the-buccaneer
Goto Top

Site to Site VPN IPSec PfSense -- Fritzbox Tunnel down nach Disconnect oder Reboot

Moin allerseits!

Szenario: Testumgebung für Site To Site VPN mit PfSense 2.1 (stable) auf der einen Seite und Fritzbox 2170 auf der anderen.

PfSense hat feste WAN IP , die Fritzbox dyn IP mit DynDNS.

Problem: Der Tunnel wird aufgebaut, kann aber nach einem Reboot der Fritzbox oder der geliebten Zwangstrennung nicht automatisch wieder hergestellt werden.

Fritzbox sagt VPN verbunden, PfSense verbidet sich auch, schickt aber einseitig keinen Traffic durch die Leitung. (Routingproblem?)

Workaround momentan: Auf der PfSense einloggen, Racoon stoppen, unter Status --> IPSec --> SAD alle SA's händisch rauslöschen und Racoon neu starten. Tunnel wird wieder aufgebaut. Für den Produktiveinsatz undenkbar.

Es sieht also so aus, als hätte die PfSense Probleme, ungültige SA's zu erkennen und zu löschen. Häufig sind es nicht nur die benötigten 2 Eintäge sondern es hängen da noch mehrere ältere und der der Fehler scheint aufzutreten, da Fritzbox und PfSense verschiedene SA's verwenden, die beide gültig sind.

Es werden also immer wieder neue Phase 2 SA's generiert, auf der PfSense Seite gibt es aber keinen Traffic (0 bytes)

"Prefer older SA's" ist nicht angehakt, Dead peer Detection steht auf 30 sek.

Das Problem wurde auch im PfSense Forum diskutiert, ein älterer Bug in Racoon sollte behoben sein, die Jungs von PfSense können das nicht reproduzieren, meist traten die Probleme aber auch bei mobilen Clients auf.

Liegt das evtl. am Zusammenspiel mit der Fritzbox? Hat jemand ähnliche Probleme gehabt und lösen können?
Hat jemand ein stabiles Site to Site VPN mit Fritzbox und PfSense im Einsatz? Wenn ja, welche Modelle / Versionen, Einstellungen?

Das Internet gibt zwar einiges her, was auf den Fehler in Racoon hindeutet, wie man das fixt konnte ich aber nicht herausfinden.

Die PfSense bevorzugt für Phase 1 eine Key Lifetime von 28800 und Phase 2 3600. Fritze will beiderseitig 3600. Kann man die Key Lifetime auf der Fritzbox einstellen? Finde im Netz keinen Hinweis, nur dass 3600 genommen werden sollen.

Ich bin mit meinem Latein gerade ziemlich am Ende...

Viele Grüße

Der Buc

Content-ID: 228049

Url: https://administrator.de/contentid/228049

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

aqui
aqui 29.01.2014 um 09:28:37 Uhr
Goto Top
Das Tutorial dazu hast du gelesen ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Keylifetime Parameter usw. sollten auf beiden Seiten immer identisch sein wenn irgend möglich. Das gilt generell für alle Paratmeter Einstellungen der Phase 1 und 2.
the-buccaneer
the-buccaneer 29.01.2014 um 09:58:35 Uhr
Goto Top
Klar sicher aqui.

Nicht nur das, aber danach bin ich ja vorgegangen. Tunnel wird ja auch aufgebaut und alles ist erreichbar, aber nach disconnect gibt es keinen Datendurchsatz mehr, wenn ich nicht das beschriebene Prozedere ausführe.
Klar sind die Einstellungen für Phae 1 und 2 identisch, es gibt auch offenbar nur eine funktionierende Konfiguration, wie ich durch langes trial and error herausgefunden habe. (Auch wenn die Fritzbox nach AVM auch andere Kombis können soll)

des3 - sha1 - lifetime 3600 - dh keygroup 1 für Phase 1 und 2.
Essentiell wichtig auf der PfSense Seite ist noch: Policy Generation: unique, Proposal Checking: strict. Sonst geht da gar nix. (Auch und gerade z.B für Shrew)

Keine Idee?

Der Buc
108012
108012 29.01.2014 um 10:41:07 Uhr
Goto Top
Hallo,

PfSense hat feste WAN IP , die Fritzbox dyn IP mit DynDNS.
AVM bietet mit MyFritz einen eigenen Dienst an, halt ähnlich wie
DynDNS, versuch den doch einmal ob es damit funktioniert.

