AVM Fritzbox Kopplung (neuere FritzOS)

orcape

@nocling said in AVM Fritzbox Kopplung (neuere FritzOS):

Du musst da schon diesen AVM 2 Faktor Quatsch für ausschalten, das sollte ja möglich sein wenn jemand vor Ort ist und eine Taste auf der Kiste drücken kann.
Wie das geht wird dir ja auf dem Bild angezeigt.

Genau das ( AVM 2 Faktor Quatsch ), geht bei der 7590 v7.50 nicht mehr. Ich kann die Bestätigung nur noch per App von remote aus abschalten, wenn denn die App eingerichtet wurde.
Der Fritzbox-Editor verlangt aber die Abschaltung von 2FA und das geht so nicht mehr.
Ich kann die Config in den Editor einlesen, aber von da aus nicht mehr zurück auf die Box spielen. Es sei denn, ich speichere die Config aus dem Editor ab und spiele sie über den GUI wieder ein. Ob das funktioniert, werde ich sehen. Alle anderen Schritte sind schon klar.
Gruß orcape

JeGr

@orcape Darüber hatten wir letzten Freitag in der Usergroup gesprochen. Anscheinend ist es so, dass - wenn man die FB updated auf die aktuelle Firmware - der Schalter nach wie vor respektiert wird. Man also den 2 Faktor Brei abschalten kann wie vorher und er auch abgeschaltet bleibt nach dem Update.

Das würde zur Schlußfolgerung führen, dass AVM den Schalter nach wie vor in der Konfig respektiert aber die UI abgeändert hat, dass er nicht mehr gesetzt werden kann (ohne min. TOTP zu aktivieren). Das hieße im Umkehrschluß aber, dass man eine Konfig um den entsprechenden Parameter ergänzt nehmen und einspielen können müsste. Allerdings kommt da nervig dazu, dass man inzwischen ja kaum mehr die Konfig im Klartext rausspeichern kann sondern diese immer mit PW verknusen muss. Da weiß ich jetzt auswendig nicht, wie man das ggf. umgehen kann oder die Konfig dekodieren und reenkodieren könnte.

Aber vllt. kann man auch ganz böse einfach hergehen, die Box wenns eine eigene ist, mit alter Firmware recovern, konfigurieren ohne 2FA und updaten auf 7.5 und hat den Kram dann los und kann weitermachen? Nur ein Gedanke.

orcape

@jegr
Hi jegr,
seit letzten Donnerstag sitze ich nun an dem Problem, ohne eine Lösung zu finden.
Das einzige was ich derzeit, aber auch nur bei einer Einstellung geschafft habe, das mir die pfSense beim versuchten Tunnelstart die eingestellten Proposals zeigte, die ich eingestellt hatte.
Ansonsten sieht das so aus...

Ich hatte den Tunnel nur ein einziges mal stehen, mit aggressive-AES256-SHA1-DH1 und da war in der Übersicht die Remote-SPI nicht mit "SPI: 000000000000" zu sehen, sondern so wie das sein muss.
Was ich noch feststellen konnte, bei der heruntergeladenen Sicherungskopie, ist nirgends die mit der VPN-Datei eingespielte Firewall-Einstellung zu finden.

ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";

Nicht unter der "vpn.cfg"...

    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 10.100.10.0 255.255.255.0";
                app_id = 0;
                wg_persistent_keepalive = 0;
                wg_slave_network = 0.0.0.0;

...noch in anderen, ersichtlichen Firewall-Einstellungen der heruntergeladenen Sicherungskopie.
Das würde zumindest die Tatsache erklären, das der Tunnel ins leere läuft und was mir die pfSense in den Logs bestätigt.
Gruß orcape

NOCling

Hier ist die Checkbox bei einer 7590 und einer 6490 noch vorhanden, erste mit 7.5 und zweite mit 7.39-101859 BETA.

