Site to Site VPN IPSec PfSense -- Fritzbox Tunnel down nach Disconnect oder Reboot
Moin allerseits!
Szenario: Testumgebung für Site To Site VPN mit PfSense 2.1 (stable) auf der einen Seite und Fritzbox 2170 auf der anderen.
PfSense hat feste WAN IP , die Fritzbox dyn IP mit DynDNS.
Problem: Der Tunnel wird aufgebaut, kann aber nach einem Reboot der Fritzbox oder der geliebten Zwangstrennung nicht automatisch wieder hergestellt werden.
Fritzbox sagt VPN verbunden, PfSense verbidet sich auch, schickt aber einseitig keinen Traffic durch die Leitung. (Routingproblem?)
Workaround momentan: Auf der PfSense einloggen, Racoon stoppen, unter Status --> IPSec --> SAD alle SA's händisch rauslöschen und Racoon neu starten. Tunnel wird wieder aufgebaut. Für den Produktiveinsatz undenkbar.
Es sieht also so aus, als hätte die PfSense Probleme, ungültige SA's zu erkennen und zu löschen. Häufig sind es nicht nur die benötigten 2 Eintäge sondern es hängen da noch mehrere ältere und der der Fehler scheint aufzutreten, da Fritzbox und PfSense verschiedene SA's verwenden, die beide gültig sind.
Es werden also immer wieder neue Phase 2 SA's generiert, auf der PfSense Seite gibt es aber keinen Traffic (0 bytes)
"Prefer older SA's" ist nicht angehakt, Dead peer Detection steht auf 30 sek.
Das Problem wurde auch im PfSense Forum diskutiert, ein älterer Bug in Racoon sollte behoben sein, die Jungs von PfSense können das nicht reproduzieren, meist traten die Probleme aber auch bei mobilen Clients auf.
Liegt das evtl. am Zusammenspiel mit der Fritzbox? Hat jemand ähnliche Probleme gehabt und lösen können?
Hat jemand ein stabiles Site to Site VPN mit Fritzbox und PfSense im Einsatz? Wenn ja, welche Modelle / Versionen, Einstellungen?
Das Internet gibt zwar einiges her, was auf den Fehler in Racoon hindeutet, wie man das fixt konnte ich aber nicht herausfinden.
Die PfSense bevorzugt für Phase 1 eine Key Lifetime von 28800 und Phase 2 3600. Fritze will beiderseitig 3600. Kann man die Key Lifetime auf der Fritzbox einstellen? Finde im Netz keinen Hinweis, nur dass 3600 genommen werden sollen.
Ich bin mit meinem Latein gerade ziemlich am Ende...
Viele Grüße
Der Buc
Szenario: Testumgebung für Site To Site VPN mit PfSense 2.1 (stable) auf der einen Seite und Fritzbox 2170 auf der anderen.
PfSense hat feste WAN IP , die Fritzbox dyn IP mit DynDNS.
Problem: Der Tunnel wird aufgebaut, kann aber nach einem Reboot der Fritzbox oder der geliebten Zwangstrennung nicht automatisch wieder hergestellt werden.
Fritzbox sagt VPN verbunden, PfSense verbidet sich auch, schickt aber einseitig keinen Traffic durch die Leitung. (Routingproblem?)
Workaround momentan: Auf der PfSense einloggen, Racoon stoppen, unter Status --> IPSec --> SAD alle SA's händisch rauslöschen und Racoon neu starten. Tunnel wird wieder aufgebaut. Für den Produktiveinsatz undenkbar.
Es sieht also so aus, als hätte die PfSense Probleme, ungültige SA's zu erkennen und zu löschen. Häufig sind es nicht nur die benötigten 2 Eintäge sondern es hängen da noch mehrere ältere und der der Fehler scheint aufzutreten, da Fritzbox und PfSense verschiedene SA's verwenden, die beide gültig sind.
Es werden also immer wieder neue Phase 2 SA's generiert, auf der PfSense Seite gibt es aber keinen Traffic (0 bytes)
"Prefer older SA's" ist nicht angehakt, Dead peer Detection steht auf 30 sek.
Das Problem wurde auch im PfSense Forum diskutiert, ein älterer Bug in Racoon sollte behoben sein, die Jungs von PfSense können das nicht reproduzieren, meist traten die Probleme aber auch bei mobilen Clients auf.
Liegt das evtl. am Zusammenspiel mit der Fritzbox? Hat jemand ähnliche Probleme gehabt und lösen können?
Hat jemand ein stabiles Site to Site VPN mit Fritzbox und PfSense im Einsatz? Wenn ja, welche Modelle / Versionen, Einstellungen?
Das Internet gibt zwar einiges her, was auf den Fehler in Racoon hindeutet, wie man das fixt konnte ich aber nicht herausfinden.
Die PfSense bevorzugt für Phase 1 eine Key Lifetime von 28800 und Phase 2 3600. Fritze will beiderseitig 3600. Kann man die Key Lifetime auf der Fritzbox einstellen? Finde im Netz keinen Hinweis, nur dass 3600 genommen werden sollen.
Ich bin mit meinem Latein gerade ziemlich am Ende...
Viele Grüße
Der Buc
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 228049
Url: https://administrator.de/contentid/228049
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
18 Kommentare
Neuester Kommentar
Das Tutorial dazu hast du gelesen ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Keylifetime Parameter usw. sollten auf beiden Seiten immer identisch sein wenn irgend möglich. Das gilt generell für alle Paratmeter Einstellungen der Phase 1 und 2.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Keylifetime Parameter usw. sollten auf beiden Seiten immer identisch sein wenn irgend möglich. Das gilt generell für alle Paratmeter Einstellungen der Phase 1 und 2.
