FritzBox VPN per IPSec **gelöst/solved**



  • Man macht sich hier lange auf die Suche nach einer Lösung. Leider schreiben nur die wenigsten auf was Sie rausgefunden haben. Um anderen "Suchenden" dieses Problem zu ersparen hier nun eine kurze Anleitung wie man eine PFSense 1.2.3 (egal ob RC oder Final) mit einer Fritzbox - die VPN unterstützt - koppelt.

    Folgendes wird benötigt:
    1. Fritzbox Konfig (siehe unten)
    2. PFSense Konfig (siehe unten)
    3. Zwei unterschiedliche Subnetze (sonst geht gar nix)
    4. Jeweils beide Profile editieren und dann in das zugehörige Gerät laden bzw aktivieren.
    5. Auf einer der beiden Seiten das andere Subnetz versuchen anzupingen… und voila es sollte alles gehen.

    Ich hoffe es funktioniert nicht nur bei mir sondern auch bei vielen anderen. Rückfragen gerne hier ins Forum… evtl hab ich ja nen Tippfehler drin.
    Bye Leute

    Fritzbox Konfig

    // Hier geht es los
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "VPN zur Firma";  // ein freie Bezeichnung zur Identifikation der Verbindung
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = xx.xx.xx.xx;    // eine IP Adresse im PFSense Netzwerk die für die VPN verwendet werden kann, dürfte theoretisch auch mit 0.0.0.0 funktionieren, habe das aber nicht ausprobiert
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "home.meinefirma.de";  // ein DNS Name zum Firmenserver Dyndns oder statisch
                    localid {
                            fqdn = "katzenstreu.dyndns.org";  // mein eigener DynDNS Name
                    }
                    remoteid {
    user_fqdn = "katzenstreu@meinefirma.de";  // meine Email Adresse zur Identifikation,
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "def/3des/sha";
                    keytype = connkeytype_pre_shared;
                    key = "MeineMutterHat2010ImmerGesagt!";  // ein geheimes Passwort das ihr in der FB und PFSense verwendet
                    cert_do_server_auth = no;
                    use_nat_t = no;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = xx.xx.xx.0;  // Die Adresse des FB Subnetzes 192.168.50.0 wäre eines
                                            mask = 255.255.255.0;  // Subnetzmaske eures FB Subnetzes
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = xx.xx.xx.0; // Die Adresse des PFSense Subnetzes 192.168.70.0 wäre eines
                                    mask = 255.255.255.0; // Subnetzmaske eures PFSense Subnetzes
                            }
                    }
                    phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                    accesslist = "permit ip any xx.xx.xx.0 255.255.255.0"; // Die Adresse des PFSense Subnetzes mit Subnetzmaske
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                      "udp 0.0.0.0:4500 0.0.0.0:4500";
    }

    // EOF
    // Hier ist das ganze zu Ende

    PFSense Profil

    Ein neues IPSex Profil in unserer PFSense mit folgenden Einstellungen:
    Interface:        WAN (feste IPAdresse wird verwendet, bei dynamischen ändern sich ein paar Dinge)
    Local Subnet:   LAN subnet
    Remote subnet:   xx.xx.xx.0/yy  (Die Adresse eures Subnetz 192.168.50.0 wäre eines, yy steht für die Subnetzmaske -> 24 = 255.255.255.0)
    Remote gateway:   xx.xx.xx.xx (Die öffentliche IP eurer Fritzbox oder ein DNS Name, ich verwendete DynDNS)
    Description:   (irgendwas)
    Negotation mode:   aggressive
    My identifier:   user FQDN  - katzenstreu@meinefirma.de (tragt hier das gleiche wie in der FB Konfig unter "remoteid user_fqdn" ein)
    Encyption algorithm:      3DES
    Hash algorithm:   SHA1
    DH key group:   1 (768 bit)
    Lifetime:      3600
    Authentication method:      Pre-shared key
    Pre-sharedkey:   (das gleiche Passwort wie zuvor in der Fritzbox Konfig)
    Certificate:   nix (komplett leer lasse da wir einen PSK verwenden)
    Protocol:      ESP
    Encryption alg.:   3DES, Rijndael (AES), Rijindal 256
    Hash algorithm.:      SHA1
    PFS Key group: 1 (768 bit)
    Lifetime:      3600


Log in to reply