Das kannst du bei dir nicht mehr deaktivieren?

orcape

@nocling
Genau da liegt das Problem. Die Einstellungen bleiben wohl erhalten, wenn Du das Update auf 7.50. erst danach gemacht hast. Bei mir sieht das so aus....

Ich müsste wohl erst die alte Firmware wieder einspielen, die entsprechenden Einstellung nicht setzen und dann das Update auf 7.50 machen.
Das kann ich meinem "Gegenüber" nicht mehr antun, ich traue mir schon gar nicht mehr anzurufen, bei den wunden Fingern, die die da drüben vom vielen Tasten drücken haben. ;-) Wie das mit der App funktioniert, muss ich erst noch probieren, wenn sich das einmal ergibt.
Gruß orcape

NOCling

Mal AVM angeschrieben, ich meine so kann man die Kisten ja langsam gar nicht mehr einsetzen, wenn einem hier jede Möglichkeit genommen wird.

Kann ja per Default aktiv sein, aber ich muss das abschalten können!

orcape

@nocling
mit AVM bin ich im Kontakt, mal schauen was da raus kommt.
Ich habe nun erst einmal ein Downgrade durchgeführt und werde, sollte der Tunnel nach den entsprechenden Änderungen laufen, ein Upgrade auf 7.50 durchführen.
Wenn @JeGr recht hat, fehlt die Einstellungsvariante wirklich nur im GUI und die eigentliche Einstellung bleibt erhalten.
Schau mer mal.
Gruß orcape

Bob.Dig

Anderswo wurde kritisiert, dass die Boxen bei einem WG-Tunnel wohl auch immer NAT machen... Gleich darüber mitbeschweren?

orcape

@bob-dig said in AVM Fritzbox Kopplung (neuere FritzOS):

Anderswo wurde kritisiert, dass die Boxen bei solch einem Tunnel wohl auch immer NAT machen... Gleich darüber mitbeschweren?

Erst einmal muss sich ein Tunnel überhaupt aufbauen, bevor man da agieren kann.
Ich glaube aber kaum, das sich AVM bei den vielen "internen Baustellen" VPN betreffend, da derzeit Gedanken drum macht.
Ich habe nun erst einmal den Weg eingeschlagen, mit der v.7.29 die Config zu schreiben und diese dann mit dem Editor zu korrigieren.
Funktioniert bestens, nachdem man den "AVM 2 Faktor Quatsch" abgeschaltet hat, bleibt diese Einstellung nach einem Upgrade auf 7.50 auch erhalten.
Im GUI kommt dafür ein Warnhinweis, das dies eine nicht empfohlene Einstellung ist.
Nun ja, man sollte seitens AVM, dem mündigen Bürger schon zutrauen, auch im GUI der v. 7.50 die entsprechenden Einstellungen zu setzen, sonst braucht man letztlich auch keine riesen Reklame für Proposals zu machen, die dann letztlich doch nicht funktionieren.
Ich melde mich wieder mit den Ergebnissen, in der Hoffnung, das ich morgen beim Einbau nicht enttäuscht werde und es doch ein Problem mit dem Anschluß ist, auch wenn ich das nicht glaube, bei einem Dual-Stack mit öffentlicher IPv4.
Gruß orcape

Bob.Dig

@orcape Sry, meinte auch WG.

orcape

@jegr said in AVM Fritzbox Kopplung (neuere FritzOS):

Aber vllt. kann man auch ganz böse einfach hergehen, die Box wenns eine eigene ist, mit alter Firmware recovern, konfigurieren ohne 2FA und updaten auf 7.5 und hat den Kram dann los und kann weitermachen? Nur ein Gedanke.

Ja und genau das war die Lösung und nur auf diese Weise funktioniert es.
Schon hatte ich einen Tunnel stehen.

