PfSense 2.3 VPN mit Fritzbox

agreen

Hallo zusammen,

ich finde leider keine saubere Anleitung für eine VPN Verbindung zwischen der aktuellen pfSense 2.3 und Fritzbox (7270, 7390 und 7490).
Bei mir wird leider keine Verbindung aufgebaut. Mit der pfSense 2.1.5 funktioniert alles.

Gerber

Hi agreen,

ich finde leider keine saubere Anleitung für eine VPN Verbindung zwischen der aktuellen pfSense 2.3 und Fritzbox (7270, 7390 und 7490).
Bei mir wird leider keine Verbindung aufgebaut. Mit der pfSense 2.1.5 funktioniert alles.

Wir haben leider keine Glaskugel vor uns stehen.

Ein wenig mehr Informationen wären ganz super :D.

Grüße

Guest

Versuch macht kluch!

pfSense 2.2 <-> AVM - Fritzbox (VPN Net2Net)
Fritz!Box Site-to-Site VPN zu pfSense 2.2

agreen

die znil Anleitung habe ich bereits getestet … ohne Erfolg.
Die andere Anleitung werde ich demnächst mal Abends ausprobieren.

comtel

Habe die pfSense 2.3 mit 4 Fritzen verbunden. Funktioniert ohne Probleme.
Tipp: schau dir mal deine Pre-Shared Key's bei IPSec an. Diese müssen bei allen VPN (auch Mobile) gleich sein!!!
Die Peer identifier können alle unterschiedlich sein

agreen

wo bleibt da die Sicherheit?

welche Fritten (modele) hast du verbunden?

comtel

Die Frage hast du nicht gestellt, Sicher ist vielleicht was anderes. Allerdings ist der Peer identifier auch für die "Sicherheit" verantwortlich.
Ich habe überall Peer identifier mit min. 20 Zeichen. Meine Fritz!Boxen sind alle 7390 oder 7490.
Die Fritz!Boxen haben alle eine Feste-IP, somit dürfen nur die IP-Adressen der Fritz!Boxen per Firewall-Regel eine Verbindung aufbauen.

Die Fritz!Boxen können ja sowieso nur in der DH-Group (1) 768 bit….

Speedy_08

Hallo,

ich glaube ich muss mal ein paar Sachen korrigieren, die so schlichtweg nicht ganz passen  ;)
Ich habe auch unter anderem einige Fritzboxen mit der pfSense 2.3 verbunden

@comtel:

Tipp: schau dir mal deine Pre-Shared Key's bei IPSec an. Diese müssen bei allen VPN (auch Mobile) gleich sein!!!

Bei mir hat jeder IPSEC Tunnel seinen eigenen PSK, alles andere wäre wohl reichlich sinnbefreit.

@comtel:

Die Fritz!Boxen können ja sowieso nur in der DH-Group (1) 768 bit….

Meine Fritzboxen sind alle mit AES256/SHA1/DH2  verbunden!

VG
Matthias

agreen

@Speedy_08: kannst du uns bitte ein Beispiel geben (Screenshot von der pfSense Konfig und Fritzbox Configfile)

@comtel: habe ca. 8 fritten verbunden (7270, 7390, 7312 und 7490)

lowSense

Hallo Zusammen,
gibt es mittlerweile Info zu den Configs von Speedy08??
Würde mich auch sehr interessieren - bei mir läuft die Verbindung zu 3 Fritzboxen zwar recht gut aber es gibt sporadisch immer mal wieder Abbrüche
Danke für Infos

futzl

Hi Leute,
ich bin hier ziemlich am verzweifeln: habe auf der einen Seite pfsense 2.3.2 und auf der anderen Seite eine Fritzbox 7490 mit 06.60. Habe alle Links, die ich im Internet gefunden hab, abgearbeitet (auch die beiden die weiter oben gepostet wurden), leider ohne Erfolg.. Configs von Speedy08 die unter 2.3 funktionieren wären sehr hilfreich.
Danke.

nachtmensch

Alle?

https://forum.pfsense.org/index.php?topic=118363.msg656051#msg656051

Ich hatte genau dieses Thema diese Woche…

Gruß

futzl

Vielen Dank!
Habe das dann auf beiden Seiten nochmal neu konfiguriert und bekomme trotzdem folgende Meldung (xxx.xxx.xxx.xxx ist die IP der pfsense box, yyy.yyy.yyy.yyy die der fritzbox):

