Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN pfSense FritzBox

    Scheduled Pinned Locked Moved Allgemeine Themen
    13 Posts 2 Posters 3.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      EuroPC
      last edited by

      Hallo liebes Forum,

      als pfSense- Neuling habe ich ein paar Probleme mit VPMN und hoffe, dass ihr aushelft :-)

      danke @JeGr für Dein tolles Tutorial hier (Re: AVM Fritzbox Kopplung (neuere FritzOS))

      Ja, leider muss es eine Fritte sein (7490 und 7590), zu der die netgate 2100 mit 22.01-RELEASE (arm64)
      built on Mon Feb 07 16:39:19 UTC 2022
      FreeBSD 12.3-STABLE
      sich verbindet.

      Nach Abschalten des DPD läuft es auch stabil.
      Auch zur Digibox premium (DB) konnte ich so eine stabile Verbindung aufbauen.
      Leider kann ich aber von meiner pfSense aus nicht auf die Geräte im Netz der Digibox zugreifen (und umgekehrt).
      Die pfSense zeigt hier zusätzlich NAT-T an. In der DB ist NAT Traversal aktiviert (man kann nur aktrivieren oder erzwingen), in der pfsense hier auf "Auto".

      Bei der FB kann ich auf die Geräte dahinter zugreifen. Nur funktioniert bisher der Zugriff aus dem FB Netz auf die Geräte hinter der pfsense nicht.

      Gruß,
      Euro-PC

      1 Reply Last reply Reply Quote 0
      • N
        NOCling
        last edited by

        Wie sieht denn deine P1 und deine P2 aus?

        Welches LAN ist auf welcher Seite im Einsatz, hier hilft eine kleine Zeichnung.

        Ich habe hier 3 Tunnel aktiv, 2 zu FeitzBoxen und einen zwischen meinen Netgates.
        Erste sind IKEv1 mit aggro Mode, AES256 SHS512 DH2.

        Letzter IKEv2 AES256 SHA256 DH21.

        Netgate 6100 & Netgate 2100

        E 1 Reply Last reply Reply Quote 0
        • E
          EuroPC @NOCling
          last edited by

          Hallo @NOCling
          danke für Deine schnelle Antwort.

          Eine kleine Zeichnung:

          pc1 -------------|pfsense | -------Vigor ---- Internet ----------------| Fritte bzw. Digibox --- Raspi usw
          DS218+-----------|192.168.10.0/24 | |
          ----- Internet ---------------

          IP: FB1 192.168.188.0/24
          FB2 192.168.198.0/24
          Digibox 192.168.2.0/24

          alle VPS sind IKE1, aggro, AES256 SHA512 DH14
          Sollte eigentlich alles unterstützt werden, so https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3331_FRITZ-Box-mit-einem-Firmen-VPN-verbinden/.

          pfs ist auf 14 und ESP ist aktiv.
          Als My identifier und peer id habe ich jeweils ASN 1 dist. name

          Gruß,
          EuroPC

          @nocling said in VPN pfSense FritzBox:

          P2 a

          1 Reply Last reply Reply Quote 0
          • N
            NOCling
            last edited by NOCling

            DH14 ist das Problem, die Boxen können nur DH2 sauber.

            AVM Fritz IPsec

            Ich kenne jetzt jedenfalls keinen Weg der pfSsense zu sagen für den IKE DH2 dann bitte DH14 zu verwenden.

            Netgate 6100 & Netgate 2100

            E 1 Reply Last reply Reply Quote 0
            • E
              EuroPC @NOCling
              last edited by

              @nocling
              in der pfSense hatte ich bisher eingetragen:

              Encryption Algorithm
              AES Algorithm 256 bits Key length SHA512 Hash 14 (2048 bit) DH Group

              Ok, dann probiere ich das einfach mal aus und ändere DH auf 2

              Zu den übrigen Modifikationen der Datei für die Fritte:

              Was hältst Du von " phase1ss = "all/all/all"; "? läuft das so bei Dir? Bei mir findet sich dort jetzt: phase1ss = "dh2/aes/sha"

              Ebenfalls die Punkte
              use_nat_t = yes;
              use_xauth = no;
              use_cfgmode = no;
              vorher dh14/aes/sha
              einzig für mich noch offen.
              Folglich werde ich bei einem VPN zur die DH Gruppe ändern. In der Zeiten mal alles unmd dann vergleichen und bereichten.

              Was die Digibox angeht, sehen wir spoäter.

              1 Reply Last reply Reply Quote 0
              • N
                NOCling
                last edited by

                Sieht doch gut aus, und ja du braucht auf dem IPsec Int Regelwerk für den dort eingehenden traffic, sonst ist nix mit Funktion.
                Denn die Firewall hat eine any any deny Regel in jedem Interface ganz unten drin, erlaubt es also keine Regel davor, ist einfach alles weg.

                Und du hast in einem Bild in P1 deinen DynDNS Namen nicht unkenntlich gemacht. das kannst ggf. ja noch mal nachhohlen.

                Netgate 6100 & Netgate 2100

                E 2 Replies Last reply Reply Quote 1
                • E
                  EuroPC @NOCling
                  last edited by EuroPC

                  @nocling Du hast Recht. Das werde ich dann sofort nachholen.
                  Erstellen ist zu lange her. Und ob es gelöscht werden kann, weiss ich gerade auch nicht.

