AVM Fritzbox Kopplung (neuere FritzOS)
-
@orcape Oder Du nimmst einfach WireGuard?
-
@bob-dig said in AVM Fritzbox Kopplung (neuere FritzOS):
einfach WireGuard?
Nun ja, dann versuch das "Einfach" mal zwischen pfSense und AVM-Fritzbox7590 umzusetzen.
Auch hier hält sich AVM wohl nicht wirklich an die Vorgaben und macht sein "eigen Ding".
Trivial sieht anders aus.
Hatte ich versucht und verworfen, weil das auch wieder nur wirklich "einfach" mit Frittenkisten funktioniert.
Wenn das einmal aus dem Entwicklungsstadium heraus ist, werde ich darüber nachdenken.
Gruß orcape -
@orcape Als IP für WireGuard musst Du wohl die IP der Fritzbox nehmen, also z.B. 192.168.178.1, so zumindest mein rein theoretisches Wissen.
-
Habe hier zwei Tunnel, eine 7590 mit 7.5 und eine 7362SL mit 7.13 über IPsec stabil angebunden.
Wichtig ist in der pfSense Phase 1:
In Phase 2 dann:
Ja die 7.5er Konfiguration sieht ein wenig anders aus, aber ich habe die Verbindungen immer über die Fritz Oberlfäche selber eingerichtet und dann mit dem Editor 2-3 Zeilen überarbeitet um den Main Mode zu nutzen.
mode = phase1_mode_idp; phase1ss = "dh14/aes/sha"; phase2ss = "esp-all-all/ah-none/comp-all/pfs";
Schon liefen die Tunnel, das ist jetzt keine Raketentechnik.
-
@nocling
Hi,
und danke für 's Feedback.
ich werd 's übermorgen erst testen können.
Gruß orcape -
@nocling
Hi nocling,
bitte noch einmal gaanz langsam, für mich zum "mitmeißeln". ;-)
""" Schon liefen die Tunnel, das ist jetzt keine Raketentechnik. """
Ich habe heute morgen einen weiteren Versuch gemacht, die 7590 zur "Mitarbeit" zu bewegen. 2 Stunden für 'n "Alten Fritz, sozusagen, wenn Du weist was ich meine. ;-)
Wie hast Du die vpn.cfg eingegeben?
Der Fritz-Editor unter Win10 tut es bei mir definitiv nicht mit der 7590 v 7.50.
Da spielt wohl die Sicherheit bei der neuen AVM nicht mit
Wie oben beschrieben, erst den Aggressive-Modus und dann ändern geht bei mir nicht.
Der Aggressiv Modus, AES256-SHA1-DH2, funktioniert nicht, wenn ich die .cfg über den GUI einspiele.
Ein 2. LAN an der pfSense lässt der GUI auch nicht zu. Eine solche Konfig lässt sich erst gar nicht einspielen.
Gruß orcape -
Du musst da schon diesen AVM 2 Faktor Quatsch für ausschalten, das sollte ja möglich sein wenn jemand vor Ort ist und eine Taste auf der Kiste drücken kann.
Wie das geht wird dir ja auf dem Bild angezeigt.Dann kannst du mit dem Programm die Konfiguration auslesen.
Also noch mal zum mitschreiben.
Ich habe mich auf der FritzBox angemeldet, habe einen VPN Tunnel erstellt.
Internet -> Freigaben -> VPN (IPsec)
Lan - Lan - Kopplung wählen.PSK aus P1 der pfSense eintragen
Name eintragen
Dyndns der pfSense eintragen
Die hier angezeigte myfritz Adresse in die P1 der pfSense übernehmenIP und Maske des entfernten Netzes eintragen, das kommt umgekehrt in die P2 der pfSense.
Beide Checkboxen aktivieren:
VPN-Verbindung dauerhaft halten
NetBIOS über diese Verbindung zulassenÜbernehmen.
Dann nach dem neustart mit dem Tool die Konfiguration der FritzBox einladen und die besagten 2 Zeilen ändern.
Dann funktioniert der Tunnel stabil im Main Mode.
-
@orcape said in AVM Fritzbox Kopplung (neuere FritzOS):
Ein 2. LAN an der pfSense lässt der GUI auch nicht zu. Eine solche Konfig lässt sich erst gar nicht einspielen.
Ich vermute du meinst damit 2 Phasen 2 (also multiple lokale Netze) - das geht bei AVM tatsächlich nicht. Wenn die Netze die du über VPN routen willst aber sinnvoll beieinander liegen, kannst du einfach nen größeren IP Range nutzen und kommst dann mit einer Phase2 aus und es wird trotzdem alles übers VPN gewuppt.