Denn so wie sich das hier alles ließt, würde ich einmal darauf tippen
das die Synchronisation mit dem DynDNS Dienst nicht funktioniert
so das ein neue Verbindungsaufnahme nicht funktionieren kann.

Ich denken dass bei anderen Leuten mit einem ähnlichen Problem
das zum Erfolg geführt hat und daher solltest Du es einfach einmal
ausprobieren.

Gruß
Dobby
colinardo
colinardo 29.01.2014 aktualisiert um 10:53:02 Uhr
Goto Top
Schließe mich @d.o.b.b.y an, mit DynDNS und der Fritz!Box kann ich auch so manche Story erzählen. Die Fritte ist in dieser Hinsicht manchmal ein bisschen nachlässig, kommt aber auch auf die Zuverlässigkeit des verwendeten DynDNS Providers an.

Grüße Uwe
aqui
aqui 29.01.2014 um 13:17:52 Uhr
Goto Top
Das ist vermutlich dann wirklich ein Problem des DynDNS Handlings auf der FB da es mit anderen Komponenten nicht passiert.
Warum lässt du nicht einfach den IPsec VPN Aufbau immer durch die FB aktiv initiieren, die hat doch immer eine feste Zugriffs WAN IP und kann so niemals in die Verlegenheit kommen das der DynDNS Dienst oder Funktion mal nicht erreichbar ist.
Dann sollte das verhalten eigentlich nicht mehr auftreten !
the-buccaneer
the-buccaneer 29.01.2014 um 13:56:44 Uhr
Goto Top
Vielen Dank für die schnellen Antworten!

Sorry, ist nicht DynDNS sondern No-IP. Adresse wird korrekt registriert, die PfSense erkennt auch, dass die IP des Gegenübers verändert ist.
Name wird beim Ping von der Pfsense aus auch korrekt aufgelöst.

Die Verbindung wird auch wiederhergestellt, Phase 1 und 2 laufen ohne zu murren durch, es ist der PfSense bloss nicht möglich, Daten zur Fritzbox zu schicken. Von der FB zur PfSense findet Traffic statt (!?)

Source PfSense bleibt bei allen automatischen Verbindungsversuchen auf 0 B. Erst nach dem beschriebenen Prozedere funktioniert es wieder auf Anhieb.


Source Destination Protocol SPI Enc. alg. Auth. alg. Data
85.183.72.x 85.180.152.x ESP bde63036 3des-cbc hmac-sha1 0 B
feste IP (Pf) dyn. IP Fritz
85.183.72.x 85.180.152.x ESP 684224ba 3des-cbc hmac-sha1 0 B
85.180.152.x 85.183.72.x ESP 0be6aad0 3des-cbc hmac-sha1 17919 B
85.180.152.x 85.183.72.x ESP 0c751ad0 3des-cbc hmac-sha1 748 B
85.180.152.x 85.183.72.x ESP 050c1493 3des-cbc hmac-sha1 80 B

Was muss ich an den Einstellungen vornehmen, damit die Fritzbox die Einwahl vornimmt und die PfSense passiv bleibt? Das würde ich trotz offenbar korrekter Namensauflösung gerne noch testen.

Viele Grüße

Der Buccanero
the-buccaneer
the-buccaneer 30.01.2014 um 13:56:33 Uhr
Goto Top
Schade, dass offenbar keiner weiss, wie man das realisiert, dass die PfSense passiv bleibt und die Fritzbox die Einwahl vornimmt. (Umgekehrt wäre mir auch geholfen)

Immer wenns scheitert, findet sich in den Logs "respond new phase 2 negotiation:......." Phase 2 SA's werden dann etabliert. Wenige Sekunden drauf: "Initiate new phase 2 negotiation....." (neue) Phase 2 SA's werden wieder etabliert. kurze Zeit später: "deleting a generated policy" Security Policy wird gelöscht und das wars dann mit lustig.

Meine Erklärung: beide initiieren die Phase 2, keiner weiss nix mehr und mind. PfSense stellt sich erstmal tot.

Wenn ich das richtig sehe ist als "Fix" für dieses Problem unter System-->Advanced-->Misc. die Funktion "Force IPsec Reload on Failover" dazugekommen.

Leider hilft das bei meinen Verbindungsproblemen nur manchmal.

Im Netz ist zur einseitigen Verbindungsherstellung nix zu finden und es gibt zwar sowas wie passive modus für Racoon, die PfSense bietet aber mindestens über die GUI keine Einstellung dafür an.

