FritzBox<->pfSense IPsec VPN

jogovogo

Guten Abend zusammen!

Vielleicht wird dieses Thema ja noch beobachtet...

Wir hatten stabile VPN Tunnel am laufen haben die FRITZ!Box auf die Version 8.03 updated nun bauen sich diese leider nicht mehr auf.

An der Config hat sich selbsterklärend nichts geändert.
Es kommt folgende Meldung, IKE-Error 0x2026 "no proposal chosen.

Hört sich irgendwie nach Phase 2 an, ob sich da seitens Fritz OS irgendwas geändert hat? Ggf. hat ja einer ähnliche Erfahrung und kennt die aktuellen Chiffrewerte.

Cheers
Ron

orcape

@jogovogo
Hi,
und Sorry.
Ich hatte auf Seite der Fritzbox einen Providerwechsel, nun mit Fritzbox 6690 Kabel und damit leider nur DSLight mit reinem IPv6-Anscluß.
Es gibt zwar damit über Umwege die Möglichkeit einen IPSec-Tunnel aufzubauen, aber es war für mich einfacher auf Wireguard umzusteigen.
Das klappt auf Anhieb.
Gruß orcape

sebden

@jogovogo
Am besten mal die Logs auf Seiten der pfSense sichten. Es hilft nach der WAN-IP der Fritzbox zu suchen um in die passenden Zeilen zu rutschen.

Dort steht dann welche Proposals beide Partner vorgeschlagen haben und du kannst ggf. auf pf-Seite anpassen. Auf der FritzBox-Seite geht das mWn. nur durch Löschen des Tunnels und mit gezielten Proposals als CFG erneut einfügen.

JeGr

@jogovogo said in FritzBox<->pfSense IPsec VPN:

Guten Abend zusammen!

Vielleicht wird dieses Thema ja noch beobachtet...

Wir hatten stabile VPN Tunnel am laufen haben die FRITZ!Box auf die Version 8.03 updated nun bauen sich diese leider nicht mehr auf.

An der Config hat sich selbsterklärend nichts geändert.
Es kommt folgende Meldung, IKE-Error 0x2026 "no proposal chosen.

Hört sich irgendwie nach Phase 2 an, ob sich da seitens Fritz OS irgendwas geändert hat? Ggf. hat ja einer ähnliche Erfahrung und kennt die aktuellen Chiffrewerte.

Cheers
Ron

Hi,

leider hast du dich an einen ganz anderen Thread drangehangen, darum ging die Frage auch komplett unter. Bitte tatsächliche Probleme/Support hier in den Forenteil packen und nicht ins Allgemeine Netzerkthemen Laber-Unterforum :)

Es kommt folgende Meldung, IKE-Error 0x2026 "no proposal chosen.

Am Einfachsten ist es da die pfSense auf der remote Seite im Log zu untersuchen, da wirst du auch das NO_PROP finden. Davor findet sich dann auch meistens ein IKE Austausch mit "Die Crypto bot mir die Fritte an", "die hab ich selbst" - "kein match".

Damit kann man eigentlich immer gut sehen, was tatsächlich übermittelt wurde egal was man bei AVM eingestellt hat und was man selbst konfiguriert hat. No Proposal heißt in dem Zusammenhang mit fast 100% Sicherheit, dass das Setting mit AES-SHA256-DHmode nicht mehr stimmt und die Fritte mit dem Update die Einstellungen resettet hat und ggf. einen anderen Hash, DH Modus oder ne andere Crypto gewählt hat. Was und welche genau siehst du aber nur auf der Sense im Log.

Am Besten bei sowas die Sense in Phase 1 auf "responder only" schalten, so dass die nur auf eingehende Requests antwortet und dann im Log die Strings vergleichen was ankommt und was die Sense anbietet - wird sicherlich nicht übereinstimmen weil AVM mal wieder Settings geändert hat :)

Cheers :)