                  Dann Müsste wohl ein Admin ran. Mist

                  1 Reply Last reply Reply Quote 0
                  • E
                    EuroPC @NOCling
                    last edited by

                    @nocling Fragt sich nur, wie die Moderatoren zu kontaktieren sind. Jeder einzeln?

                    1 Reply Last reply Reply Quote 0
                    • N
                      NOCling
                      last edited by

                      Habe gerade noch mal mit einer 7590 getestet, Langzweitbewertung steht aber noch aus.

                      Mit den Einstellungen in P1 dh14/aes/sha der Fritz, bekommt man das scheinbar wirklich mit DH14 zum laufen.

                      Da die Fritz aber für den Key Austausch nur DH2 kann, habe ich die P1 auf der Sense so eingerichtet:
                      13d958db-369a-424f-8241-27e4ec76b196-image.png

                      Tunnel läuft jetzt mit DH14, leider weiter Aggro Mode aber was willst machen.
                      0e83950d-aec3-4736-847c-a4471f207d39-image.png

                      Netgate 6100 & Netgate 2100

                      E 1 Reply Last reply Reply Quote 1
                      • E
                        EuroPC @NOCling
                        last edited by

                        Hi @nocling,

                        Danke. Ich habe gerade die Verbindung zur FB1 so wie Du es beschrieben hast aktualisiert. Also in P1 sowohl aes 256, sha512 und DH2, sowie das gleiche noch mal mit DH14 versehen.

                        Für FB2 alles so gelassen und nur DH14 eingestellt.

                        Beides funktioniert soweit. Bei FB1 allerdings mid Modp_1024, bei FB2 mit Modp_2048.

                        Auf Seiten der Fritten hast Du nichts angepasst?

                        Gruß,
                        EUROPC

                        1 Reply Last reply Reply Quote 0
                        • N
                          NOCling
                          last edited by NOCling

                          Doch mit dem FBeditor direkt in der Config der Fritz:

                          phase1ss = "dh14/aes/sha";
                          

                          Netgate 6100 & Netgate 2100

                          E 1 Reply Last reply Reply Quote 1
                          • E
                            EuroPC @NOCling
                            last edited by

                            @nocling ok, habe ich ebenfalls. Läuft bei mir stabil. Ein Speedtest steht noch aus.

                            1 Reply Last reply Reply Quote 0
                            • N
                              NOCling
                              last edited by NOCling

                              Ok da ich gefragt wurde wie ich mit einer FritzBox einen stabilen IKEv1 Main Mode zum laufen bringen konnte, hier die entsprechenden Schritte.

                              Zuerst wurde der Tunnel auf der pfSense wie folgt angelegt.
                              P1: IKEv1 IPv4 Mutual PSK Aggressiv FQDN AES256 SHA512 DH2 Lifetime 28800 DPD deaktiviert
                              P2: Tunnel IPv4 ESP AES256 SHA512 DH2 Life Time 3960 Auto Ping Host (Fritz LAN IP) Keep Alive aktiviert

                              Dann auf der Fritzbox GUI einen neuen S2S Tunnel erstellt:
                              PSK wurde aus der pfSense generiert übernommen, VPN-Verbindung dauerhaft halten aktiviert.

                              Dann sollte der Tunnel erstmal so laufen.
                              So habe ich diese auch lange betrieben, bis ich dann auf die Idee gekommen bin, denn in der Anleitung von AVM steht nix von der Einschränkung auf Aggressive Mode.
                              Nur das für die erste Aushandlung DH2 verwendet wird, dann kann auch DH14/DH15 verwendet werden.

                              Also gut, versuchen wir es mal.

                              Also mit dem "FBEditor-0.6.9.7k" die Konfig eingelesen, die folgenden 2 Zeilen geändert.
                              ALT:

                              mode = phase1_mode_aggressive;
                              phase1ss = "all/all/all";
                              

                              Neu:

                              mode = phase1_mode_idp;
                              phase1ss = "dh14/aes/sha";
                              

                              Konfig in die Box zurück gespielt, das es funktioniert hat merkt man da der Tunnel weg ist und sich die App aufhängt.

                              Also dann in der pfSense wie folgt anpassen.
                              P1: umstellen auf Main Mode und eine zweites P1 Proposal Set dazu erstellen so dass dann
                              AES256 SHA512 DH2
                              AES256 SHA512 DH14/DH15
                              vorhanden sind.

                              P2: P2 Proposal Set von DH" auf DH14/DH15 umstellen.

                              Noch mal alles kontrollieren und Applay Changes

                              Dann erstmal warten, denn die Fritz legt bei der Übernahme der Einstellung einen Neustart hin.
                              Bisher laufen die Tunnel seit dem mit Main Mode sauber, nach einem Neustart der pfSense kommen die wieder hoch und auch nach einem Neustart vom Cabel Modem.

                              Es geht also doch, ich hoffe ich sehe diese böse Variable im Log nie wieder...

                              Netgate 6100 & Netgate 2100

                              1 Reply Last reply Reply Quote 1
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.