Also büttebütte: Wie stell ich das an?

der bucanehro
108012
108012 30.01.2014 um 14:08:50 Uhr
Goto Top
"Force IPsec Reload on Failover"
Dual WAN hast Du doch aber gar nicht, oder?

Hast Du das mit dem MyFritz einmal ausprobiert, der Dienst
ist umsonst sprich also kostenlos, nur einmal um das ganze
zu testen ob es damit funktioniert?

Gruß
Dobby
the-buccaneer
the-buccaneer 30.01.2014 um 16:39:03 Uhr
Goto Top
Na ja, Dual WAN nicht, aber wie ich das irgendwo rausgezogen habe, reagiert die Funktion auf eine Nichterreichbarkeit des Tunnels wg. einer IP-Adressänderung mit einem Neustart von racoon, was im allgemeinen das Problem lösen soll. War nen Versuch wert, hat auch teilweise geklappt.

MyFritz leider nicht für Fritzbox 2170. face-sad
the-buccaneer
the-buccaneer 01.02.2014 um 03:18:56 Uhr
Goto Top
Update:

Mittlerweile die Fritzbox gegen ne 2te PfSense getauscht.

Neues Verhalten: Phase 2 SA's werden alle Minute erneuert aber kein Traffic. Settings definitiv gleich, keine Fehler im Log beidseitig. Beschriebener Workaround ist auch nicht mehr. Die Fritzbox ist offenbar recht fehlertolerant.

Wahrscheinlich ist meine "Produktiv-PfSense" i.A. Wenn da das neu aufsetzen auch nix bringt, ist das Thema PfSense IPSec für mich durch.

Wen's interessiert: Im PfSense Forum ebenfalls nen thread aufgemacht: https://forum.pfsense.org/index.php/topic,72099.0.html

Ob da noch ne Antwort kommt, wage ich aber auch zu bezweifeln. Einige ähnliche Fälle sind nur im Sande verlaufen. Nicht ein Response.

Evtl. lassen sich die Entwickler, die da ja fleissig aktiv sind aber auch bewusst etwas Zeit mit dem kostenlosen Support um die Support-Subscription etwas zu befördern. face-wink
Prinzipiell hätte ich da ja auch gerne für die Lösung finanziell geblutet, aber 600 $ vorneweg für 1 Jahr mit incl. 5 h. ist mir dann doch zu heftig... (Insbesondere, wenn die die Lösung dann am Ende "Neuaufsetzen" heisst)
Am Ende sind das 45 Euro monatlich für die supportete Version, da fahre ich mit Securepoint z.B. billiger. ;face-smile (Soweit ich mich erinnere 39,- ohne Zeitlimit)

Hier hat ja offenbar auch keiner mehr ne Idee...

Und jetzt freue ich mich auf mein Wochenende und versuche zu vergessen, wozu VPN-Verbindungen überhaupt nutze sein sollten...

der buco
108012
108012 01.02.2014 um 09:11:42 Uhr
Goto Top
Hallo,

Wahrscheinlich ist meine "Produktiv-PfSense" i.A.
Wenn da das neu aufsetzen auch nix bringt, ist das Thema PfSense IPSec für mich durch.
Wenn Du bei Führerscheinprüfung einmal durchfällst lässt Du es dann auch sein?

Also ich denke das es dann wohl eher ein Konfigurationsproblem der pfSense
und/oder der Fritz!Box, denn so ein VPN Konzept ist zwar auf der einen Seite
nichts leichtes, aber eben auch nichts unmögliches und das läuft so überall
in Deutschland ohne Probleme und dafür eine dicke Firewall zu kaufen und dann
auch noch mit Support ist schon ein wenig scheinheilig.

Dann biete doch lieber hier 50 € oder mehr an und das auch in einem neuen
Beitrag mit Verweis auf diesen Beitrag, das erscheint mir jedenfalls besser
als hier nur herum zu heulen und die VPN Verbindung steht immer noch nicht.


Gruß
Dobby
the-buccaneer
the-buccaneer 01.02.2014 um 16:34:18 Uhr
Goto Top
Hallo Dobby!

Ups!

Wenn Du bei Führerscheinprüfung einmal durchfällst lässt Du es dann auch sein?

Wie ich im von dir zitierten Satz bereits sagte, werde ich die Büchse neu aufsetzen. Daher verstehe ich deinen Satz nicht.

