Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Verbindung zwischen Pfsense und Fritz 7430 reist ab

Mitglied: mario89

mario89 (Level 1) - Jetzt verbinden

12.02.2019 um 17:39 Uhr, 215 Aufrufe, 10 Kommentare

Hallo Leute,

ich wollte euch auf diesem Wege nochmal um Rat bitten. Ich habe aktuell ein - aus meiner Sicht - seltsames Problem mit einer VPN Verbindung.

Die VPN Verbindung wird zwischen einer Pfsense und einer Fritzbox 7430 hergestellt und funktioniert unmittelbar nach dem Herstellen Störungsfrei.
=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).

Nun kommt das Hauptproblem. Nachdem die Verbindung einmal unterbrochen wird, kann ich diese nicht mehr Seites der Pfsense herstellen. Es scheint mir fast so, als würde es in einen Timeout laufen. Die neue IP Adresse wird aber in den Logs der Pfsense korrekt angezeigt. Nur die Verbindung wird nicht aufgebaut.

Abhilfe ist immer, mich auf der Fritzbox einzuloggen und die VPN Verbindung auf dieser einmal zu deaktivieren und im Anschluss direkt wieder zu aktivieren.
=> Unmittelbar nach dem aktivieren baut die Pfsense direkt die Verbindung wieder auf.


Habt ihr vielleicht eine Idee, wie ich das "Problem" in den griff bekommen könnte?
Mitglied: Pjordorf
12.02.2019, aktualisiert um 18:17 Uhr
Hallo,

Zitat von mario89:
=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).
Wenn dann wäre es nach 24 Stunden und das wäre die Zwangstrennung deiner DSL/Internet Verbindung. Das ist aber je nach ISP und Produkt nicht mehr zwingend das dies geschieht

=> Unmittelbar nach dem aktivieren baut die Pfsense direkt die Verbindung wieder auf.
Dann ist in dseiner Konfiguration etwas falsch eingestellt. Entweder in der Fritte oder in der PFsense (unwahrscheinlich)

Habt ihr vielleicht eine Idee, wie ich das "Problem" in den griff bekommen könnte?
Die uns unbekannte Konfiguration richtig machen.

Gruß,
Peter
Bitte warten ..
Mitglied: mario89
12.02.2019, aktualisiert um 18:26 Uhr
Sorry vollkommen vergessen ^^

Netzwerk Pfsense: 192.168.2.x/24
Netzwerk Fritte: 192.168.100.x/24

Config Fritte
01.
vpncfg {
02.
        connections {
03.
                enabled = yes;
04.
                conn_type = conntype_lan;
05.
                name = "HOME58"; //Individueller Name
06.
                always_renew = yes; //Verbindung immer herstellen
07.
                reject_not_encrypted = no; 
08.
                dont_filter_netbios = yes;   
09.
                localip = 0.0.0.0;
10.
                local_virtualip = 0.0.0.0;
11.
                remoteip = 0.0.0.0;
12.
                remote_virtualip = 0.0.0.0;  
13.
                remotehostname = "XXXXX.synology.me";                  //Feste DynDNS der Pfsense                             
14.
                localid {
15.
                        fqdn = "XXXXXXX.myfritz.net"; //dyndns der Fritzbox
16.
                }
17.
                remoteid {
18.
                        fqdn = "XXXXX.synology.me"; //Dyndns der Pfsense
19.
                }
20.
                mode = phase1_mode_idp;  
21.
                phase1ss = "dh14/aes/sha";  
22.
                keytype = connkeytype_pre_shared;
23.
                key = "1XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX";  
24.
                cert_do_server_auth = no;
25.
                use_nat_t = no;  
26.
                use_xauth = no;
27.
                use_cfgmode = no;
28.
                phase2localid {
29.
                        ipnet {
30.
                                ipaddr = 192.168.100.0;  //# Anpassen, lokaler Adressbereich #
31.
                                mask = 255.255.255.0; 
32.
                        }
33.
                }
34.
                phase2remoteid {
35.
                        ipnet {
36.
                                ipaddr = 192.168.2.0;  // # Anpassen, remote Adressbereich #
37.
                                mask = 255.255.255.0;
38.
                        }
39.
                }
40.
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; 
41.
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";  
42.
        }
43.
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
44.
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
45.
}
46.

47.

48.
// EOF
Bitte warten ..
Mitglied: Lochkartenstanzer
12.02.2019 um 18:45 Uhr
Zitat von mario89:

VPN Verbindung zwischen Pfsense und Fritz 7430 reist ab

wohin?