Bspw.
LAN an pfSense: 192.168.128.0/24
WLAN an pfS: 192.168.129.0/24
NochnNetz: 192.168.130.0/24Dann wären das theoretisch 3x Phase 2 Einträge - oder du packst statt dessen 192.168.128.0/22 rein und hast den Bereich von 192.168.128-131.x mit drin.
Klappt natürlich nur wenn die halbwegs sinnvoll zusammen liegen und wenn nicht eines davon mit der FritzBox Seite kollidiert oder überschneidet.
Cheers
-
@nocling said in AVM Fritzbox Kopplung (neuere FritzOS):
Du musst da schon diesen AVM 2 Faktor Quatsch für ausschalten, das sollte ja möglich sein wenn jemand vor Ort ist und eine Taste auf der Kiste drücken kann.
Wie das geht wird dir ja auf dem Bild angezeigt.Genau das ( AVM 2 Faktor Quatsch ), geht bei der 7590 v7.50 nicht mehr. Ich kann die Bestätigung nur noch per App von remote aus abschalten, wenn denn die App eingerichtet wurde.
Der Fritzbox-Editor verlangt aber die Abschaltung von 2FA und das geht so nicht mehr.
Ich kann die Config in den Editor einlesen, aber von da aus nicht mehr zurück auf die Box spielen. Es sei denn, ich speichere die Config aus dem Editor ab und spiele sie über den GUI wieder ein. Ob das funktioniert, werde ich sehen. Alle anderen Schritte sind schon klar.
Gruß orcape -
@orcape Darüber hatten wir letzten Freitag in der Usergroup gesprochen. Anscheinend ist es so, dass - wenn man die FB updated auf die aktuelle Firmware - der Schalter nach wie vor respektiert wird. Man also den 2 Faktor Brei abschalten kann wie vorher und er auch abgeschaltet bleibt nach dem Update.
Das würde zur Schlußfolgerung führen, dass AVM den Schalter nach wie vor in der Konfig respektiert aber die UI abgeändert hat, dass er nicht mehr gesetzt werden kann (ohne min. TOTP zu aktivieren). Das hieße im Umkehrschluß aber, dass man eine Konfig um den entsprechenden Parameter ergänzt nehmen und einspielen können müsste. Allerdings kommt da nervig dazu, dass man inzwischen ja kaum mehr die Konfig im Klartext rausspeichern kann sondern diese immer mit PW verknusen muss. Da weiß ich jetzt auswendig nicht, wie man das ggf. umgehen kann oder die Konfig dekodieren und reenkodieren könnte.
Aber vllt. kann man auch ganz böse einfach hergehen, die Box wenns eine eigene ist, mit alter Firmware recovern, konfigurieren ohne 2FA und updaten auf 7.5 und hat den Kram dann los und kann weitermachen? Nur ein Gedanke.
-
@jegr
Hi jegr,
seit letzten Donnerstag sitze ich nun an dem Problem, ohne eine Lösung zu finden.
Das einzige was ich derzeit, aber auch nur bei einer Einstellung geschafft habe, das mir die pfSense beim versuchten Tunnelstart die eingestellten Proposals zeigte, die ich eingestellt hatte.
Ansonsten sieht das so aus...
Ich hatte den Tunnel nur ein einziges mal stehen, mit aggressive-AES256-SHA1-DH1 und da war in der Übersicht die Remote-SPI nicht mit "SPI: 000000000000" zu sehen, sondern so wie das sein muss.
Was ich noch feststellen konnte, bei der heruntergeladenen Sicherungskopie, ist nirgends die mit der VPN-Datei eingespielte Firewall-Einstellung zu finden.ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
Nicht unter der "vpn.cfg"...
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 10.100.10.0 255.255.255.0"; app_id = 0; wg_persistent_keepalive = 0; wg_slave_network = 0.0.0.0;
...noch in anderen, ersichtlichen Firewall-Einstellungen der heruntergeladenen Sicherungskopie.
Das würde zumindest die Tatsache erklären, das der Tunnel ins leere läuft und was mir die pfSense in den Logs bestätigt.
Gruß orcape -
Hier ist die Checkbox bei einer 7590 und einer 6490 noch vorhanden, erste mit 7.5 und zweite mit 7.39-101859 BETA.
Das kannst du bei dir nicht mehr deaktivieren?
