(Gelöst) VPN Fritzbox –> pfsense / Android Phone -> PFsense

Eike

@m0nji:

Was willst du denn nun jetzt machen?

Du schreibst erst, dass die Firtzboxen und IPSEC bleiben und dann fragst du nach einer Anleitung für OpenVPN.

Moin,
genau das hatte ich ja auch gebaut….dann aber wurde mir schmerzlich gewusst, dass es eben so nicht geht. Ich habe nun die Handys (VPN Mobile) gelöscht und wollte nun erstmal die Fritzboxen per ipsec anbinden und dann später die handys per openvpn....soweit nun der plan....sorry wenn ich mich nicht klar ausgedrückt hatte.

magicteddy

Moin,

wenn Du viel mit der Konfiguration gespielt hast, dann spiele bitte noch einmal: Setz den verbosity Level von OpenVPN mal ein wenig höher, abspeichern und Kiste rebooten. Daten auf Handy exportieren und dann versuchst Du einen Verbindungsaufbau und schaust anschließend unter Status / System Logs / OpenVPN nach was passiert. Kommt da überhaupt was an? Hast Du auf dem Wan-Interface Regeln definiert damit die OpenVPN Pakete rein kommen? Hast Du auf der primären Fritte passende Port Weiterleitungen auf pfSense definiert bzw. pfSense als exposed Host definiert? Auch der OpenVPN Client auf dem Handy bietet einiges an Status Infos beim Verbindungsaufbau.

Poste doch einfach mal Logs vom Verbindungsaufbau in Code Tags und ggf. anonymisiert hier rein. Geht nicht lässt nur stochern im Nebel zu.

m0nji

Guter Tipp @magicteddy aber vielleicht erstmal die IPSEC Konfiguration sauber aufbauen und anschließend sich um die Client VPNs kümmern. Diese Konfigs hat er ja bereits gelöscht.

Hier als Beispiel eine meiner VPN Konfigs für einen IPSEC Site2Site Tunnel zwischen pfSense und Fritzbox.
Fritzbox:

vpncfg {
connections {
  enabled = yes;
  conn_type = conntype_lan;
  name = "THOMAS PFSENSE VPN_MWAN"; 
  always_renew = yes; 
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remoteip = 0.0.0.0; 
  remote_virtualip = 0.0.0.0;
  remotehostname = "pfsense-xxx.dyndns.org";
  localid {
    fqdn = "fritzbox-xxx.dyndns.org"; 
    }
  remoteid {
    fqdn = "pfsense-xxx.dyndns.org"; 
    }
  mode = phase1_mode_aggressive;
  phase1ss = "LT8h/all/all/all";
  keytype = connkeytype_pre_shared;
  key = "ein_ziemlich_langer_key11!11!";
  cert_do_server_auth = no;
  use_nat_t = yes;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = 192.168.224.0;
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = 172.17.21.0; 
      mask = 255.255.255.0; 
      }
    }
  phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; 
  accesslist = "permit ip any 172.17.21.0 255.255.255.0"; 
  }

  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
  }

pfSense:
siehe attachments
Bild 1 = Phase 1
Bild 2 = Phase 2

Wichtig ist aber, dass du den Mobile Client Support deaktivierst in den IPSEC Einstellungen der pfSense.

Eike

Danke, teste ich heute Abend gleich aus.

magicteddy

@m0nji:

Guter Tipp @magicteddy aber vielleicht erstmal die IPSEC Konfiguration sauber aufbauen und anschließend sich um die Client VPNs kümmern…

Klar, gerne doch, nur aus dem Thema IPsec halt ich mich raus, da von keinerlei Sachkenntniss belastet  :P

-teddy

Eike

m0nji ey du bist soooooooo der hammer hat auf anhieb geklappt :) endlich mal eine beschreibung die klappt :)  1000 dank.

jetzt muss ich nur noch open vpn bauen zu den handys ;)

Eike

Moin Männer ein kleines habe ich noch :)
Jetzt habe ich zwei vpns in meinem DMZ Netzwerk. Wie komme ich jetzt von meinem LAN auf Webseiten von Servern die in der DMZ stehen ?
Also der Kollege mit der Fritzbox ist ja nun per VPN Verbunden aber mit welcher Rule komme ich nun um Himmels willen da rüber…...
bin ich einfach zu blöd zu.
Aufgabe ich bin 192.168.1.x und will zu 192.168.2.x als Beispiel diese ist im VPN