SCNR

lks

PS:

  • Was sagen die Logs der Fritzbox?
  • Was sagt eine mitsniffen auf der WAN-Schnittselle auf der Fritzbox?
Bitte warten ..
Mitglied: SomebodyToLove
13.02.2019 um 08:35 Uhr
Hiho,

was steht den konkret in der Log der Pfsense unter IPSec?

Falls da sowas wie "no route to host" steht, da habe ich auch erst vor kurzem einen Bug in der OPNsense festellen müssen... :/
Bitte warten ..
Mitglied: mario89
13.02.2019 um 12:00 Uhr
Im log der Fritzbox erscheint nur:

01.
Lifetime expired
Danach scheint kein weitere Fehler mehr eingegangen zu sein. Auch wenn ich den Verbindungsaufbau seitens der Pfsense neu anstoße (siehe unten). Bekomme ich keinen Fehler in der Fritzbox angezeigt.

deaktiviere ich in der Fritzbox die Verbindung und aktiviere sie neu. Baut sich die Verbindung wieder auf.

Log Pfsesne:

01.
Feb 13 11:51:19	charon		08[IKE] <con4000|855> IKE_SA con4000[855] state change: CONNECTING => DESTROYING
02.
Feb 13 11:51:19	charon		08[IKE] <con4000|855> received INVALID_ID_INFORMATION error notify
03.
Feb 13 11:51:19	charon		08[ENC] <con4000|855> parsed INFORMATIONAL_V1 request 2057710218 [ HASH N(INVAL_ID) ]
04.
Feb 13 11:51:19	charon		08[NET] <con4000|855> received packet: from 87.151.XXX.XX[500] to 84.139.XXX.XX[500] (92 bytes)
05.
Feb 13 11:51:19	charon		08[NET] <con4000|855> sending packet: from 84.139.XXX1[500] to 87.151.XX5[500] (108 bytes)
06.
Feb 13 11:51:19	charon		08[ENC] <con4000|855> generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
07.
Feb 13 11:51:19	charon		08[IKE] <con4000|855> MAIN_MODE task
08.
Feb 13 11:51:19	charon		08[IKE] <con4000|855> ISAKMP_VENDOR task
09.
Feb 13 11:51:19	charon		08[IKE] <con4000|855> reinitiating already active tasks
10.
Feb 13 11:51:19	charon		08[ENC] <con4000|855> parsed ID_PROT response 0 [ KE No ]
11.
Feb 13 11:51:19	charon		08[NET] <con4000|855> received packet: from 87.151.XXXX5[500] to 84.139.XXX1[500] (308 bytes)
12.
Feb 13 11:51:17	charon		12[CFG] vici client 3574 disconnected
13.
Feb 13 11:51:17	charon		12[CFG] vici client 3574 requests: list-sas
14.
Feb 13 11:51:17	charon		14[CFG] vici client 3574 registered for: list-sa
15.
Feb 13 11:51:17	charon		14[CFG] vici client 3574 connected
16.
Feb 13 11:51:17	charon		11[NET] <con4000|855> sending packet: from 84.139.XXX1[500] to 87.151.XXX[500] (324 bytes)
17.
Feb 13 11:51:17	charon		11[ENC] <con4000|855> generating ID_PROT request 0 [ KE No ]
18.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> MAIN_MODE task
19.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> ISAKMP_VENDOR task
20.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> reinitiating already active tasks
21.
Feb 13 11:51:17	charon		11[CFG] <con4000|855> selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
22.
Feb 13 11:51:17	charon		11[CFG] <con4000|855> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
23.
Feb 13 11:51:17	charon		11[CFG] <con4000|855> received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
24.
Feb 13 11:51:17	charon		11[CFG] <con4000|855> proposal matches
25.
Feb 13 11:51:17	charon		11[CFG] <con4000|855> selecting proposal:
26.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> received DPD vendor ID
27.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> received XAuth vendor ID
28.
Feb 13 11:51:17	charon		11[ENC] <con4000|855> parsed ID_PROT response 0 [ SA N((24576)) V V ]
29.
Feb 13 11:51:17	charon		11[NET] <con4000|855> received packet: from 87.151.XX[500] to 84.139.XXX[500] (152 bytes)
30.
Feb 13 11:51:17	charon		11[NET] <con4000|855> sending packet: from 84.139.XXX[500] to 87.151.XXX[500] (180 bytes)
31.
Feb 13 11:51:17	charon		11[ENC] <con4000|855> generating ID_PROT request 0 [ SA V V V V V ]
32.
Feb 13 11:51:17	charon		11[CFG] <con4000|855> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
33.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> IKE_SA con4000[855] state change: CREATED => CONNECTING
34.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> initiating Main Mode IKE_SA con4000[855] to 87.151.XXX
35.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
36.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending NAT-T (RFC 3947) vendor ID
37.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending FRAGMENTATION vendor ID
38.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending DPD vendor ID
39.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending XAuth vendor ID
40.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_NATD task
41.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_CERT_POST task
42.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating MAIN_MODE task
43.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_CERT_PRE task
44.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_VENDOR task
45.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating new tasks
46.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing QUICK_MODE task
47.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_NATD task
48.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_CERT_POST task
49.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing MAIN_MODE task
50.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_CERT_PRE task
51.
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_VENDOR task
52.
Feb 13 11:51:17	charon		13[CFG] received stroke: initiate 'con4000'
53.
Feb 13 11:51:17	charon		13[CFG] no IKE_SA named 'con4000' found
54.
Feb 13 11:51:17	charon		13[CFG] received stroke: terminate 'con4000'
55.
Feb 13 11:51:14	charon		07[CFG] vici client 3573 disconnected
56.
Feb 13 11:51:14	charon		16[CFG] vici client 3573 requests: list-sas
57.
Feb 13 11:51:14	charon		08[CFG] vici client 3573 registered for: list-sa
58.
Feb 13 11:51:14	charon		07[CFG] vici client 3573 connected
Bitte warten ..
Mitglied: freesolo
13.02.2019, aktualisiert um 12:08 Uhr
Lifetime expired
Da hat wohl einer die IKE Lifetimes auf beiden Seiten nicht gleich eingestellt. Typischer Anfängerfehler. Also auf Seiten der pfSense an die Lifetime der Fritte anpassen und gut ist.
Bitte warten ..
Mitglied: mario89
13.02.2019 um 12:13 Uhr
Zitat von freesolo:

