Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN pfSense Fritte

    Scheduled Pinned Locked Moved
    Deutsch
    5
    92
    3.3k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      EuroPC @NOCling
      last edited by

      @NOCling danke.
      Ich werde erstmal mein DynDNS in Ordnung bringen und dann die VPN Idee weiterverfolgen

      So lange wie möglich würde ich da auch bei der Fritte gerne weiterhin IpSec nutzen.
      Aber ob IPSec oder WG, ohne DynDNS wird das nichts.

      Gruß, EuroPC

      E 1 Reply Last reply Reply Quote 0
      • E
        eagle61 @EuroPC
        last edited by

        @EuroPC said in VPN pfSense Fritte:

        Ich werde erstmal mein DynDNS in Ordnung bringen

        hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

        Damit kannst du den Zeitpunkt der täglichen Zangstrennung bestimmen und dieser Cronjob bewirkt dann auch das die sinnvollerweise nach einer Neuverbndung und Bezug neuer IP-Adressen folgenden Prozesse angestoßen werden, wie eben übermittlung der neuen IPv4- und IPv6-Adressen an den DynDNS-Provider.

        Nutzt natürlich nur richtig viel, wenn es nicht mehrere Neuverbundungen pro Tag gibt. Die Cronjobs bearbeiten kannst du wenn du unter System / Package Manager / Available Packages auch das Paket Cron aus den sysutils installiert hast.

        E 2 Replies Last reply Reply Quote 1
        • E
          EuroPC @eagle61
          last edited by

          @eagle61 said in VPN pfSense Fritte:

          hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

          hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

          Interesant. Stelle ich heute Abend mal ein,

          1 Reply Last reply Reply Quote 0
          • E
            EuroPC @eagle61
            last edited by

            @eagle61 Bisher noch nicht. Ich lade das mal runter.
            Im Patetmanager "cron" gesucht und gefunden. :-)

            Ich hätte gedacht, dass das evtl "periodic Reset" in den PPPoE Einstellungen erledigt.

            Gruß, EuroPC

            E 2 Replies Last reply Reply Quote 0
            • E
              eagle61 @EuroPC
              last edited by

              @EuroPC said in VPN pfSense Fritte:

              Ich hätte gedacht, dass das evtl "periodic Reset" in den PPPoE Einstellungen erledigt

              Ja und nein. 'periodic Reset" in den PPPoE Einstellungen legt auch nur einen Cronjob an. Am Ende des Tages macht das also cron. Cron hat auch noch mehr Jobs, die man aber erst nach Installation des Cron-Package sehen und editieren können soll. Es gibt zwar auch die übriche Cron-Datei auf Dateisysteebene, die soll man aber nicht direkt editieren, statdessen eben das Cron-Package nutzen. Editiert man die Cron-Datei auf Dateisysteebene wird die sonst einfach wieder überschrieben.

              1 Reply Last reply Reply Quote 0
              • E
                eagle61 @EuroPC
                last edited by

                @EuroPC

                Im System / Package Manager gibt es übrigens noch mehr interessanter vor allem aber wichtiger Packages. Wichtig ist vor allem das Package System_Patches auch aus den sysutils. Darüber bekommt man wichtige (auch sicherheitsrelevante) Updates für das Gesamtsystem. Etwa SSH betreffend oder auch IPsec, Fixings für den DNS Resolver, Kea oder PHP.

                E 1 Reply Last reply Reply Quote 1
                • E
                  EuroPC @eagle61
                  last edited by

                  @eagle61 Danke.

                  Du schreibst "aus den sysutils"
                  Evtl mache ich da etwas falsch. Aber wenn ich im Package Manager bin, dann finde ich unter "sysutils" nichts. Wenn ich aber "System_Patches" eingebe, dann schon.

                  E 1 Reply Last reply Reply Quote 0
                  • E
                    eagle61 @EuroPC
                    last edited by eagle61

                    @EuroPC said in VPN pfSense Fritte:

                    Evtl mache ich da etwas falsch.

