@jogovogo said in FritzBox<->pfSense IPsec VPN: Guten Abend zusammen! Vielleicht wird dieses Thema ja noch beobachtet... Wir hatten stabile VPN Tunnel am laufen haben die FRITZ!Box auf die Version 8.03 updated nun bauen sich diese leider nicht mehr auf. An der Config hat sich selbsterklärend nichts geändert. Es kommt folgende Meldung, IKE-Error 0x2026 "no proposal chosen. Hört sich irgendwie nach Phase 2 an, ob sich da seitens Fritz OS irgendwas geändert hat? Ggf. hat ja einer ähnliche Erfahrung und kennt die aktuellen Chiffrewerte. Cheers Ron Hi, leider hast du dich an einen ganz anderen Thread drangehangen, darum ging die Frage auch komplett unter. Bitte tatsächliche Probleme/Support hier in den Forenteil packen und nicht ins Allgemeine Netzerkthemen Laber-Unterforum :) Es kommt folgende Meldung, IKE-Error 0x2026 "no proposal chosen. Am Einfachsten ist es da die pfSense auf der remote Seite im Log zu untersuchen, da wirst du auch das NO_PROP finden. Davor findet sich dann auch meistens ein IKE Austausch mit "Die Crypto bot mir die Fritte an", "die hab ich selbst" - "kein match". Damit kann man eigentlich immer gut sehen, was tatsächlich übermittelt wurde egal was man bei AVM eingestellt hat und was man selbst konfiguriert hat. No Proposal heißt in dem Zusammenhang mit fast 100% Sicherheit, dass das Setting mit AES-SHA256-DHmode nicht mehr stimmt und die Fritte mit dem Update die Einstellungen resettet hat und ggf. einen anderen Hash, DH Modus oder ne andere Crypto gewählt hat. Was und welche genau siehst du aber nur auf der Sense im Log. Am Besten bei sowas die Sense in Phase 1 auf "responder only" schalten, so dass die nur auf eingehende Requests antwortet und dann im Log die Strings vergleichen was ankommt und was die Sense anbietet - wird sicherlich nicht übereinstimmen weil AVM mal wieder Settings geändert hat :) Cheers :)

@fms said in Default ipsec_get_keystate: no keystate: @bon-go said in IPSec-Tunnel - received NO_PROPOSAL_CHOSEN error notify: IKE log: 173835.242284 Default ipsec_get_keystate: no keystate in ISAKMP SA im Lancom trace Hallo, Kann mir jemand sagen, was no keystate bedeutet? Was bewirkt diesen Fehler? Ich finde dazu leider nichts im Web. Danke und viele Grüße, fms Hi, das hat nichts mit pfSense zu tun und war in diesem alten Thread aus einem Capture(?) von einer Lancom Gegenstelle, darum wird dir hier kaum jemand dazu antworten können. Wenn du allerdings das Problem mit einer Sense als Gegenstelle hast, kannst du gern das IPsec Log der Sense dazu hier posten, dann können wir dem gern auf den Grund gehen, was der Fehler sagt. Ich würde annehmen, dass es entweder schon beim Key Exchange scheitert (Phase 1, Passphrase oder Crypto Cipher) oder dass die Verbindung abgebrochen wurde und daher keine IKE Phase mehr besteht. Cheers

@Hugh86 Ich habe da noch nicht verstanden, warum überhaupt NAT gebraucht wird. Wenn deine P2 Policies auf beiden Sense Seiten korrekt eingestellt sind, müssten beide Seiten sich gegenseitig problemlos pingen lassen. Von Geräten - nicht von den Sensen aus, denn IPsec mit Policies hat ja kein Interface was pingen könnte. Also geht es nur von einem Netz aus, das auch in der Phase 2 im Routing definiert ist. Ich verstehe aber wie gesagt nicht ganz, warum du hier NAT brauchst, das klingt eher, als wäre am VPN was falsch konfiguriert, denn im Lab bei uns kann ich da zwischen 2 Sensen kein Problem sehen :) Vielleicht kannst du ja nochmal etwas genauer die Screenshots posten und von wo nach wo du testest und was nicht geht, dann klappts vllt. auch ohne NAT und mit sauberem Routing :) Cheers

