IPsec Tunnel Fritzbox (FRITZ!OS 07.12) pfSense 2.4.5-RELEASE-p1



  • Moin,

    ich habe da mal eine Problem und das besteht aus einer FRITZ!Box 7490 zu der ich einen VPN Tunnel zum Datenaustausch aufbauen muss.
    Meine vavorisierte Lösung Fritzbox mit einer 44er bearbeiten und anschließend was vernünftiges an die Wand hängen ist abgelehnt worden.

    Der Tunnel wird aufgebaut aber es gehen keine Daten durch. Auf der pfSense habe ich unter Firewall IPsec eine Scheunentorregel und auch für das LAN Interface alles in richtung des IPsec Netzes erlaubt.

    Ich habe verschiedene Anleitungen gelesen und letztendlich die von JeGrs Anleitung in der aktualisierten Variante umgesetzt. Tunnel steht. Daten gehen raus aber aus dem Netz der Fritte kommt keine Antwort. Ich sehe im Dashboard der pfSense in der Grafik des IPsec Interfaces auch nur ausgehende Daten, da kommt nix rein.
    Bin dann mal eben zum Netz der Fritte gefahren, habe mich eingeklinkt und bekomme auch nichts ins Netz der pfSense. Habe extra mit einem Tablett via openVPN auf die pfSense zugegriffen, keine Daten.
    Die Fritte ist in ihrem Lan der Master of Desaster, sprich DSL-Modem, Router, DNS, Standard Gateway, AP und Switch.

    Auf der anderen Seite hat die pfSense die Macht mit einem Zyxel DSL Modem.

    Ich bin ein wenig ratlos. Ideen?

    -teddy



  • Das geht auch schon mit der 7.12er Firmware, wird aber ein wenig schneller mit der 7.21er, aber wirklich schön wird es trotzdem nicht, daher kann ich deine Idee mit der 44er nur zu gut verstehen.

    Du kannst in der Fritz des Assistenten für eine Lan 2 Lan Kopplung verwenden.

    Fritz braucht ja nur die beiden Dyndns Namen, die Infos zum Netz der Gegenstelle und einen Namen sowie den PSK.
    Du kannst hier aber in den erweiterten Einstellungen noch festlegen welche LAN Geräte auf Fritz Seite den Tunnel nutzen dürfen, hast du hier ggf. was vergessen?

    Auf der pfSense einen IKEv1 Tunnel mit Aggressive Mode erstellen:
    P1 die beiden Dyndns Namen AES256 SHA512 DH2, lifetime ist default, weil die Fritz hier eh macht was sie will.
    P2 die Netzte ESP AES256 SH1 und PFS2

    Fertig

    Kontrolliere das mal.

    Wo bleibt denn der Traceroute hängen von der jeweiligen Seite aus?

    So sieht der Trace von pfsense Seite aus:
    1 <1 ms <1 ms <1 ms pfsense[192.168.10.1]
    2 98 ms 112 ms 100 ms 192.168.144.11
    3 * 173 ms 176 ms 192.168.144.11

    An die Gegenseite komme ich gerade nicht ran, aber so ist der Tunnel hier stabil.
    59b8c59d-74a4-40a0-9dba-3405d8e6211b-image.png



  • Moin,

    so, einstimmiger Beschluss: Kein Debugging, eventuell stelle ich das Szenario später nochmal nach. Jetzt wird eine pfSense hinter die Fritte gehängt weil der VPN Tunnel nur für ein Gerät nötig ist und das dann auch noch vom dortigen LAN abgetrennt werden soll. Warum man sich nicht gleich ausködelt...

    -teddy


Log in to reply