                    Nein, dass es aus den systemutils ist sieht man erst nach der Installation.

                    System / Package Manager zeigt die Category nur im Reiter Installed Packages an, leider nicht im Reiter Available Packages. Somit sieht man die Kategorie (wie eben sysutils, security, net, etc.) aus der das Paket stammt erst nach der Installation.

                    PS: und frag bitte nicht nach warum welches Paket zu welcher Kategorie zugeordnet wurde. Manchmal scheint das einfach ausgewürfelt zu werden ;-)
                    WireGuard gehört zur Kategorie net
                    openvpn-client-export gehört zur Kategorie security
                    Warum das eine VPN-Adon zu net, das andere zu security gehört erscheint mir nicht unbedingt etwas mit Logik zu tun zu haben.

                    JeGrJ 1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @eagle61
                      last edited by

                      @eagle61 said in VPN pfSense Fritte:

                      openvpn-client-export gehört zur Kategorie security

                      da das ein Netgate eigenes Paket ist und das nicht im FreeBSD Standard Portstree ist - wurde das tatsächlich einfach von Netgate so einkategorisiert :) Der Rest ist schlicht die FreeBSD-eigene Kategorie in deren Ports/Paketbaum.

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 1
                      • E
                        EuroPC @NOCling
                        last edited by EuroPC

                        @NOCling

                        Moin,
                        Laut Ping sind meine DNS Einträge in Ordnung, es gibt ipv4 und IPv6 Adressen.