.-----+-----.
                                |  Fritzbox  |  (VPN Endpoint 192.168.0.0/24)
                                '-----+-----'             
                                        :
                                        : PPPoE-Provider
                                        :
                              WAN / Internet
                                        :
                                        : PPPoE-Provider
                                        :

|
                                      | 
                                      |
                              .-----+-----.  (PPPOE/ VPN Endpoint)
          +-------------+  pfSense  +-------------+
          |                    '-----+-----'                  |
          |                                                      |
  LAN | 192.168.1.0/24            VPN / DMZ  | 192.168.10.0/24
          |                                                      |
  .-----+------.                                      .-----+------.
| LAN-Switch |                                  | LAN-Switch |
  '-----+------'                                      '-----+------'
          |                                                      |
...-----+------...                                  ...-----+------...

m0nji

du hast jetzt quasi eine ipsec verbindung zwischen den netzen 192.168.10.0/24 (deine pfsense) und 192.168.2.0/24 (dein kumpel seine fritzbox)?
ausgehend von diesem szenario erstmal die frage: kannst du aus dem 192.168.10.0/24 eine IP im 192.168.2.0/24 anpingen?

des weiteren wirst du eine zusätzliche phase2 im ipsec tunnel benötigen. die fritzbox kennt dein 192.168.1.0/24 ja gar nicht und wird daher anfragen nicht erlauben.
damit du nicht auf beiden seiten(pfsense und fritzbox) anpassungen machen musst, löst man so ein problem z.b. über die zusätzliche phase2 über NAT/BINAT (siehe Screenshot)

du NATest damit alle anfragen aus dem 192.168.1.0/24 netz und kommst dann im vpn tunnel mit der 192.168.10.253 an, wofür die regeln auf der frtizbox ja greifen. die 192.168.10.253 ist eine fiktive IP. du kannst jegliche IP nehmen welche nicht genutzt wird in deinem netz.

Eike

Moin,
ja pingen geht aus dem 10er netz heraus ohne Probleme auf die 192.168.1.1 (Fritzbox vom Kumpel).

Ach das verstehe ich…aber ist alles schon ganz anderes Niveau als von der Fritzbox das muss ich schon sagen .......da muss man echt 24 mal nachdenken "before click" zum Glück hat die Firewall eine restore Funktion 30 safes zurück....hatte ich gestern nämlich schlauerweise selber ausgesperrt und ohne diese wäre ich aufgeschmissen.

die 192.168.1.253 ist bei mir aktuell belegt im 1er Netz ...aber ich weiß ja worauf du hinaus willst.

Können die Tunnel jetzt auch untereinander sprechen ?
Sorry das ich mich so blöde anstelle, aber für mich (Achtung geklaut) ist das "Neuland" :)

Danke das du so toll hilfst.

Eike

m0nji

ja pingen geht aus dem 10er netz heraus ohne Probleme auf die 192.168.1.1 (Fritzbox vom Kumpel).

ähm hast du dich verschrieben? das netz deines kumpels sollte doch die 192.168.2.1 haben?! wenn es wirklich die 192.168.1.1 hat, dann hast du ein problem, da du ja selber das netz 192.168.1.0/24 hast.
klar können die netze untereinander reden. bei der fritzbox ist die zeile

accesslist = "permit ip any 172.17.21.0 255.255.255.0";

verantwortlich. (achtung: ich habe meine beispielconfig angeführt)

bei der pfsense gehst du auf firewall -> rules -> ipsec interface und erstellst dort die rule
protocoll: ipv4*, source: 192.168.2.0/24, port: *, destination: 192.168.10.0/24, port: *

und ja, die pfsense mag auf den ersten blick etwas schwierig zu managen sein aber dafür hast du auch deutlich mehr möglichkeiten als mit einer fritzbox. für die möglichkeiten, die die pfsense bietet, ist sie noch sehr newbie freundlich ;)

Eike

Moin,
ja sorry verschrieben ich meine natürlich 192.168.2.1. Klappt alles wie gewünscht nun auch die oberfläche der fritzbox auf zu rufen :)

danke danke danke.

morgen mache ich openvpn

m0nji

Alles klar, na dann viel Erfolg!

