Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN zwischen FritzBox 7490 und pfSense 2.4.4-RELEASE-p3

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 461 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      marcfunk
      last edited by marcfunk

      Hallo Zusammen!

      Wie oben erwähnt, versuche ich gerade eine VPN Verbindung zwischen den beiden Geräten einzurichten.

      Technische Daten:
      Standort A FritzBox Netz: 192.168.2.0/24, DDNS Adresse nach Außen
      Standort B pfSense Netz: 10.110.0.0/17, feste IP nach Außen

      Die VPN-Verbindung wird aufgebaut und steht. Ich kann vom Netz der FritzBox auch die Netze der pfSense erreichen (Ping, Browseraufruf etc.).
      Aus den Netzen der pfSense erreiche ich das FritzNetz leider nicht.

      In Phase2 habe ich bei Local Subnet bereits LAN ausgewählt als auch speziell die 10.110.0.0 eingetragen:
      VPN_.png

      In der Firewall ist auch eine Regel eingetragen, dass er den Traffic durchlassen soll:
      VPN2.png

      Doch leider klappt es aus dem 10.110.0.0 Netz nicht.
      Meiner Meinung nach fehlt irgendwie das Routing?!

      Ich bin leider mit der pfSense gar nicht vertraut, so dass ich nun leider nicht weiter komme.
      Ich danke im Voraus für Eure Hilfe! :)

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by JeGr

        @marcfunk said in VPN zwischen FritzBox 7490 und pfSense 2.4.4-RELEASE-p3:

        In der Firewall ist auch eine Regel eingetragen, dass er den Traffic durchlassen soll:

        Warum ist das eine Floating Regel? Erlauben muss man das eigentlich nur auf dem LAN das man auch im IPsec in P2 definiert hat.

        Das VPN sollte auch bitte 2020 nicht mehr mit 3DES aufgebaut werden, die Fritte KANN (auch wenn es mies versteckt ist und scheiße zu konfigurieren) auch AES und Main Mode IPsec.

        Wie ist der IPsec Status? Hast du mal in P2 einen Ping zu einer IP auf der Gegenseite konfiguriert die verfügbar sein müsste?

        Ansonsten schau dir meinen Thread über FB VPN an, da hatte ich erfasst, welche Einstellungen wir an der Fritte rausgefunden haben die mit der pfSense funktionieren :)

        https://forum.netgate.com/topic/155136/avm-fritzbox-kopplung-neuere-fritzos

        Du solltest aber auch auf 2.4.5p1 updaten, da sich hier IPsec technisch noch ein wenig was getan hat!

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 1
        • M
          marcfunk
          last edited by marcfunk

          Hallo JeGr!

          Erst einmal vielen Dank für deine Antwort.

          Ich habe nun die VPN komplett aus beiden Geräten gelöscht und alles neu eingerichtet (nach deiner Anleitung). Auf Anhieb klappte die Verbindung auch sofort, dass der Tunnel steht.

          Pinge ich nun aus dem FB-Netz (192.168.2.0) das pfSense Netz (10.110.0.0) an, erhalte ich auch Antwort (z. B. von einem Drucker mit 10.110.13.101).

          Pinge ich aus dem pfSense Netz z. B. einen Drucker (192.168.2.31) hinter der FB an, erhalte ich nach wie vor ein Timeout.

          Diese Konfig habe ich in der Fritte eingespielt:

          vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "pfSense";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = FESTE_WAN_IP_PFSENSE;
                remote_virtualip = FESTE_WAN_IP_PFSENSE;
                localid {
                        fqdn = "DYN_DNS_HOST_FB";
                }
                remoteid {
                        ipaddr = FESTE_WAN_IP_PFSENSE;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "GELÖSCHT";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.110.0.0;
                                mask = 255.255.128.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 10.110.0.0 255.255.128.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

          Bei Phase 2 habe ich in der pfSense folgendes stehen:
          Mode: tunnel
          Local Subnet: 10.110.0.0 / 17
          Remote Subnet: 192.168.2.0 / 24

          Alle anderen Einstellungen sowie in deiner Anleitung.

          Die Firewallregeln habe ich alle entfernt und bei LAN, WAN und IPSec jeweils eine Regeln angelegt, dass aus dem 10.110.0.0 zur Destination 192.168.2.0 alles erlaubt ist.

          Doch wie erwähnt: Vom Fritte Netz zur pfSense läufts, vom pfSense Netz zur Fritte gehts leider nicht (und das ist eigentlich genau der Weg, den ich benötige).

          Hast du noch einen Rat für mich?

          Lg, Marc

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            @marcfunk said in VPN zwischen FritzBox 7490 und pfSense 2.4.4-RELEASE-p3:

            Doch wie erwähnt: Vom Fritte Netz zur pfSense läufts, vom pfSense Netz zur Fritte gehts leider nicht (und das ist eigentlich genau der Weg, den ich benötige).

            OK das ist merkwürdig, denn das würde heißen die FB filtert oder macht irgendwelchen Schmuh.
            Ist das Netz der FB dort direkt aufgelegt - also dieses 192.168.2.0/24?
            Und Clients aus dem Netz haben auch die FB als Gateway?

            Ansonsten bezüglich der FB Config: hattest du meinen letzten Post nicht gesehen zwecks main mode - weil du mode_aggressive gesetzt hast - was eigentlich nicht mehr "erlaubt" ist (zumindest bei größeren Installationen)? Auch das "editable = yes" und die keepalive_ip fehlen wobei man vielleicht keinen Host für das keepalive hat? Sonst dumm gefragt: hast du die Fritte mal neugestartet sicherheitshalber?

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.