                        Ich teste nun, ob wenigstens Phase1 durch läuft. Das log endet aber immer auf

                        „ Sep 13 20:55:35 charon 93038 10[CFG] vici client 3164 connected
                        Sep 13 20:55:35 charon 93038 09[CFG] vici client 3164 registered for: list-sa
                        Sep 13 20:55:35 charon 93038 09[CFG] vici client 3164 requests: list-sas
                        Sep 13 20:55:35 charon 93038 10[CFG] vici client 3164 disconnected
                        Sep 13 20:55:37 charon 93038 09[CFG] vici client 3165 connected
                        Sep 13 20:55:37 charon 93038 10[CFG] vici client 3165 registered for: list-sa
                        Sep 13 20:55:37 charon 93038 11[CFG] vici client 3165 requests: list-sas
                        Sep 13 20:55:37 charon 93038 10[CFG] vici client 3165 disconnected
                        Sep 13 20:55:41 charon 93038 10[CFG] vici client 3166 connected
                        Sep 13 20:55:41 charon 93038 06[CFG] vici client 3166 registered for: list-sa
                        Sep 13 20:55:41 charon 93038 11[CFG] vici client 3166 requests: list-sas
                        Sep 13 20:55:41 charon 93038 07[CFG] vici client 3166 disconnected
                        Sep 13 20:55:41 charon 93038 10[CFG] vici client 3167 connected
                        Sep 13 20:55:41 charon 93038 10[CFG] vici client 3167 registered for: control-log
                        Sep 13 20:55:41 charon 93038 07[CFG] vici client 3167 requests: initiate
                        Sep 13 20:55:41 charon 93038 07[CFG] vici initiate CHILD_SA 'con2_2'
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> queueing ISAKMP_VENDOR task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> queueing ISAKMP_CERT_PRE task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> queueing AGGRESSIVE_MODE task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> queueing ISAKMP_CERT_POST task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> queueing ISAKMP_NATD task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> queueing QUICK_MODE task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> activating new tasks
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> activating ISAKMP_VENDOR task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> activating ISAKMP_CERT_PRE task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> activating AGGRESSIVE_MODE task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> activating ISAKMP_CERT_POST task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> activating ISAKMP_NATD task
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> sending XAuth vendor ID
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> sending DPD vendor ID
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> sending FRAGMENTATION vendor ID
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> sending NAT-T (RFC 3947) vendor ID
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> initiating Aggressive Mode IKE_SA con2[5326] to 217.195.149.89
                        Sep 13 20:55:41 charon 93038 10[IKE] <con2|5326> IKE_SA con2[5326] state change: CREATED => CONNECTING
                        Sep 13 20:55:41 charon 93038 10[CFG] <con2|5326> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
                        Sep 13 20:55:41 charon 93038 10[ENC] <con2|5326> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
                        Sep 13 20:55:41 charon 93038 10[NET] <con2|5326> sending packet: from 93.201.234.27[500] to 217.195.149.89[500] (434 bytes)
                        Sep 13 20:55:43 charon 93038 11[CFG] vici client 3168 connected
                        Sep 13 20:55:43 charon 93038 08[CFG] vici client 3168 registered for: list-sa
                        Sep 13 20:55:43 charon 93038 08[CFG] vici client 3168 requests: list-sas
                        Sep 13 20:55:43 charon 93038 11[CFG] vici client 3168 disconnected
                        Sep 13 20:55:45 charon 93038 08[IKE] <con2|5326> sending retransmit 1 of request message ID 0, seq 1
                        Sep 13 20:55:45 charon 93038 08[NET] <con2|5326> sending packet: from 93.201.234.27[500] to 217.195.149.89[500] (434 bytes)
                        Sep 13 20:55:46 charon 93038 08[CFG] vici client 3167 disconnected
                        Sep 13 20:55:48 charon 93038 08[CFG] vici client 3169 connected
                        Sep 13 20:55:48 charon 93038 07[CFG] vici client 3169 registered for: list-sa
                        Sep 13 20:55:48 charon 93038 08[CFG] vici client 3169 requests: list-sas
                        Sep 13 20:55:48 charon 93038 07[CFG] vici client 3169 disconnected
                        Sep 13 20:55:52 charon 93038 07[IKE] <con2|5326> sending retransmit 2 of request message ID 0, seq 1
                        Sep 13 20:55:52 charon 93038 07[NET] <con2|5326> sending packet: from 93.201.234.27[500] to 217.195.149.89[500] (434 bytes)
                        Sep 13 20:55:53 charon 93038 12[CFG] vici client 3170 connected
                        Sep 13 20:55:53 charon 93038 07[CFG] vici client 3170 registered for: list-sa
                        Sep 13 20:55:53 charon 93038 12[CFG] vici client 3170 requests: list-sas
                        Sep 13 20:55:53 charon 93038 07[CFG] vici client 3170 disconnected
                        Sep 13 20:55:58 charon 93038 07[CFG] vici client 3171 connected
                        Sep 13 20:55:58 charon 93038 16[CFG] vici client 3171 registered for: list-sa
                        Sep 13 20:55:58 charon 93038 16[CFG] vici client 3171 requests: list-sas
                        Sep 13 20:55:58 charon 93038 12[CFG] vici client 3171 disconnected
                        Sep 13 20:56:04 charon 93038 12[CFG] vici client 3172 connected
                        Sep 13 20:56:04 charon 93038 16[CFG] vici client 3172 registered for: list-sa
                        Sep 13 20:56:04 charon 93038 15[CFG] vici client 3172 requests: list-sas
                        Sep 13 20:56:04 charon 93038 16[CFG] vici client 3172 disconnected
                        Sep 13 20:56:05 charon 93038 15[IKE] <con2|5326> sending retransmit 3 of request message ID 0, seq 1
                        Sep 13 20:56:05 charon 93038 15[NET] <con2|5326> sending packet: from 93.201.234.27[500] to 217.195.149.89[500] (434 bytes)
                        Sep 13 20:56:09 charon 93038 16[CFG] vici client 3173 connected
                        Sep 13 20:56:09 charon 93038 15[CFG] vici client 3173 registered for: list-sa
                        Sep 13 20:56:09 charon 93038 16[CFG] vici client 3173 requests: list-sas
                        Sep 13 20:56:09 charon 93038 16[CFG] vici client 3173 disconnected
                        Sep 13 20:56:14 charon 93038 16[CFG] vici client 3174 connected
                        Sep 13 20:56:14 charon 93038 05[CFG] vici client 3174 registered for: list-sa
                        Sep 13 20:56:14 charon 93038 05[CFG] vici client 3174 requests: list-sas
                        Sep 13 20:56:14 charon 93038 14[CFG] vici client 3174 disconnected
                        Sep 13 20:56:19 charon 93038 05[CFG] vici client 3175 connected
                        Sep 13 20:56:19 charon 93038 16[CFG] vici client 3175 registered for: list-sa
                        Sep 13 20:56:19 charon 93038 16[CFG] vici client 3175 requests: list-sas
                        Sep 13 20:56:19 charon 93038 05[CFG] vici client 3175 disconnected
                        Sep 13 20:56:25 charon 93038 05[CFG] vici client 3176 connected
                        Sep 13 20:56:25 charon 93038 16[CFG] vici client 3176 registered for: list-sa
                        Sep 13 20:56:25 charon 93038 13[CFG] vici client 3176 requests: list-sas
                        Sep 13 20:56:25 charon 93038 16[CFG] vici client 3176 disconnected
                        Sep 13 20:56:28 charon 93038 13[IKE] <con2|5326> sending retransmit 4 of request message ID 0, seq 1
                        Sep 13 20:56:28 charon 93038 13[NET] <con2|5326> sending packet: from 93.201.234.27[500] to 217.195.149.89[500] (434 bytes)
                        Sep 13 20:57:10 charon 93038 13[IKE] <con2|5326> sending retransmit 5 of request message ID 0, seq 1
                        Sep 13 20:57:10 charon 93038 13[NET] <con2|5326> sending packet: from 93.201.234.27[500] to 217.195.149.89[500] (434 bytes)
                        Sep 13 20:58:26 charon 93038 13[IKE] <con2|5326> giving up after 5 retransmits
                        Sep 13 20:58:26 charon 93038 13[IKE] <con2|5326> establishing IKE_SA failed, peer not responding
                        Sep 13 20:58:26 charon 93038 13[IKE] <con2|5326> IKE_SA con2[5326] state change: CONNECTING => DESTROYING
                        Sep 13 21:00:36 charon 93038 16[CFG] vici client 3177 connected
                        Sep 13 21:00:36 charon 93038 13[CFG] vici client 3177 registered for: list-sa
                        Sep 13 21:00:36 charon 93038 09[CFG] vici client 3177 requests: list-sas
                        Sep 13 21:00:36 charon 93038 09[CFG] vici client 3177 disconnected“