-
@nocling
Genau da liegt das Problem. Die Einstellungen bleiben wohl erhalten, wenn Du das Update auf 7.50. erst danach gemacht hast. Bei mir sieht das so aus....Ich müsste wohl erst die alte Firmware wieder einspielen, die entsprechenden Einstellung nicht setzen und dann das Update auf 7.50 machen.
Das kann ich meinem "Gegenüber" nicht mehr antun, ich traue mir schon gar nicht mehr anzurufen, bei den wunden Fingern, die die da drüben vom vielen Tasten drücken haben. ;-) Wie das mit der App funktioniert, muss ich erst noch probieren, wenn sich das einmal ergibt.
Gruß orcape -
Mal AVM angeschrieben, ich meine so kann man die Kisten ja langsam gar nicht mehr einsetzen, wenn einem hier jede Möglichkeit genommen wird.
Kann ja per Default aktiv sein, aber ich muss das abschalten können!
-
@nocling
mit AVM bin ich im Kontakt, mal schauen was da raus kommt.
Ich habe nun erst einmal ein Downgrade durchgeführt und werde, sollte der Tunnel nach den entsprechenden Änderungen laufen, ein Upgrade auf 7.50 durchführen.
Wenn @JeGr recht hat, fehlt die Einstellungsvariante wirklich nur im GUI und die eigentliche Einstellung bleibt erhalten.
Schau mer mal.
Gruß orcape -
Anderswo wurde kritisiert, dass die Boxen bei einem WG-Tunnel wohl auch immer NAT machen... Gleich darüber mitbeschweren?
-
@bob-dig said in AVM Fritzbox Kopplung (neuere FritzOS):
Anderswo wurde kritisiert, dass die Boxen bei solch einem Tunnel wohl auch immer NAT machen... Gleich darüber mitbeschweren?
Erst einmal muss sich ein Tunnel überhaupt aufbauen, bevor man da agieren kann.
Ich glaube aber kaum, das sich AVM bei den vielen "internen Baustellen" VPN betreffend, da derzeit Gedanken drum macht.
Ich habe nun erst einmal den Weg eingeschlagen, mit der v.7.29 die Config zu schreiben und diese dann mit dem Editor zu korrigieren.
Funktioniert bestens, nachdem man den "AVM 2 Faktor Quatsch" abgeschaltet hat, bleibt diese Einstellung nach einem Upgrade auf 7.50 auch erhalten.
Im GUI kommt dafür ein Warnhinweis, das dies eine nicht empfohlene Einstellung ist.
Nun ja, man sollte seitens AVM, dem mündigen Bürger schon zutrauen, auch im GUI der v. 7.50 die entsprechenden Einstellungen zu setzen, sonst braucht man letztlich auch keine riesen Reklame für Proposals zu machen, die dann letztlich doch nicht funktionieren.
Ich melde mich wieder mit den Ergebnissen, in der Hoffnung, das ich morgen beim Einbau nicht enttäuscht werde und es doch ein Problem mit dem Anschluß ist, auch wenn ich das nicht glaube, bei einem Dual-Stack mit öffentlicher IPv4.
Gruß orcape -
@orcape Sry, meinte auch WG.
-
@jegr said in AVM Fritzbox Kopplung (neuere FritzOS):
Aber vllt. kann man auch ganz böse einfach hergehen, die Box wenns eine eigene ist, mit alter Firmware recovern, konfigurieren ohne 2FA und updaten auf 7.5 und hat den Kram dann los und kann weitermachen? Nur ein Gedanke.
Ja und genau das war die Lösung und nur auf diese Weise funktioniert es.
Schon hatte ich einen Tunnel stehen.Problem, Stabilität sieht anders aus und so richtig finde ich die exakten Einstellungen nicht heraus. Ich habe nun erst einmal in der Fritzbox die Option Verbindung dauerhaft halten deaktiviert, da mehrere Phase 2 Einträge in der Übersicht erscheinen, als Initiator und Responder.
Am Anfang lief alles stabil mit...
Phase 1
AES256-SHA512-DH14
Phase 2
ESP-AES256-SHA512-DH14Dann musste ich die Fritte noch mal neu starten und nun hakt es gewaltig.
Morgen mal schauen und beide Seiten neu starten.
Aber zumindest sieht es schon einmal recht positiv aus.
Gruß orcape -
Die laufen hier total stabil.
Aber es gab mit der 21.x pfSense Probleme mit dem IPsec.
Mit der 22.x läuft das vollkommen zuverlässig, wenn die WAN Strecke dazwischen mitspielt.Welche Version mit welchen Patchen setzt du ein?