FritzBox VPN per IPSec **gelöst/solved**
-
Man macht sich hier lange auf die Suche nach einer Lösung. Leider schreiben nur die wenigsten auf was Sie rausgefunden haben. Um anderen "Suchenden" dieses Problem zu ersparen hier nun eine kurze Anleitung wie man eine PFSense 1.2.3 (egal ob RC oder Final) mit einer Fritzbox - die VPN unterstützt - koppelt.
Folgendes wird benötigt:
1. Fritzbox Konfig (siehe unten)
2. PFSense Konfig (siehe unten)
3. Zwei unterschiedliche Subnetze (sonst geht gar nix)
4. Jeweils beide Profile editieren und dann in das zugehörige Gerät laden bzw aktivieren.
5. Auf einer der beiden Seiten das andere Subnetz versuchen anzupingen… und voila es sollte alles gehen.Ich hoffe es funktioniert nicht nur bei mir sondern auch bei vielen anderen. Rückfragen gerne hier ins Forum… evtl hab ich ja nen Tippfehler drin.
Bye LeuteFritzbox Konfig
// Hier geht es los
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN zur Firma"; // ein freie Bezeichnung zur Identifikation der Verbindung
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = xx.xx.xx.xx; // eine IP Adresse im PFSense Netzwerk die für die VPN verwendet werden kann, dürfte theoretisch auch mit 0.0.0.0 funktionieren, habe das aber nicht ausprobiert
remote_virtualip = 0.0.0.0;
remotehostname = "home.meinefirma.de"; // ein DNS Name zum Firmenserver Dyndns oder statisch
localid {
fqdn = "katzenstreu.dyndns.org"; // mein eigener DynDNS Name
}
remoteid {
user_fqdn = "katzenstreu@meinefirma.de"; // meine Email Adresse zur Identifikation,
}
mode = phase1_mode_aggressive;
phase1ss = "def/3des/sha";
keytype = connkeytype_pre_shared;
key = "MeineMutterHat2010ImmerGesagt!"; // ein geheimes Passwort das ihr in der FB und PFSense verwendet
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = xx.xx.xx.0; // Die Adresse des FB Subnetzes 192.168.50.0 wäre eines
mask = 255.255.255.0; // Subnetzmaske eures FB Subnetzes
}
}
phase2remoteid {
ipnet {
ipaddr = xx.xx.xx.0; // Die Adresse des PFSense Subnetzes 192.168.70.0 wäre eines
mask = 255.255.255.0; // Subnetzmaske eures PFSense Subnetzes
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any xx.xx.xx.0 255.255.255.0"; // Die Adresse des PFSense Subnetzes mit Subnetzmaske
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}// EOF
// Hier ist das ganze zu EndePFSense Profil
Ein neues IPSex Profil in unserer PFSense mit folgenden Einstellungen:
Interface: WAN (feste IPAdresse wird verwendet, bei dynamischen ändern sich ein paar Dinge)
Local Subnet: LAN subnet
Remote subnet: xx.xx.xx.0/yy (Die Adresse eures Subnetz 192.168.50.0 wäre eines, yy steht für die Subnetzmaske -> 24 = 255.255.255.0)
Remote gateway: xx.xx.xx.xx (Die öffentliche IP eurer Fritzbox oder ein DNS Name, ich verwendete DynDNS)
Description: (irgendwas)
Negotation mode: aggressive
My identifier: user FQDN - katzenstreu@meinefirma.de (tragt hier das gleiche wie in der FB Konfig unter "remoteid user_fqdn" ein)
Encyption algorithm: 3DES
Hash algorithm: SHA1
DH key group: 1 (768 bit)
Lifetime: 3600
Authentication method: Pre-shared key
Pre-sharedkey: (das gleiche Passwort wie zuvor in der Fritzbox Konfig)
Certificate: nix (komplett leer lasse da wir einen PSK verwenden)
Protocol: ESP
Encryption alg.: 3DES, Rijndael (AES), Rijindal 256
Hash algorithm.: SHA1
PFS Key group: 1 (768 bit)
Lifetime: 3600