Mehrere Subnetze über IPsec mit Fritz!Box erreichen

Started by JasMan, July 22, 2018, 02:11:14 PM

Previous topic - Next topic
Hi,

ich habe einen IPsec Tunnel zwischen meiner OPNsense und einer Fritz!Box 6590 aufgebaut. Der Tunnel läuft stabil, gute Performance, alles super.

Nun möchte ich aber aus dem LAN der Fritz!Box mehrere Subnetze auf meiner OPNsense erreichen. Und da komme ich nicht weiter. Hier mal die Eckdaten:

Fritz!Box 6590
LAN: 192.168.0.0/24
WAN: öffentliche, dynamische IP (DynDNS vorhanden)

OPNsense
LAN1: 192.168.1.0/24
LAN2: 192.168.2.0/24
OpenVPN: 192.168.3.0/24
WAN: öffentliche, dynamische IP (DynDNS vorhanden)

Mein Wunsch ist alle drei Subnetze aus dem LAN der Fritte zu erreichen, und das möglichst mit nur einem Tunnel.
Was ich bereits probiert habe:


  • Drei VPNs auf der Fritte eingerichtet mit identischer Phase1, und mit angepasster Phase2 für das jeweilge Remote Subnetz der OPNsense. Auf der OPNsense habe ich dann einen VPN Tunnel mit jeweils einer Phase2 für jedes Subnetz angelegt

  • Drei Tunnel (für jedes Subnetz einen) auf beiden Seiten mit den selben Einstellungen in Phase1, und mit angepasster Phase2 für das jeweilge Remote Subnetz

  • Drei Tunnel (für jedes Subnetz einen) auf beiden Seiten mit den unterschiedlichen PSK Keys und ID Einstellungen in Phase1, und mit angepasster Phase2 für das jeweilge Remote Subnetz

Bei allen Varianten geht aber immer nur ein Subnetz online. Ich hab es einmal geschaft zwei Subnetze online zu bekommen. Aber ich weiß nicht warum und weshalb...... :-[

Bekommt man überhaupt mehrere Subnetze über die Fritte mit nur einem VPN/Tunnel geschaltet (mehrere SAs), oder muss man zwangsweise für jedes Subnetz einen Tunnel aufbauen?

Hat das schon mal einer hinbekommen?

Thanks.

Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Hi,
ich hatte vor kurzem das selbe Problem. Bei mir lag es daran, dass ich die P2 geklont habe (Opnsense) und nicht "neu erstellt" habe.

Also Grundsätzlich reicht es natürlich, wenn du eine Phase1 verwendest, in der du dann drei P2 Einträge, also die Subnetze die du erreichen willst, einbaust. Dort auch wieder drauf achten, das die Parameter, bis auf die IP's identisch sind.

Die Phase 2 sieht dann in etwa so aus, angenommen 192.168.1.0/24 ist das OPNSense Netzwerk und 192.168.2.0, 3.0, 4.0/24 die drei Fritzbox Netze:

OPNSense
P2:
Local: 192.168.1.0/24  Remote: 192.168.2.0/24
Local: 192.168.1.0/24 Remote: 192.168.3.0/24
Local: 192.168.1.0/24  Remote: 192.168.4.0/24

Fritzbox:
P2:
Local: 192.168.2.0/24  Remote: 192.168.1.0/24
Local: 192.168.3.0/24  Remote: 192.168.1.0/24
Local: 192.168.4.0/24  Remote: 192.168.1.0/24

Ich arbeite bei solchen Einstellungen immer mit IP Adressen, du kannst ja im Dropdown Menu auch die Interfaces auswählen - davon rate ich ab, wegen der Übersicht.

Dann musst auf beiden Firewalls für IP Sec auch den Traffic erlauben. Zum Testen würde ich aber erst einmal eine "Permit any any" Regel für IPSec einbauen, um zu sehen, dass die Verbindungen überhaupt zustande kommen. Wenn das immer noch nicht klappt -> mal ein Blick in die Logausgabe werfen.

Hey cmu,

Danke schon mal für den Hinweis mit dem clonen der Phase2 Einträge.

Bei den Subnetzen verhält es sich aber genau anders herum: ich habe drei Subnetze an der OPNsense, und nur eins an der Fritz!Box. Aus dem Netz der Fritte will ich die drei Netze an der OPNsense erreichen.
OK, ich werde vermutlich weiterhin drei Phase2 Einträge auf der OPENsense für die Subnetze benötigen?! Aber wie sieht die Config auf der Fritte aus? Benötige ich drei VPNs oder packe ich das alles in eine Konfiguration? Wie muss diese dann aussehen?