                        Hat Du eine Idee?

                        Damich gerade am IPad sitze, bekomme ich das leider nicht schöner hin.

                        Gruß

                        EuroPC

                        1 Reply Last reply Reply Quote 0
                        • N
                          NOCling
                          last edited by

                          Die Frit kann default nur.
                          IKEv1 Aggressive Mode
                          AEC CBC 256 SHA512 DH2
                          AEC CBC 256 SHA512 DH14

                          Erst wenn du eine funktionieren andere config importiert bekommst oder aber mit dem Java Tool die Konfiguration der Fritzbox exportierst, editierst und wieder importierst, kann du den Main Mode nutzen.

                          Ziege noch mal deine Parameter für die Phase 1.

                          Netgate 6100 & Netgate 2100

                          E 1 Reply Last reply Reply Quote 1
                          • E
                            EuroPC @NOCling
                            last edited by EuroPC

                            @NOCling Bitte entschuldige die Waterei, ich musste erstmal bein DynDNS hinbekommen.

                            Die Fritte bevorzugt (Anbieter Greenfiber) IPv6. Was die Uhrzeit der Zwangstrennung mit neuer IP angeht, habe ich wohl keinen Einfluss, der Menüpunkt fehlt in der Fritte (Zwangstrennung zuvorkommen).

