2
VPN Pfsense 2.2.x mit Fritzbox im Einsatz?
Moinsen zusammen!
Hat jemand einen VPN Tunnel mit einer PfSense 2.2.x und einer FB auf der Gegenseite realisieren können?
Wenn ja, mit welchen Settings?
Ich scheitere gerade nach einem PfSense Upgrade damit, das VPN zur Fritzbox 2170 wiederherzustellen.
Habe viel mit den Einstellungen gespielt, aber nix funktionierendes gefunden.
Ein Feedback wie "es läuft bei mir mit Settings xyz" wäre hilfreich!
LG
ein etwas entnervter Buc
P.S.: Da ich es in einem anderen Thread erwähnt habe: ne Buddel Rum ist ausgelobt.
Hat jemand einen VPN Tunnel mit einer PfSense 2.2.x und einer FB auf der Gegenseite realisieren können?
Wenn ja, mit welchen Settings?
Ich scheitere gerade nach einem PfSense Upgrade damit, das VPN zur Fritzbox 2170 wiederherzustellen.
Habe viel mit den Einstellungen gespielt, aber nix funktionierendes gefunden.
Ein Feedback wie "es läuft bei mir mit Settings xyz" wäre hilfreich!
LG
ein etwas entnervter Buc
P.S.: Da ich es in einem anderen Thread erwähnt habe: ne Buddel Rum ist ausgelobt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297648
Url: https://administrator.de/contentid/297648
Printed on: April 26, 2024 at 17:04 o'clock
2 Comments
Latest comment
Hi,
das funktioniert bei mir tadellos mit pfSense 2.2.6 und einem IPSec-Tunnel zur Fritte.
Das Gegenstück ist Fritte 3370, leider habe ich das z.Zt. nicht in Betrieb, da die Fritte sonst an UMTS-Stick im Garten Ihren Dienst macht.
Du kannst aber das Teil auch Freetzen und OpenVPN nehmen, ist allerdings etwas Frickelei.
Gruß orcape
das funktioniert bei mir tadellos mit pfSense 2.2.6 und einem IPSec-Tunnel zur Fritte.
Enable IPsec
IKE Remote Gateway Mode P1 Protocol P1 Transforms P1 Description
V1 WAN
gerda.no-ip.org main 3DES SHA1 Achilleus
Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms P2 Auth Methods
tunnel LAN 192.168.33.0/24 ESP 3DES SHA1 edit add Das Gegenstück ist Fritte 3370, leider habe ich das z.Zt. nicht in Betrieb, da die Fritte sonst an UMTS-Stick im Garten Ihren Dienst macht.
Du kannst aber das Teil auch Freetzen und OpenVPN nehmen, ist allerdings etwas Frickelei.
Gruß orcape
1
Dank dir orcape!
Das musste ja auch gehen. Da ich aber dermassen viele Beiträge im Netz gefunden habe, dass ehemals funktionierende Tunnel nach einem Upgrade von 2.1.5 auf 2.2 nicht mehr gehen, war ich am zweifeln.
Die Lösung ist ganz einfach und war hier im Forum zu finden:
Bei aktiviertem Mobile Client Support müssen seit 2.2 und StrongSwan ALLE PSK's der verschiedenen Verbindungen gleich sein. Die mobilen User mit persönlichen PSK's zu versehen, wie das noch auf der PfSense 2.1.x unter Racoon problemlos funktionierte geht offenbar nicht mehr.
Sonst führt das zu folgendem Fehlerbild, das auf der PfSense Page als "Phase 1 Pre-Shared Key Mismatch" erklärt wird.
Initiator
charon: 09[ENC] invalid HASH_V1 payload length, decryption failed?
charon: 09[ENC] could not decrypt payloads
charon: 09[IKE] message parsing failed
Responder
charon: 09[ENC] invalid ID_V1 payload length, decryption failed?
charon: 09[ENC] could not decrypt payloads
charon: 09[IKE] message parsing failed
Man sucht sich bloss nen Wolf, wenn man zu 100 Prozent sicher ist, dass die Keys für die Verbindung übereinstimmen.
Ob das ein Bug oder ein Feature ist?
Das blöde Upgrade hat mich mein komplettes Wochenende incl. schlafloser Nacht gekostet.
Jetzt kann ich noch den blöden nicht startenden c-icap Dienst im Squid angehen und dann habe ich das gleiche wie vorher nur mit höherer Versionsnummer.
CU
Buc
Edit: Konnte das Verhalten nicht reproduzieren. Im Moment läuft die PfSense mit verschiedenen PSK's für Site2Site und Mobil prima. Evtl lag es daran, dass beim Upgrade irgendein Wert nicht korrekt übertragen wurde.
Nun kann sie aber Mobil kein AES-128 mehr in der Phase1. AES-256 läuft aber.
Der StrongSwan (oder die Integration) scheint doch noch etwas beta zu sein
Das musste ja auch gehen. Da ich aber dermassen viele Beiträge im Netz gefunden habe, dass ehemals funktionierende Tunnel nach einem Upgrade von 2.1.5 auf 2.2 nicht mehr gehen, war ich am zweifeln.
Die Lösung ist ganz einfach und war hier im Forum zu finden:
Bei aktiviertem Mobile Client Support müssen seit 2.2 und StrongSwan ALLE PSK's der verschiedenen Verbindungen gleich sein. Die mobilen User mit persönlichen PSK's zu versehen, wie das noch auf der PfSense 2.1.x unter Racoon problemlos funktionierte geht offenbar nicht mehr.
Sonst führt das zu folgendem Fehlerbild, das auf der PfSense Page als "Phase 1 Pre-Shared Key Mismatch" erklärt wird.
Initiator
charon: 09[ENC] invalid HASH_V1 payload length, decryption failed?
charon: 09[ENC] could not decrypt payloads
charon: 09[IKE] message parsing failed
Responder
charon: 09[ENC] invalid ID_V1 payload length, decryption failed?
charon: 09[ENC] could not decrypt payloads
charon: 09[IKE] message parsing failed
Man sucht sich bloss nen Wolf, wenn man zu 100 Prozent sicher ist, dass die Keys für die Verbindung übereinstimmen.
Ob das ein Bug oder ein Feature ist?
Das blöde Upgrade hat mich mein komplettes Wochenende incl. schlafloser Nacht gekostet.
Jetzt kann ich noch den blöden nicht startenden c-icap Dienst im Squid angehen und dann habe ich das gleiche wie vorher nur mit höherer Versionsnummer.
CU
Buc
Edit: Konnte das Verhalten nicht reproduzieren. Im Moment läuft die PfSense mit verschiedenen PSK's für Site2Site und Mobil prima. Evtl lag es daran, dass beim Upgrade irgendein Wert nicht korrekt übertragen wurde.
Nun kann sie aber Mobil kein AES-128 mehr in der Phase1. AES-256 läuft aber.
Der StrongSwan (oder die Integration) scheint doch noch etwas beta zu sein