the-buccaneer
Goto Top

VPN Pfsense 2.2.x mit Fritzbox im Einsatz?

Moinsen zusammen!

Hat jemand einen VPN Tunnel mit einer PfSense 2.2.x und einer FB auf der Gegenseite realisieren können?
Wenn ja, mit welchen Settings?

Ich scheitere gerade nach einem PfSense Upgrade damit, das VPN zur Fritzbox 2170 wiederherzustellen.

Habe viel mit den Einstellungen gespielt, aber nix funktionierendes gefunden.

Ein Feedback wie "es läuft bei mir mit Settings xyz" wäre hilfreich!

LG
ein etwas entnervter Buc

P.S.: Da ich es in einem anderen Thread erwähnt habe: ne Buddel Rum ist ausgelobt.

Content-ID: 297648

Url: https://administrator.de/forum/vpn-pfsense-2-2-x-mit-fritzbox-im-einsatz-297648.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

orcape
orcape 28.02.2016 um 14:02:00 Uhr
Goto Top
Hi,
das funktioniert bei mir tadellos mit pfSense 2.2.6 und einem IPSec-Tunnel zur Fritte.
	Enable IPsec
  	  	IKE 	Remote Gateway 	Mode 	P1 Protocol 	P1 Transforms 	P1 Description 	
		V1 	WAN
gerda.no-ip.org 	main 	3DES 	SHA1 	Achilleus  	
  	  	
  	  	Mode 	Local Subnet 	Remote Subnet 	P2 Protocol 	P2 Transforms 	P2 Auth Methods 	 
		tunnel 	LAN 	192.168.33.0/24 	ESP 	3DES 	SHA1 	edit add 

Das Gegenstück ist Fritte 3370, leider habe ich das z.Zt. nicht in Betrieb, da die Fritte sonst an UMTS-Stick im Garten Ihren Dienst macht.
Du kannst aber das Teil auch Freetzen und OpenVPN nehmen, ist allerdings etwas Frickelei.
Gruß orcape
the-buccaneer
the-buccaneer 28.02.2016 aktualisiert um 19:07:02 Uhr
Goto Top
Dank dir orcape!

Das musste ja auch gehen. Da ich aber dermassen viele Beiträge im Netz gefunden habe, dass ehemals funktionierende Tunnel nach einem Upgrade von 2.1.5 auf 2.2 nicht mehr gehen, war ich am zweifeln.

Die Lösung ist ganz einfach und war hier im Forum zu finden:

Bei aktiviertem Mobile Client Support müssen seit 2.2 und StrongSwan ALLE PSK's der verschiedenen Verbindungen gleich sein. Die mobilen User mit persönlichen PSK's zu versehen, wie das noch auf der PfSense 2.1.x unter Racoon problemlos funktionierte geht offenbar nicht mehr.

Sonst führt das zu folgendem Fehlerbild, das auf der PfSense Page als "Phase 1 Pre-Shared Key Mismatch" erklärt wird.

Initiator

charon: 09[ENC] invalid HASH_V1 payload length, decryption failed?
charon: 09[ENC] could not decrypt payloads
charon: 09[IKE] message parsing failed

Responder

charon: 09[ENC] invalid ID_V1 payload length, decryption failed?
charon: 09[ENC] could not decrypt payloads
charon: 09[IKE] message parsing failed

Man sucht sich bloss nen Wolf, wenn man zu 100 Prozent sicher ist, dass die Keys für die Verbindung übereinstimmen.

Ob das ein Bug oder ein Feature ist?

Das blöde Upgrade hat mich mein komplettes Wochenende incl. schlafloser Nacht gekostet.

Jetzt kann ich noch den blöden nicht startenden c-icap Dienst im Squid angehen und dann habe ich das gleiche wie vorher nur mit höherer Versionsnummer. face-wink

CU

Buc

Edit: Konnte das Verhalten nicht reproduzieren. Im Moment läuft die PfSense mit verschiedenen PSK's für Site2Site und Mobil prima. Evtl lag es daran, dass beim Upgrade irgendein Wert nicht korrekt übertragen wurde.
Nun kann sie aber Mobil kein AES-128 mehr in der Phase1. AES-256 läuft aber.

Der StrongSwan (oder die Integration) scheint doch noch etwas beta zu sein