@nanu said in LAN mit zwei Gateways: Wenn ich aus dem Internet mit OpenVPN über Pfsense1 (192.168.1.1) einwähle komme ich eine http Verbindung zu webserver1 (192.168.1.100) und auch auf das Webinterface von Pfsense2 (192.168.1.2) kann ich aufrufen. Ich bekomme aber keine http Verbindung zu webserver2 (192.168.1.200). Per ping ist der Server erreichbar. Umgekehrt ist es vergleichbar. Also Einwahl über Pfsense2 erreichbar per http sind webserver2 und Pfsense1 aber nicht webserver1. Was fehlt hier? Das ist asymmetrisches Routing² und wird dir gern und immer dann wenn du nicht damit rechnest tolle Probleme bescheren. Das Setup ist ziemlich "kaputt". Zwei Gateways mit jeweils eigenem Internet und VPN die dahinter ins gleiche Netz verbunden sind, ist kein Setup was man empfehlen würde. Wenn man das so hart trennen mag, dann sollte man das LAN von pfSense1/2 trennen und dort wirklich nur deren Webserver anhängen. Die Sensen aber untereinander und mit den Webservern ins gleiche Netz zu packen schreit nach Problemen. Wenn man ein sinnvolles MultiWAN Konzept bauen möchte, dann sollten beide WANs auf der gleichen Sense - oder besser auf einem Cluster aus 2 Geräten - aufliegen. Dann kann auch gern eine ausfallen, es kann ein WAN ausfallen, etc. etc. - alles wäre sinnvoll redundant. Aber so ist das eine Art "poor-mans-choice-of-redundancy" was einem dann wegen der Routen über Kreuz und der gleichen IP Ranges gern jederzeit um die Ohren fliegen kann. Gerade dann wenn auf den beiden pfSensen1/2 auch vielleicht noch das gleiche VPN Einwahlnetz verwendet wird :) Denn dann ist für die Geräte das Chaos komplett ;) Und es ist super, dass es jetzt erstmal geht, aber wie gesagt die Asymmetrie des Netzes ist dadurch nicht behoben und das kann zu jeder Menge Fehlersituationen führen, die man eigentlich vermeiden möchte. Im Support bekommen wir solche Sachen leider ständig und nur weil es jetzt vielleicht (noch) funktioniert, würde ich trotzdem dazu raten, das Setup grundlegend zu überdenken :) Cheers! :)

@swk said in Loadbalancing Failover legt alle WAN Verbindungen (& VPN) für 5-15 Sekunden lahm: Netgate_Firmware_Upgrade 23.05.00 du solltest mal Updates einspielen, aktuell ist 24.11

@unique24 falls doch pfBlockerNG mit DNS zum Einsatz kommt unbedingt die RAM Disk aktivieren: https://forum.netgate.com/topic/189820/how-do-i-find-out-what-write-continuously-on-my-pfsense-ssd

@micneu Ganz einfach. Wir lösen unsere OnPrem-Landschaft auf und verlagern alles in ein Cloud-RZ. Damit habe ich an keinem Standort noch Hardware, auf welcher ich einen Domaincontroller laufen lassen könnte. Da unsere Intrusion-Detection-Lösung am DHCP-Server unter Windows andockt, muss es leider ein zentraler Server für alle Standorte sein und ich kann die DHCP-Server-Funktion der PF nicht verwenden. Die DCHP-Discover-Pakete der Clients kommen an der PF an, dort ist DCHP-Relay aktiviert, die Pakete werden aber nicht in den Tunnel weitergeleitet, sondern einfach nicht beantwortet. Würde statt Relay die PF die IP-Helper-Funktion unterstützen, dem Client die Serveradresse mitteilen und der Client von Broadcast auf Unicast switchen, würde das Paket in den Tunnel gehen.

@CharlyTango said in Zwei Netze (bzw zwei IP-Blöcke) am WAN: und ich erkenne gerade, dass di beiden Netze das gleiche Gateway nutzen. Was hat das für Auswirkungen in der pfSense? Keine. Brauche ich da dann eigentlich nur virtuelle IPs und gut ists? Damit wird es auf jeden Fall funktionieren. Virtuelle IPs sind für alle Zwecke geeignet, ob geroutet oder nicht. Nachdem mir aber nicht klar ist, ob das zusätzliche Subnetz geroutet ist und welche IPs davon tatsächlich nutzbar sind, würde ich das zuvor gerne herausfinden. Dazu brauchst du nur die Netzwerkadresse oder Broadcast von außen pingen, während du am WAN ein Paket Capture laufen lässt, das auf die Ziel-IP filtert. Wenn diese ankommt, ohne dass die IP auf der pfSense angelegt ist, kannst du den gesamten Bereich nutzen, auch ohne virtuelle IPs.

@micneu Nein. Was mir noch aufgefallen ist ist der Umstand, dass das DNS die betroffene IP revers auf den alten Hostnamen aufgelöst hat. Nach dem Neustart des DNS war zumindest dieser Spuk verschwunden.

@altmetaller Dann sollte es mit einer Match Regel aber klappen, denn das wird im filter.log in /var/log dann entsprechend gekennzeichnet. Dort werden die Logs ja auch länger aufbewahrt als in der UI anzeigbar, da solltest du notfalls mit Logfile Größe und Anzahl erhöhen schon was finden können :) Cheers

Vielen Dank Leute, als Nicht-Mac-User bin ich hier fast durchgedreht als einer unserer Mitarbeiter mit seinem Mac antanzte und er die lokale Domain beim besten Willen nicht auflösen wollte! Ihr seid Großartig!

@Beerman dann kaufe dir doch eine Hardware direkt bei netgate, wie es einige von uns gemacht haben. Ich glaube das wurde hier auch schon erwähnt. Ich habe den Kauf meiner 6100er nicht bereut.