Gruß
Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Du brauchst auf beiden Seiten EINE Phase 1 mit DREI P2. Dann also entsprechend auf der Opnsense Seite so:

OPN:
P1 blabla
P2
Local 192.168.2.0/24 Remote 192.168.1.0
Local 192.168.3.0/24 Remote 192.168.1.0
Local 192.168.4.0/24 Remote 192.168.1.0

FritzBox:
P1 blabla
P2
Local 192.168.1.0/24 Remote 192.168.2.0/24
Local 192.168.1.0/24 Remote 192.168.3.0/24
Local 192.168.1.0/24 Remote 192.168.4.0/24

Aber das die Verschlüsselungsparameter etc. identisch eingestellt werden müssen, ist ja klar. sonst können die Router keine Verbidung aushandeln.

So habe ich es auch von Anfang an verstanden und wollte es auch so einrichten. Nur habe ich keine Ahnung wie ich die drei Phase2 Settings der Fritte mitgebe.

In der Config gibt es nur eine Phase2 und wenn ich den Part einfach kopiere und noch mal dran hänge, nimmt sie nur den letzten Eintrag.
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Das war mir nicht klar, dass man nur eine P2 bei der FritzBox angeben kann. Dann kannst du vielleicht doch den Weg gehen und für jedes Netz eine eigene P1 bauen.

Für die Nachwelt: Ich habe jetzt glaub alle Varianten ausprobiert und bin zu dem Schluss gekommen, dass man für jedes Subnetz einen eigene Verbindung mit Phase1 und Phase2 bauen muss (so wie @cmu das bereits vorgeschlagen hat). Ich bekomme ansonsten nicht zwei Subnetze über eine Phase2 geschleust.

Die RemoteID und LocalID müssen pro Verbindung abweichend sein, damit OPNsense und Fritz!Box diese zuordnen können. Den PSK habe ich auch abweichend gemacht. Da bin ich mir aber nicht sicher, ob das seien muss.

Falls sonst noch jemand eine Idee hat, immer her damit  :D
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Zwar schon älteres Topic, aber für die Nachwelt sicher interessant:

Es geht auch mit nur einer Phase 1 und einer Phase 2:

Schritt 1:
Die VPN-Konfiguration in der vpn.cfg manuell im Texteditor wie von AVM hier
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/230_Uber-VPN-Verbindung-zwischen-zwei-FRITZ-Boxen-auf-mehrere-IP-Netzwerke-hinter-einer-FRITZ-Box-zugreifen/ beschrieben anpassen und in die Fritz-Box importieren.
Dem ersten Beispiel folgend:

accesslist =
"permit ip any 192.168.1.0 255.255.255.0",
"permit ip any 192.168.2.0 255.255.255.0",
"permit ip any 192.168.3.0 255.255.255.0";



Schritt 2:
Die entsprechenden Subnetze in der OPNsense in Phase 2 im Feld "Manual SPD entries" eintragen.
, dem ersten Beispiel folgend:

192.168.1.0/24,192.168.2.0/24,192.168.3.0/24

Hierbei sei gesagt, wenn "Local Network Type" in Phase 2 bereits als Subnetz definiert ist, muss dieses nicht im SPD-Feld eingetragen werden.

Ich bin der Meinung das mit dem manuellem SPD Eintrag auch probiert zu haben, jedoch ohne Erfolg. Kann sich natürlich zwischenzeitlich was geändert haben. Danke für den Hinweis.

Da die AVM Software aber momentan noch das Problem hat, dass man eine angepasste VPN Config nicht mehr eingespielt bekommt bzw. die Box diese nicht anzeigt, habe ich irgendwann das Testen aufgegeben.

Als Lösung habe ich meine lokalen Subnetze einfach so angepasst, dass ich diese mit einer größeren Subnetmask alle in eine Subnetzangabe der Phase 2 passen.
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

This config with two subnets gets accepted by Fritz!Box 7590 and works fine together with a Strongswan peer:


(...)
phase2remoteid {
                        ipnet {
                                ipaddr = <net1>;
                                mask = <mask1>;
                        } {
                                ipaddr = <net2>;
                                mask = <mask2>;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any <net1> <mask1>",
                "permit ip any <net2> <mask2>";
                app_id = 0;
        }