Also ich denke das es dann wohl eher ein Konfigurationsproblem der pfSense
und/oder der Fritz!Box, denn so ein VPN Konzept ist zwar auf der einen Seite
nichts leichtes, aber eben auch nichts unmögliches und das läuft so überall
in Deutschland ohne Probleme und dafür eine dicke Firewall zu kaufen und dann
auch noch mit Support ist schon ein wenig scheinheilig.

"Scheinheilig"? Weiss nicht, wie du das meinst. Ein allgemeiner Hinweis auf Konfiguationsprobleme ist hier wenig nützlich. Wie bereits beschrieben habe ich die Konfiguration aus aquis Anleitung 1:1 umgesetzt und in der Folge unzählige Male erneuert und herumprobiert. Ich habe jeden im Netz aufzufindenden Hinweis zu dem Fehlerbild gelesen und nach Möglichkeit umgesetzt. Abgesehen von den allgemeineren Beiträgen über IPSec, die ich mir zu Gemüte geführt habe. Mit dem oben beschriebenen Ergebnis. Nochmal: Die Settings sind definitiv zu 100% identisch. Sowohl bei PfSense-Fritz als auch jetzt mit Pfsense-PfSense.


Dann biete doch lieber hier 50 € oder mehr an und das auch in einem neuen
Beitrag mit Verweis auf diesen Beitrag, das erscheint mir jedenfalls besser
als hier nur herum zu heulen und die VPN Verbindung steht immer noch nicht.

Wie soll ich denn das verstehen? Muss ich hier jetzt 50 Euro anbieten, damit ich sachdienliche Hinweise bekomme?

Auf meine Frage, wie denn die von Aqui vorgeschlagene Lösung umzusetzen ist, bekam ich bisher z.B. kostenfrei keine Antwort... face-wink
Welchen Vorschlag soll ich denn noch umsetzen, als "hier nur herum zu heulen"? Ich habe keinen gelesen. Dass ich die PfSense auch mit MyFritz betreiben muss, kann ich wohl ausschliessen....

Ebenfalls Gruß

Buc
the-buccaneer
the-buccaneer 04.02.2014 um 04:53:29 Uhr
Goto Top
So, PfSense auf der "statischen Seite" neu aufgesetzt. Da hatte sich wohl irgendwas verhakt, ohne zu Fehlermeldungen zu führen...

Pfsense to PfSense Tunnel funktionieren mit den "Fritzbox-Einstellungen". Mitnichten ein Konfigurationsproblem. Wie erwartet. Bin 100 Prozent sicher, dass es mit der Fritzbox morgen auch geht. face-wink

Nebenbei noch nen Bugreport abgesetzt: https://redmine.pfsense.org/issues/3431

Keine deutschen Sonderzeichen im PSK für IPSec verwenden! Führt zu dem Fehler, dass PfSense nur sagt "acknowledge all: configuration restored" ohne weitere Hinweise.

Der reconnect Fehler ist in 2.1.1 prerelease behoben, scheint öfter aufgetaucht zu sein.

Das für die, denen es zukünftig vielleicht hilft und nicht für die, die denken, der Fragesteller ist zu blöd 2 Konfigurationen identisch einzurichten. :-p

@ aqui: Wie geht das denn nun mit der Verbindung, dass nur die Fritze aktiv aufbaut? Das interessiert mich wahrhaftig noch, lass mich nicht dumm sterben...

@ dobby: Den Hinweis, lieber in einem Forum zu bezahlen, statt den kostenpflichtigen Herstellersupport in Anspruch zu nehmen, habe ich wirklich noch nie gehört oder gelesen.

@ all: Warum in Foren allgemein so wenig auf KONKRETE Fragen des TO eingegangen wird, bleibt wohl für immer ein Rätsel...

Klüger,
der buco
colinardo
colinardo 04.02.2014 um 09:11:36 Uhr
Goto Top
Wie geht das denn nun mit der Verbindung, dass nur die Fritze aktiv aufbaut? Das interessiert mich wahrhaftig noch, lass mich nicht dumm sterben...
Folgenden Parameter in die VPN-Config der Fritte eintragen, und die Config neu importieren:
always_renew = yes;
Das führt dazu das die FB versucht den Tunnel permanent aufrecht zu erhalten.

Grüße Uwe
the-buccaneer
the-buccaneer 04.02.2014 um 09:40:05 Uhr
Goto Top
Danke Uwe!