Hallo,
DynDNS, versuch den doch einmal ob es damit funktioniert.
Denn so wie sich das hier alles ließt, würde ich einmal darauf tippen
das die Synchronisation mit dem DynDNS Dienst nicht funktioniert
so das ein neue Verbindungsaufnahme nicht funktionieren kann.
Ich denken dass bei anderen Leuten mit einem ähnlichen Problem
das zum Erfolg geführt hat und daher solltest Du es einfach einmal
ausprobieren.
Gruß
Dobby
PfSense hat feste WAN IP , die Fritzbox dyn IP mit DynDNS.
AVM bietet mit MyFritz einen eigenen Dienst an, halt ähnlich wieDynDNS, versuch den doch einmal ob es damit funktioniert.
Denn so wie sich das hier alles ließt, würde ich einmal darauf tippen
das die Synchronisation mit dem DynDNS Dienst nicht funktioniert
so das ein neue Verbindungsaufnahme nicht funktionieren kann.
Ich denken dass bei anderen Leuten mit einem ähnlichen Problem
das zum Erfolg geführt hat und daher solltest Du es einfach einmal
ausprobieren.
Gruß
Dobby
Das ist vermutlich dann wirklich ein Problem des DynDNS Handlings auf der FB da es mit anderen Komponenten nicht passiert.
Warum lässt du nicht einfach den IPsec VPN Aufbau immer durch die FB aktiv initiieren, die hat doch immer eine feste Zugriffs WAN IP und kann so niemals in die Verlegenheit kommen das der DynDNS Dienst oder Funktion mal nicht erreichbar ist.
Dann sollte das verhalten eigentlich nicht mehr auftreten !
Warum lässt du nicht einfach den IPsec VPN Aufbau immer durch die FB aktiv initiieren, die hat doch immer eine feste Zugriffs WAN IP und kann so niemals in die Verlegenheit kommen das der DynDNS Dienst oder Funktion mal nicht erreichbar ist.
Dann sollte das verhalten eigentlich nicht mehr auftreten !
"Force IPsec Reload on Failover"
Dual WAN hast Du doch aber gar nicht, oder?Hast Du das mit dem MyFritz einmal ausprobiert, der Dienst
ist umsonst sprich also kostenlos, nur einmal um das ganze
zu testen ob es damit funktioniert?
Gruß
Dobby
Hallo,
Also ich denke das es dann wohl eher ein Konfigurationsproblem der pfSense
und/oder der Fritz!Box, denn so ein VPN Konzept ist zwar auf der einen Seite
nichts leichtes, aber eben auch nichts unmögliches und das läuft so überall
in Deutschland ohne Probleme und dafür eine dicke Firewall zu kaufen und dann
auch noch mit Support ist schon ein wenig scheinheilig.
Dann biete doch lieber hier 50 € oder mehr an und das auch in einem neuen
Beitrag mit Verweis auf diesen Beitrag, das erscheint mir jedenfalls besser
als hier nur herum zu heulen und die VPN Verbindung steht immer noch nicht.
Gruß
Dobby
Wahrscheinlich ist meine "Produktiv-PfSense" i.A.
Wenn da das neu aufsetzen auch nix bringt, ist das Thema PfSense IPSec für mich durch.
Wenn Du bei Führerscheinprüfung einmal durchfällst lässt Du es dann auch sein?Wenn da das neu aufsetzen auch nix bringt, ist das Thema PfSense IPSec für mich durch.
Also ich denke das es dann wohl eher ein Konfigurationsproblem der pfSense
und/oder der Fritz!Box, denn so ein VPN Konzept ist zwar auf der einen Seite
nichts leichtes, aber eben auch nichts unmögliches und das läuft so überall
in Deutschland ohne Probleme und dafür eine dicke Firewall zu kaufen und dann
auch noch mit Support ist schon ein wenig scheinheilig.
Dann biete doch lieber hier 50 € oder mehr an und das auch in einem neuen
Beitrag mit Verweis auf diesen Beitrag, das erscheint mir jedenfalls besser
als hier nur herum zu heulen und die VPN Verbindung steht immer noch nicht.
Gruß
Dobby
Wie geht das denn nun mit der Verbindung, dass nur die Fritze aktiv aufbaut? Das interessiert mich wahrhaftig noch, lass mich nicht dumm sterben...
Folgenden Parameter in die VPN-Config der Fritte eintragen, und die Config neu importieren:always_renew = yes;
Grüße Uwe
Klasse ! Danke für das super Feedback. Ich stelle im IPsec Tutorial einen Verweis auf diesen Thread ein ! MD5 kann ich leider nicht testen da ich keine FB habe Muss wohl doch mal eine ersteigern bei eBay. Nach dem VoIP Security Desaster mit den gehackten Teilen gibts die ja nun zuhauf... (Bei pfSense weiss man wenigstens was man hat...)
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das ALIX hat dedizierte Crypto Hardware an Bord das die Encryption in Hardware macht (pfSense supportet das wenn man es im Setup aktiviert !) und man damit (fast) wirespeed im Durchsatz hinbekommt....
da meine PfSense auf eher schwacher Hardware läuft (FSC Futro S300)
Dann nimm ein ALIX Board wenn dir 100 Mbit LAN Ports reichen:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das ALIX hat dedizierte Crypto Hardware an Bord das die Encryption in Hardware macht (pfSense supportet das wenn man es im Setup aktiviert !) und man damit (fast) wirespeed im Durchsatz hinbekommt....
Vielen Dank für die hilfreiche Info! Da die AVM Links zu den PDFs leider nicht mehr funktionieren hier die aktuellen Links:
http://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_1.pdf
http://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_2.pdf
http://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_1.pdf
http://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_2.pdf