                            Anbei meine Einstellungen in der Sense. Mittlerweile habe ich auf https://pfsense-docs.netlify.app/vpn/ipsec/ipsec-troubleshooting noch herausgelesen, dass es an DPD (habe ich nun eingeschaltet, NAt Traversal, sollte man asstellen, geht aber nicht, nur "Auto" liegen kann. In Phase 2 "Auto Ping host" ist erstmal egal, wenn Phase1 schon nicht funktioniert.
                            Ich habe mal probeweise Dual Stack probiert, werde das aber wieder auf IPv4 setzen
                            Anbei also Screenshots:
                            Phase1.png
                            Phase2.png

                            IPSecStatus.png

                            Soowie FW- Rules
                            FW Rules IPSec.png FW Rules LAN.png FW Rules WAN.png

                            Und noch das WAN:
                            WAN.png
                            Danke erstmal,

                            EuroPC

                            1 Reply Last reply Reply Quote 0
                            • N
                              NOCling
                              last edited by

                              Da ist einiges falsch, ich weiß nicht was für einen Guide du verwende hast, schaue lieber hier im Forum unter dem entsprechendem Thread, da bekommst du die richtigen Infos die auch funktionieren.
                              My identifier -> FQDN
                              Peer identifier -> FQDN

                              79cc107b-1ed1-43cc-867f-abc01a858d6d-image.png
                              Phase 2:
                              d23cf2ed-fb90-4291-a76b-6dcc375ca4d8-image.png

                              Die FW Rules gehören auf WAN, besser auf Floating um auch intern wie extern zu funktionieren.
                              Sind aber eh vorhanden, wenn du den Hacken in den Advanced Config nicht entfernt hast.

                              Du barucht aber für das Remot Netz eingehende Regeln auf IPsec:
                              Also für 192.168.188.0/24 in deinem Fall oder die einzelnen IPs aus dem Netz mit entsprechendem Ziel und Ports.

                              Du solltest auch die MSS für IPsec auf 1328 setzen:
                              System / Advanced / Firewall & NAT / VPN Packet Processing
                              Hier habe ich aktiv: IP Fragment Reassemble, Enable Maximum MSS und den Wert auf 1328 gesetzt.

                              Wenn der Tunnel dann im Aggro Mode läuft, versuche bitte den auf Main zu bekommen, mit dem FBEditor-0.6.9.7k kannst du die Konfig von der Box ziehen, wenn der Hacken für 2 Faktor bestätigen nicht aktiv ist.
                              Wenn doch, leider geil und du kannst nur dem AVM Support so lange auf den Sack gehen bis sie das Feld in der GUI zugänglich machen, wie die DH Gruppe, die kann man auch auf 15 setzen mit einer 75er oder vergleichbarer neuen Box.

                              Netgate 6100 & Netgate 2100

                              E 1 Reply Last reply Reply Quote 1
                              • E
                                EuroPC @NOCling
                                last edited by

                                @NOCling said in VPN pfSense Fritte:
                                **> Da ist einiges falsch, ich weiß nicht was für einen Guide du verwende hast, schaue lieber hier im Forum unter dem entsprechendem Thread, da bekommst du die richtigen Infos die auch funktionieren.

                                My identifier -> FQDN
                                Peer identifier -> FQDN**

                                Befürchtete ich. FQN habe ich geändert. Einen Guide suche ich mir nachher.

                                **> Die FW Rules gehören auf WAN, besser auf Floating um auch intern wie extern zu funktionieren.

                                Sind aber eh vorhanden, wenn du den Hacken in den Advanced Config nicht entfernt hast.**

                                Welche FW Rules speziell? Die im IPSec oder einfach alle?
                                Meinst Du unter Firefall/NAT /ganz unten):
                                Automatic creation of additional NAT redirect rules from within the internal networks.
                                und
                                Automatic create outbound NAT rules that direct traffic back out to the same subnet it originated from.? Die sind deaktiviert.