Hatte woanders gelesen, dass das der dead peer detection entspricht (und entprechende Einträge im Log der PfSense gesehen)

Also würde ich auf der Fritzbox always_renew_yes setzen und auf der Gegenseite keine Site-to Site sondern eine Client-Einwahl konfigurieren.

(Hatte sowas auch getestet, aber da gar nix ging, konnte auch das nicht klappen)

Schade, dass AVM das nicht etwas genauer dokumentiert hat.

Gruß

Der Buc
the-buccaneer
Lösung the-buccaneer 05.02.2014 um 23:15:35 Uhr
Goto Top
So ich habe fertisch!

Fritzbox -- PfSense mit den in aquis Tutorial definierten Settings rennt wie erwartet. Die PfSense hatte sich verschluckt.

Geht aber auch anders. Mir hat dieser Zwang 3DES und SHA zu verwenden übel aufgestossen, da meine PfSense auf eher schwacher Hardware läuft (FSC Futro S300) und die Fritzbox 2170 sicher auch keine HD-Videos abspielen könnte und ich lieber AES und MD5 verwenden würde.

Also mal ein bisschen rumprobiert, ausser "Trial and error" bleibt einem ja nix, denn das Netz gibt wenig her und siehe da, es geht. face-wink

Fritzbox Site-to-Site-VPN mit Pfsense und AES und SHA (MD5 hab ich noch nicht rausbekommen)

Alles einrichten nach aquis hervorragendem Tutorial auf diesem Forum.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Dann in der Fritzbox cfg in Zeile 25 phase1ss = "def/3des/sha"; ersetzen durch phase1ss = "alt/aes/sha";

Dann in der PfSense oder Monowall (Mikrotik oder gar Cisco (siehe evtl. angepasste Einstellungen von AVM) wird das auch hinkriegen, kenne ich aber nicht) in der Phase 1 setzen:

Encryption Algorithm: AES 256 bits, Hash Algorithm SHA1, DH Keygroup 2. (Die DH Keygroup 2 definiert AVM mit "alt", muss man erstmal drauf kommen)

Phase 2:

In Zeile 44 der Fritzbox cfg "phase2ss = def/3des/sha" ersetzen durch phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

In der PfSense oder eurer Gegenseite für Phase 2 bei Encryption Algorithms NUR AES 256, Hash Algorithms SHA1und PFS Keygroup 2 setzen.

Evtl. Racoon auf der PfSense neu starten et voila: Wir haben einen IPSec VPN-Tunnel zwischen der Fritzbox und der PfSense mit AES in Phase 1 und Phase 2.

Mögliche Settings für die Fritzbox gibt es hier: http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ... und hier: http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...

Es lohnt nicht, andere als dort genannte Kombinationen zu probieren, die FB frisst sie nicht. (Es gibt zwar keine Fehlermeldungen, aber man sieht, dass nicht versucht wird, eine VPN-Verbindung aufzubauen.)

Wenn jemand noch rausbekommt, ob man doch MD5 verwenden kann, immer her damit. (aqui?) face-wink

So long, der Buc

(Immer eine Träne im Knopfloch...)
aqui
aqui 06.02.2014 aktualisiert um 23:07:13 Uhr
Goto Top
Klasse ! Danke für das super Feedback. Ich stelle im IPsec Tutorial einen Verweis auf diesen Thread ein ! MD5 kann ich leider nicht testen da ich keine FB habe face-sad Muss wohl doch mal eine ersteigern bei eBay. Nach dem VoIP Security Desaster mit den gehackten Teilen gibts die ja nun zuhauf... face-big-smile (Bei pfSense weiss man wenigstens was man hat...)
da meine PfSense auf eher schwacher Hardware läuft (FSC Futro S300)
Dann nimm ein ALIX Board wenn dir 100 Mbit LAN Ports reichen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das ALIX hat dedizierte Crypto Hardware an Bord das die Encryption in Hardware macht (pfSense supportet das wenn man es im Setup aktiviert !) und man damit (fast) wirespeed im Durchsatz hinbekommt....
dbergmann
dbergmann 12.08.2014 um 20:58:33 Uhr
Goto Top
Vielen Dank für die hilfreiche Info! Da die AVM Links zu den PDFs leider nicht mehr funktionieren hier die aktuellen Links:

http://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_1.pdf
http://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_2.pdf