Eike

hmmmm habs mit der Seite gemacht für die Handys:
https://www.ceos3c.com/pfsense/configure-openvpn-for-pfsense-2-3-step-by-step/

klappt aber irgendwie nicht….habt ihr ne idee?

Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS Error: TLS handshake failed
Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS Error: TLS object -> incoming plaintext read error
Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS_ERROR: BIO read tls_read_plaintext error
Mar 29 14:43:26 openvpn 41823 117.92.130.91 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
Mar 29 14:43:26 openvpn 41823 117.92.130.91 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=Deutschland, L=daborn, O=-, emailAddress=eike.de, CN=bla.no-ip.org, OU=IT

Eike

sagt mal lese ich das richtig das es jetzt mit der neuen version 2.4.3 und ipsec gehen wird ? also Handy und site to site ?

IPsec
Changed IPsec Phase 1 to allow selecting both IPv4 and IPv6 so the local side can allow inbound connections to either address family #6886
Changed IPsec Phase 1 to allow configuration of multiple IKE encryption algorithms, key lengths, hashes, and DH groups #8186
Fixed a problem when IPsec bypasslan was enabled while the LAN interface is disabled or doesn't have an IP address #8239
Added IPv6 LAN Network to the IPsec LAN bypass list #8321

https://doc.pfsense.org/index.php/2.4.3_New_Features_and_Changes

m0nji

Mar 29 14:43:26  openvpn  41823  117.92.130.91 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=Deutschland, L=daborn, O=-, emailAddress=eike.de, CN=bla.no-ip.org, OU=IT

Für mich sieht das so aus als wenn du dem Nutzer kein UserCertificate zugewiesen hast sondern ein anderes Zertifikat. Ist aber auch schwer zu sagen bei den wenigen Infos zur Konfiguration

Eike

hmmmm neee kann eigentlich nicht sein ich habe alle neu gemacht extra dafür…...was für infos brauchst du noch ?

Eike

sooo hab openvpn nicht zum laufen bekommen war ich zu blöde zu. aber ich habe jetzt sowohl fritzbox über ipsec und auch die handy über ipsec am laufen

hurraaaaaa

orcape

Hi Eike,
"sooo hab openvpn nicht zum laufen bekommen war ich zu blöde zu. aber ich habe jetzt sowohl fritzbox über ipsec und auch die handy über ipsec am laufen"  Schön für Dich, aber genau das, kann es eigentlich nicht wirklich geben. Ich bastele seit Jahren mit OpenVPN, IPSec, pfSense, DD-WRT, OpenWRT und Fritten rum. Ich hab bis Dato jeden Tunnel zum laufen bekommen und mir ist auch klar, das Fritte und OpenVPN sich ausschliessen, wenn das Teil nicht gefreetzt ist. Aber selbst da, ist es eigentlich der Obergau eine IPSec-Tunnel mit wirklich funktionierenden Routing hin zu bekommen, was bei OpenVPN eigentlich nicht wirklich ein Problem dargestellt hat. Aber ich behaupte nun einfach mal, das Fritten-IPSec ist von der "Stange".  ;D

m0nji

Aber selbst da, ist es eigentlich der Obergau eine IPSec-Tunnel mit wirklich funktionierenden Routing hin zu bekommen, was bei OpenVPN eigentlich nicht wirklich ein Problem dargestellt hat. Aber ich behaupte nun einfach mal, das Fritten-IPSec ist von der "Stange".  ;D

was meinst du damit?

orcape

was meinst du damit?

Ich meinte damit nicht den normalen IPSec, der von AVM unterstützt wird, sondern eher das modifizieren (Freezen) der Fritte. Jeder Flash des Gerätes, muss bei einem Konfigurationsfehler, (z.B. in der Firewall) wiederholt werden, da man keine direkten Änderungen machen kann, sondern das Image immer neu bauen muss.
Man kann das nicht mit einer pfSense oder einem DD-WRT Router vergleichen, wo die Änderungen einfach mal so in den Speicher hochgeladen werden.
Die original Firewall einer Fritte ist eben nur "von der Stange", auch wenn man das "Teil" in den Himmel lobt, so ist und bleibt das ein Consumergerät, wie jeder andere Plastikrouter auch.