                                **> Du barucht aber für das Remot Netz eingehende Regeln auf IPsec:

                                Also für 192.168.188.0/24 in deinem Fall oder die einzelnen IPs aus dem Netz mit entsprechendem Ziel und Ports.**

                                Ich glaube, einiges zu lernen ich habe über Firewalls ;-)

                                **> Du solltest auch die MSS für IPsec auf 1328 setzen:

                                System / Advanced / Firewall & NAT / VPN Packet Processing
                                Hier habe ich aktiv: IP Fragment Reassemble, Enable Maximum MSS und den Wert auf 1328 gesetzt.** erledigt

                                Wenn der Tunnel dann im Aggro Mode läuft, versuche bitte den auf Main zu bekommen, mit dem FBEditor-0.6.9.7k kannst du die Konfig von der Box ziehen, wenn der Hacken für 2 Faktor bestätigen nicht aktiv ist.
                                Wenn doch, leider geil und du kannst nur dem AVM Support so lange auf den Sack gehen bis sie das Feld in der GUI zugänglich machen, wie die DH Gruppe, die kann man auch auf 15 setzen mit einer 75er oder vergleichbarer neuen Box.

                                Die 5590 Fiber sollte modern genug sein. Leider aber von Greenfiber und nicht selbst gekauft.

                                Danke erstmal,
                                EuroPC

                                N 1 Reply Last reply Reply Quote 0
                                • N
                                  NOCling @EuroPC
                                  last edited by

                                  @EuroPC said in VPN pfSense Fritte:

                                  Welche FW Rules speziell? Die im IPSec oder einfach alle?

                                  Sorry, war zu unspezifisch. Die für Isakamp und NAT-T meinte ich.

                                  Den hier meine ich in der Fritzbox:
                                  4ceafbd2-8e7c-4e0c-b1a4-a6e0ef941e98-image.png
                                  Bekommt man aber ab Firmware 7.5x nicht mehr deaktiviert.
                                  Da muss man ein altes Backup einspielen wo das deaktiviert ist.

                                  Firewalls filtern halt immer eingehenden Datenverkehr, also muss du, von Floating Regeln mal abgesehen, immer auf dem Interface wo es rein geht das Regelwerk bauen.
                                  Am besten so spezifisch wie möglich.
                                  Mit Aliasen kann man gut mehrere Ports und IPs bündeln, für eine Geräteklasse oder einen Sevice.
                                  Leider kann man in eine Regel nur TCP oder UDP zulassen für spezifische Ports.
                                  Das dann gibt man entweder beides frei oder aber man muss 2 Regeln für die jeweiligen Ports eines Protokolls anlegen.

                                  Netgate 6100 & Netgate 2100

                                  E 1 Reply Last reply Reply Quote 1
                                  • E
                                    EuroPC @NOCling
                                    last edited by EuroPC

                                    @NOCling

                                    Warum sollte ich für Isakamp und NAT-T auf WAN oder Floating setzen? Sie sind doch für IPSec bestimmt. Oder wo liegt da mein Denkfehler?

                                    Meintest Du, dass unter Firefall/NAT die Punkte

                                    Automatic creation of additional NAT redirect rules from within the internal networks.
                                    und
                                    Automatic create outbound NAT rules that direct traffic back out to the same subnet it originated from.? aktiviert sein sollten?

                                    Bzw: Enable NAT Reflection for 1:1 NAT
                                    und
                                    Enable automatic outbound NAT for Reflection

                                    Bei mir sind sie es nicht, scheinen von der Beschreibung aber sinnvoll zu sein.

                                    EuroPC

                                    ps: Ein VPN NG2100 <->4100 läuft problemlos :-)

                                    1 Reply Last reply Reply Quote 0
                                    • N
                                      NOCling
                                      last edited by NOCling

                                      Ja, so sind diese Ports aber von allen Seiten her erreichbar, intern wie extern und es ist ja genau das was man möchte, das IPsec sich immer zur Firewall hin verbinden kann.

                                      Mit den Auto Regeln die silent im Hintergrund laufen hatte ich bei der Einwahl vom Handy aus immer Verzögerungen, also habe ich die abgeschaltet und die Floating Regeln selber erstellt.

                                      NAT Reflection mode for port forwards habe ich nicht aktiv, weil ich es nicht benötige, ich nutze von außen ausschließlich VPN und habe keine Portweiterleitungen aktiv.