Problem, Stabilität sieht anders aus und so richtig finde ich die exakten Einstellungen nicht heraus. Ich habe nun erst einmal in der Fritzbox die Option Verbindung dauerhaft halten deaktiviert, da mehrere Phase 2 Einträge in der Übersicht erscheinen, als Initiator und Responder.
Am Anfang lief alles stabil mit...
Phase 1
AES256-SHA512-DH14
Phase 2
ESP-AES256-SHA512-DH14

Dann musste ich die Fritte noch mal neu starten und nun hakt es gewaltig.
Morgen mal schauen und beide Seiten neu starten.
Aber zumindest sieht es schon einmal recht positiv aus.
Gruß orcape

NOCling

Die laufen hier total stabil.

Aber es gab mit der 21.x pfSense Probleme mit dem IPsec.
Mit der 22.x läuft das vollkommen zuverlässig, wenn die WAN Strecke dazwischen mitspielt.

Welche Version mit welchen Patchen setzt du ein?

orcape

@nocling
Das ist die 2.6.0, CE, sollte die 22.2 sein.

orcape

This post is deleted!

JeGr

@orcape said in AVM Fritzbox Kopplung (neuere FritzOS):

mit AVM bin ich im Kontakt, mal schauen was da raus kommt.

Bitte sag Bescheid, das ist wirklich relevant. Vor allem da ihr eigenes Tool! es voraussetzt, dass mans abschalten kann!? Wie behämmert ist das denn nu wieder...

orcape

@jegr said in AVM Fritzbox Kopplung (neuere FritzOS):

Bitte sag Bescheid, das ist wirklich relevant. Vor allem da ihr eigenes Tool! es voraussetzt, dass mans abschalten kann!?

Ist in Arbeit....

orcape

@jegr said in AVM Fritzbox Kopplung (neuere FritzOS):

Bitte sag Bescheid, das ist wirklich relevant. Vor allem da ihr eigenes Tool! es voraussetzt, dass mans abschalten kann!? Wie behämmert ist das denn nu wieder...

Ich hatte wieder Nachricht, aber ich glaube, man sieht das bei AVM nicht so eng, weil die wohl nach wie vor der Meinung sind, das das alles problemlos über den GUI machbar ist und Ihr Tool nicht mehr gebraucht wird, sonst kämen nicht solche Fragen.

Daher diese nochmal Frage zusammengefasst: Hatten Sie die FRITZ!Box - vorausgesetzt die VPN.cfg ließ sich fehlerfrei unter der 7.50er importieren, der Umweg über die 7.29er ist hier nicht relevant - nach dem Import der CFG kontrolliert und wissentlich neu gestartet?
 

Es mag ja sein, das es bei denen im Labor alles funktioniert, die .cfg über den GUI einzuspielen, aber die Praxis sieht nun einmal anders aus, sonst wäre ich wohl der Einzige, der das Problem hätte.
Ich würde Ihnen ja ein wenig "Zuarbeit" liefern, weil Sie mich nach den Supportdaten fragen, dazu müsste ich aber noch einmal von Null anfangen und das kann und will ich meinen "Gegenüber" nicht mehr antun.
Wir wissen das es machbar ist, und wie es machbar ist und vielleicht schließen Sie ja Ihre Baustelle auch irgendwann einmal ab. Allein mir fehlt der Glaube, Fachkräfte sind rar.
Gruß orcape

kfoerster

"...das ist echt cool wenn man den sauber mit Main Mode zum laufen bringen könnte...."
Das ist doch mit Strongswan problemlos und ohne großen Aufwand möglich:
FritzBox-Strongswan mit IPsec Main Mode

Was die Kopplung zur pfSense/OPNsense anbetrifft muss man die Schlüsselalgorithmen von AVM beachten
AVM Schlüsselalgorithmen

JeGr

Bitte beachten: Das ist hier kein pfSense->AVM Problem Supporthread :)
Daher ist das auch nicht im DE-Support Teil, sondern im Allgemeinen "Netzwerklaberteil" gepostet.

Wenn ihr Probleme mit Fritte-zu-Sense Verbindungen habt -> einfach im normalen Forum posten, nicht hier im allgemeinen Netzwerkthema.

-> https://forum.netgate.com/category/7/deutsch

Cheers :)