Lifetime expired
Da hat wohl einer die IKE Lifetimes auf beiden Seiten nicht gleich eingestellt. Typischer Anfängerfehler. Also auf Seiten der pfSense an die Lifetime der Fritte anpassen und gut ist.

Vielen Dank schon einmal für die Information ;)
Muss mal schauen, wo die Information in der Fritzbox eingetragen wird. damit ich diese einmal vergleichen kann.
Bitte warten ..
Mitglied: freesolo
LÖSUNG 13.02.2019, aktualisiert um 12:17 Uhr
An der Fritte brauchst du die nicht ändern, passe die Lifetimes in der pfSense an die jeweilig in der Fritte verwendeten Proposals an. Templates gibt's hier
https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert ...
Bitte warten ..
Mitglied: freesolo
13.02.2019, aktualisiert um 12:21 Uhr
Bitte warten ..
Mitglied: mario89
14.02.2019 um 20:42 Uhr
Hey,

Vielen Dank für den Hinweis. Das war genau mein Fehler.

Nachdem ich den Lifetime und die Verschlüsselungen angepasst habe, läuft alles stabil.

Danke - da wäre ich von alleine nie drauf gekommen
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

DNS

Fritz!Box VPN Verbindung und DNS-Einstellung

gelöst Frage von OrkansonDNS11 Kommentare

Hallo zusammen. ich habe einen Fritz!Box Fernzugang ins Firmennetz eingerichtet. Nun möchte ich mich mit einem bestimmten Rechner in ...

Windows Netzwerk

RDP-Verbindung funktioniert nicht über Fritz!Box-VPN

Frage von MIlexxWindows Netzwerk7 Kommentare

Hallo :-), in einem anderen Thread habe ich bereits nach der Einrichtung einer Firewall-Lösung inkl. VPN gefragt. Da ich ...

Router & Routing

VPN Verbindung Fritz!Box LANCOM Router kein Routing möglich

gelöst Frage von scout71Router & Routing10 Kommentare

Hallo Forumsmitglieder, ich habe eine Routing Problem über eine VPN Verbindung zwischen einer Fritz!Box und einem LANCOM Router mit ...

Neue Wissensbeiträge
Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 1 TagWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 2 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 4 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 4 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware43 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke27 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Netzwerkmanagement
Richtfunknetzwerk mit vielen Hops stabiler gestalten
Frage von turti83Netzwerkmanagement22 Kommentare

Hallo, in meinem Dorf habe ich vor ca. einem Jahr ein Backbone aufgebaut um die Nachbarschaft mit Internet zu ...

Hyper-V
Intel MSC Raid 5 Rebuild
Frage von DannysHyper-V19 Kommentare

Hallo Community, Ich habe einen Modul Server von Intel in Betrieb. Dort ist eine Festplatte aus dem Raid 5 ...