                                      Was den Tunnel SG2100 - SG4100 angeht, ich hoffe den hast du mit IKEv2 und AES GCM 256 und DH19-21 am laufen. Die Hardware kann das super schnell beschleunigen, wenn du FafeXCel und QAT auf der jeweiligen Seite nutzt.
                                      IPsec Multi-Buffer nutze ich nicht, da ich hier wenige Last auf der Crypto Engine gesehen habe, dafür jedoch mehr Last auf der CPU was beide Seiten angeht.

                                      Netgate 6100 & Netgate 2100

                                      E E 2 Replies Last reply Reply Quote 1
                                      • E
                                        eagle61 @NOCling
                                        last edited by eagle61

                                        @NOCling & EuroPC

                                        Will hier wirklich niemandem auf die Füße treten.
                                        Aber die IPSec-Konfiguration, besonders in Kombination mit FritzBoxen, erscheint mir wirklich deutlich komplizierter zu sein, als jene von Wireguard. Liegt wohl eben auch daran, dass AVM bei der Implemntierung von IPSec in die Boxen sich nicht an alle Standards hält und einige Einstellungen (wie Verschlüsselungsoptionen, Transfernetze) seitens der Boxen nicht oder nur mittels Umwegen, möglich sind.

                                        Jedenfalls war es für mich aus meiner Sicht sehr viel einfacher eine funktionierende Wireguard-Verbindung zwischen FritzBoxen und einer pfsense zu erstellen, als es bei EuroPC der Fall zu sein scheint.

                                        An bei mir vorab vorhandenen Erfahrungen mit Wireguard kann es nicht liegen, dass es so viel schneller und einfacher ging. Wireguard hatte ich zuvor auch noch nie genutzt und eine pfsense auch nicht, denn bin erst vor einem viertel Jahr von IPFire auf pfsense umgestiegen. IPFire wiederum unterstützt kein Wireguard und kein IPv6, was der Grund für den Umstieg war. Deswegen nutzte ich zuvor mit der IPFire nur OpenVPN, was FritzBoxen ja gar nicht können, dann eben in Kombination mit einem Raspberry PI neben den FritzBoxen als VPN-Gateway.

                                        E 1 Reply Last reply Reply Quote 1
                                        • E
                                          EuroPC @NOCling
                                          last edited by

                                          @NOCling
                                          **Ja, so sind diese Ports aber von allen Seiten her erreichbar, intern wie extern und es ist ja genau das was man möchte, **

                                          leuchtet ein. Danke. Verstehen ist immer besser als Abschreiben :-)

                                          NAT Reflection mode for port forwards ich habe die Port Forwards drin, weil ich einen Reverse proxy für Wireguard habe und einfach testen wollte, ob ich, daher auch 5001, überhaupt von draußen nach drinen komme.

                                          IKEv2 und AES GCM 256 und DH19-21
                                          IKE2, habe ich. Noch läuft das unter normalem AES256, DH14 um es erstmal zum Laufen zu bekommen. Chacha20 und AES256CGM sollen das ersetzen.
                                          FafeXCel und QAT
                                          löuft. Bei der 2100 war ich nur skeptisch, ob die Performance reicht.

                                          EuroPC

                                          1 Reply Last reply Reply Quote 0
                                          • E
                                            EuroPC @eagle61
                                            last edited by

                                            @eagle61 said in VPN pfSense Fritte:

                                            Jedenfalls war es für mich aus meiner Sicht sehr viel einfacher eine funktionierende Wireguard-Verbindung zwischen FritzBoxen und einer pfsense zu erstellen

                                            Jedenfalls war es für mich aus meiner Sicht sehr viel einfacher eine funktionierende Wireguard-Verbindung zwischen FritzBoxen und einer pfsense zu erstellen

                                            Site2Site? Vielleicht sollte ich dem eine Chance geben und IPSec von der Fritte fern halten.
                                            Für meine NG4100 oder die Digibox aber bei IPSec bleiben.

                                            EuroPC

                                            E 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post