VPN pfSense FritzBox

EuroPC

Hallo @NOCling
danke für Deine schnelle Antwort.

Eine kleine Zeichnung:

pc1 -------------|pfsense | -------Vigor ---- Internet ----------------| Fritte bzw. Digibox --- Raspi usw
DS218+-----------|192.168.10.0/24 | |
----- Internet ---------------

IP: FB1 192.168.188.0/24
FB2 192.168.198.0/24
Digibox 192.168.2.0/24

alle VPS sind IKE1, aggro, AES256 SHA512 DH14
Sollte eigentlich alles unterstützt werden, so https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3331_FRITZ-Box-mit-einem-Firmen-VPN-verbinden/.

pfs ist auf 14 und ESP ist aktiv.
Als My identifier und peer id habe ich jeweils ASN 1 dist. name

Gruß,
EuroPC

@nocling said in VPN pfSense FritzBox:

P2 a

NOCling

DH14 ist das Problem, die Boxen können nur DH2 sauber.

AVM Fritz IPsec

Ich kenne jetzt jedenfalls keinen Weg der pfSsense zu sagen für den IKE DH2 dann bitte DH14 zu verwenden.

EuroPC

@nocling
in der pfSense hatte ich bisher eingetragen:

Encryption Algorithm
AES Algorithm 256 bits Key length SHA512 Hash 14 (2048 bit) DH Group

Ok, dann probiere ich das einfach mal aus und ändere DH auf 2

Zu den übrigen Modifikationen der Datei für die Fritte:

Was hältst Du von " phase1ss = "all/all/all"; "? läuft das so bei Dir? Bei mir findet sich dort jetzt: phase1ss = "dh2/aes/sha"

Ebenfalls die Punkte
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
vorher dh14/aes/sha
einzig für mich noch offen.
Folglich werde ich bei einem VPN zur die DH Gruppe ändern. In der Zeiten mal alles unmd dann vergleichen und bereichten.

Was die Digibox angeht, sehen wir spoäter.

NOCling

Sieht doch gut aus, und ja du braucht auf dem IPsec Int Regelwerk für den dort eingehenden traffic, sonst ist nix mit Funktion.
Denn die Firewall hat eine any any deny Regel in jedem Interface ganz unten drin, erlaubt es also keine Regel davor, ist einfach alles weg.

Und du hast in einem Bild in P1 deinen DynDNS Namen nicht unkenntlich gemacht. das kannst ggf. ja noch mal nachhohlen.

EuroPC

@nocling Du hast Recht. Das werde ich dann sofort nachholen.
Erstellen ist zu lange her. Und ob es gelöscht werden kann, weiss ich gerade auch nicht.

Dann Müsste wohl ein Admin ran. Mist

EuroPC

@nocling Fragt sich nur, wie die Moderatoren zu kontaktieren sind. Jeder einzeln?

NOCling

Habe gerade noch mal mit einer 7590 getestet, Langzweitbewertung steht aber noch aus.

Mit den Einstellungen in P1 dh14/aes/sha der Fritz, bekommt man das scheinbar wirklich mit DH14 zum laufen.

Da die Fritz aber für den Key Austausch nur DH2 kann, habe ich die P1 auf der Sense so eingerichtet:

Tunnel läuft jetzt mit DH14, leider weiter Aggro Mode aber was willst machen.

EuroPC

Hi @nocling,

Danke. Ich habe gerade die Verbindung zur FB1 so wie Du es beschrieben hast aktualisiert. Also in P1 sowohl aes 256, sha512 und DH2, sowie das gleiche noch mal mit DH14 versehen.

Für FB2 alles so gelassen und nur DH14 eingestellt.

Beides funktioniert soweit. Bei FB1 allerdings mid Modp_1024, bei FB2 mit Modp_2048.

Auf Seiten der Fritten hast Du nichts angepasst?

Gruß,
EUROPC

NOCling

Doch mit dem FBeditor direkt in der Config der Fritz:

phase1ss = "dh14/aes/sha";

EuroPC

@nocling ok, habe ich ebenfalls. Läuft bei mir stabil. Ein Speedtest steht noch aus.

NOCling

Ok da ich gefragt wurde wie ich mit einer FritzBox einen stabilen IKEv1 Main Mode zum laufen bringen konnte, hier die entsprechenden Schritte.

Zuerst wurde der Tunnel auf der pfSense wie folgt angelegt.
P1: IKEv1 IPv4 Mutual PSK Aggressiv FQDN AES256 SHA512 DH2 Lifetime 28800 DPD deaktiviert
P2: Tunnel IPv4 ESP AES256 SHA512 DH2 Life Time 3960 Auto Ping Host (Fritz LAN IP) Keep Alive aktiviert

Dann auf der Fritzbox GUI einen neuen S2S Tunnel erstellt:
PSK wurde aus der pfSense generiert übernommen, VPN-Verbindung dauerhaft halten aktiviert.

Dann sollte der Tunnel erstmal so laufen.
So habe ich diese auch lange betrieben, bis ich dann auf die Idee gekommen bin, denn in der Anleitung von AVM steht nix von der Einschränkung auf Aggressive Mode.
Nur das für die erste Aushandlung DH2 verwendet wird, dann kann auch DH14/DH15 verwendet werden.

Also gut, versuchen wir es mal.

Also mit dem "FBEditor-0.6.9.7k" die Konfig eingelesen, die folgenden 2 Zeilen geändert.
ALT:

mode = phase1_mode_aggressive;
phase1ss = "all/all/all";

Neu:

mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";

Konfig in die Box zurück gespielt, das es funktioniert hat merkt man da der Tunnel weg ist und sich die App aufhängt.

Also dann in der pfSense wie folgt anpassen.
P1: umstellen auf Main Mode und eine zweites P1 Proposal Set dazu erstellen so dass dann
AES256 SHA512 DH2
AES256 SHA512 DH14/DH15
vorhanden sind.

P2: P2 Proposal Set von DH" auf DH14/DH15 umstellen.

Noch mal alles kontrollieren und Applay Changes

Dann erstmal warten, denn die Fritz legt bei der Übernahme der Einstellung einen Neustart hin.
Bisher laufen die Tunnel seit dem mit Main Mode sauber, nach einem Neustart der pfSense kommen die wieder hoch und auch nach einem Neustart vom Cabel Modem.

Es geht also doch, ich hoffe ich sehe diese böse Variable im Log nie wieder...