Ranges (noch) nicht ganz klar. Die Graphik würde helfen
Print
Go Up Pages1
User actions