@Tobi said in Fritz!App Fon (Handy VLAN A) zu FritzBox (VLAN B): Das ist zwar für mich ganz dünner Boden, weil ich nun mal kein "Netzwerker" bin. Woher soll die Sense denn wissen, was sie mit einem neuen/ ankommenden Paket machen soll? Es wird doch von innen nach außen alles geroutet aber von Außen nach Innen? Außen & Innen sind keine Dinge, die ein Gerät kennt. Es hat lediglich Routen. Jedes lokal anliegende Netz hat implizit eine Netzroute mit fast höchster Prio. Die Sense weiß also in welchen Netzen sie steht und wo sie Pakete zwischen den Netzen hin und her verteilen soll. Alles was sie NICHT weiß, schickt sie an die Default Route - dafür ist sie da :) In der klassischen Situation: FB <--> pfSense <==> Netz(e) intern wie man sie oft antrifft, steht ja die Fritte als Provider Kiste vor der Sense, ergo ist der Weg dahin für die Sense immer einfach -> es geht ja eh alles raus, was nicht intern bekannt ist. Problem hat hier die Fritte, denn die hat nur die Sense als Nachbarn, sieht aber die internen Netze nicht und hat da keinen Schimmer von und da ihre Default Route raus ins Internet geht, kommt da dann ohne NAT ausgehend aus der pfSense kein Paket von innen mehr dorthin zurück - außer man setzt statische Routen in der Fritte. Umgekehrt: Wenn die FB aber in einem internen Netz parkt, wie alle anderen auch und die Sense direkt Internet hat/macht oder es eine andere Kiste davor gibt, dann ist die Default Route der Fritte ja die Sense selbst. Alle Netze an der Sense sind dann problemlos erreichbar, weil die Pakete von/zur Fritte dann ja immer über die Sense laufen und dort die Netze alle bekannt sind. Die Fritte kennt sie zwar nicht, aber da diese auf dem Rückweg eh alles an die Sense schickt - kein Problem, denn die kann dann regeln und kennt wieder den Absender. Ergo ist hier intern hinter der Sense zwischen den Netze kein NAT nötig, die finden sich alle. Cheers

@wschmidt ich weiß das Thema ist alt aber der Vollständigkeit halber: Wenn man den Gästen z.B. den Google DNS (8.8.8.8) per DHCP zuweist muss dieser im Captive Portal unter Allowed IP Addresses eingetragen werden.

@JeGr said in Lets Encrypt ACMEv2 | RFC 2136 Update | Strato: Damit kann man die Auth via API Eintrag des TXT Records in der dedyn.io Zone lösen, während im händischen DNS Tool des Providers (Strato, 1und1 etc.) ein einfacher CNAME eingetragen wird für den Hostnamen, den man ausstellen möchte. Das Ganze kann man dann natürlich für beliebige weitere Hostnamen wiederholen/ausdehnen, für jeden weiteren legt man beim "AltProvider" einfach weitere CNAMEs nach dem gleichen Schema mit Ziel _acme-challenge.beispiel.dedyn.io an. Da kann man beliebig viele drauf zeigen lassen. Oder man kann es auch für eine Wildcard Domain ausdehnen. Das funktioniert ja ausgezeichnet und ist so einfach danke @JeGr ! Übrigens Strato arbeitet auch mit einem CNAME für seine Zertifikatausstellung...

Hallo nochmal, ich habe das Problem selbst lösen können. Es ist sehr einfach, wenn man es gefunden hat. Die Lösung: pfSense -> VPN -> OpenVPN -> Client Export Dort bei "Host Name Resolution" die eigene DynDNS-Adresse eingeben Danach auf "Save as default" klicken. Fertig. Ich kann jetzt über meine DynDNS-Adresse von außen OpenVPN erreichen.

@slu said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?: Und gleich die nächste Frage (sorry), nimmst Du da immer je eine eigene CA? Natürlich, ansonsten wäre das leicht angreifbar, indem der Client es auf anderen Ports versucht und wenn die gleiche CA verwendet wird, kommt er - rein vom Zert - dann schonmal rein. Das will man nicht :)

@heiko3001 said in pfSense und NetCologne Glasfaser: Man nimmt es mit Kusshand, wenn keine Glasfaser verfügbar ist. Antworten Wenn das in der kleinen Region so ist, dann viel Glück dass es so bleibt. Ansonsten habe ich durch Kunden in der ganzen Republik inzwischen Horrorstories, mit denen ich ein Buch füllen könnte. Und es geht da nicht um "ein bisschen Downstream eingebrochen", sondern um UPstream, der von versprochenen 50 auf unter 2-5Mbps einbricht. Davon war/bin ich u.a. auch selbst betroffen weil Großräume wie Stuttgart und Co. einfach nicht ausgebaut werden, obwohl dir 2 Jahre lang Versprechungen gemacht werden dazu. Daher kann ich aber jeden Verstehen, der mit dem Laden und seiner Drückerkolonne, die einem mit Vorlieben Mist am Telefon verkaufen und dafür schon mehrfach abgestraft wurden, nichts zu tun haben möchte. :/