Sep 23 16:42:08	charon		10[NET] <con2000|53>sending packet: from xxx.xxx.xxx.xxx[4500] to 79.208.237.206[4500] (100 bytes)
Sep 23 16:42:08	charon		10[IKE] <con2000|53>sending retransmit 4 of request message ID 0, seq 3
Sep 23 16:41:45	charon		10[NET] <con2000|53>sending packet: from xxx.xxx.xxx.xxx4500] to 79.208.237.206[4500] (100 bytes)
Sep 23 16:41:45	charon		10[IKE] <con2000|53>sending retransmit 3 of request message ID 0, seq 3
Sep 23 16:41:32	charon		10[NET] <con2000|53>sending packet: from xxx.xxx.xxx.xxx[4500] to yyy.yyy.yyy.yyy[4500] (100 bytes)
Sep 23 16:41:32	charon		10[IKE] <con2000|53>sending retransmit 2 of request message ID 0, seq 3
Sep 23 16:41:25	charon		10[NET] <con2000|53>sending packet: from xxx.xxx.xxx.xxx[4500] to yyy.yyy.yyy.yyy[4500] (100 bytes)
Sep 23 16:41:25	charon		10[IKE] <con2000|53>sending retransmit 1 of request message ID 0, seq 3
Sep 23 16:41:21	charon		10[NET] <con2000|53>sending packet: from xxx.xxx.xxx.xxx[4500] to yyy.yyy.yyy.yyy[4500] (100 bytes)
Sep 23 16:41:21	charon		10[ENC] <con2000|53>generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Sep 23 16:41:21	charon		10[ENC] <con2000|53>parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Sep 23 16:41:21	charon		10[NET] <con2000|53>received packet: from yyy.yyy.yyy.yyy[500] to xxx.xxx.xxx.xxx[500] (196 bytes)
Sep 23 16:41:20	charon		10[NET] <con2000|53>sending packet: from xxx.xxx.xxx.xxx[500] to yyy.yyy.yyy.yyy[500] (212 bytes)
Sep 23 16:41:20	charon		10[ENC] <con2000|53>generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Sep 23 16:41:20	charon		10[ENC] <con2000|53>received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
Sep 23 16:41:20	charon		10[IKE] <con2000|53>received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Sep 23 16:41:20	charon		10[IKE] <con2000|53>received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Sep 23 16:41:20	charon		10[IKE] <con2000|53>received NAT-T (RFC 3947) vendor ID
Sep 23 16:41:20	charon		10[IKE] <con2000|53>received DPD vendor ID
Sep 23 16:41:20	charon		10[IKE] <con2000|53>received XAuth vendor ID
Sep 23 16:41:20	charon		10[ENC] <con2000|53>parsed ID_PROT response 0 [ SA N((24576)) V V V V V V ]
Sep 23 16:41:20	charon		10[NET] <con2000|53>received packet: from yyy.yyy.yyy.yyy[500] to xxx.xxx.xxx.xxx[500] (228 bytes)
Sep 23 16:41:20	charon		10[NET] <con2000|53>sending packet: from xxx.xxx.xxx.xxx[500] to yyy.yyy.yyy.yyy[500] (176 bytes)
Sep 23 16:41:20	charon		10[ENC] <con2000|53>generating ID_PROT request 0 [ SA V V V V V ]
Sep 23 16:41:20	charon		10[IKE] <con2000|53>initiating Main Mode IKE_SA con2000[53] to yyy.yyy.yyy.yyy</con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53></con2000|53> 

Ich sehe aber auf der pfsense box keine echte Fehlermeldung, sondern er versucht mehrmals sich zu verbinden.

nachtmensch

:o
keinen Plan…

Force NAT bei Phase 1 in der pfSense eingeschaltet?

Fritzbox neu starten?

futzl

Leider alles schon gemacht. Am Schluss quittiert er mit

Sep 23 17:22:20	charon		10[IKE] <con2000|59>establishing IKE_SA failed, peer not responding</con2000|59> 

Schade.

nachtmensch

Da bin ich leider raus…

futzl

Schlag mich tot. Ich hatte früher (vor Wochen) eine 'roadwarrior' Verbindung eingerichtet. Diese habe ich deaktiviert, jetzt geht das IPSEC zur Fritzbox. Warum sollte das denn so sein? Diese Verbindungen haben doch nichts miteinander zu tun. Naja. Zunächst Begeisterung, dass es funktioniert. Aber weshalb die beiden Verbindungen sich so beeinflussen? Aber danke an alle, die Configs gepostet haben!

nachtmensch

Einen Roadwarrior auf der Fritzbox?

futzl

Zugang auf die pfsense box für Mobiltelefone via IPSEC. Das ausgeschaltet. Dann geht IPSEC von pfsense auf Fritzbox. Aber jetzt kann ich mit meinem Mobiltelefon nicht mehr auf das Heimnetz (pfsense) zugreifen.

nachtmensch

Ok, der Fehler konnte bei mir nicht auftreten.
Meine Roadwarrior nutzen OpenVPN…