10
VPN Verbindung zwischen Pfsense und Fritz 7430 reist ab
Hallo Leute,
ich wollte euch auf diesem Wege nochmal um Rat bitten. Ich habe aktuell ein - aus meiner Sicht - seltsames Problem mit einer VPN Verbindung.
Die VPN Verbindung wird zwischen einer Pfsense und einer Fritzbox 7430 hergestellt und funktioniert unmittelbar nach dem Herstellen Störungsfrei.
=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).
Nun kommt das Hauptproblem. Nachdem die Verbindung einmal unterbrochen wird, kann ich diese nicht mehr Seites der Pfsense herstellen. Es scheint mir fast so, als würde es in einen Timeout laufen. Die neue IP Adresse wird aber in den Logs der Pfsense korrekt angezeigt. Nur die Verbindung wird nicht aufgebaut.
Abhilfe ist immer, mich auf der Fritzbox einzuloggen und die VPN Verbindung auf dieser einmal zu deaktivieren und im Anschluss direkt wieder zu aktivieren.
=> Unmittelbar nach dem aktivieren baut die Pfsense direkt die Verbindung wieder auf.
Habt ihr vielleicht eine Idee, wie ich das "Problem" in den griff bekommen könnte?
ich wollte euch auf diesem Wege nochmal um Rat bitten. Ich habe aktuell ein - aus meiner Sicht - seltsames Problem mit einer VPN Verbindung.
Die VPN Verbindung wird zwischen einer Pfsense und einer Fritzbox 7430 hergestellt und funktioniert unmittelbar nach dem Herstellen Störungsfrei.
=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).
Nun kommt das Hauptproblem. Nachdem die Verbindung einmal unterbrochen wird, kann ich diese nicht mehr Seites der Pfsense herstellen. Es scheint mir fast so, als würde es in einen Timeout laufen. Die neue IP Adresse wird aber in den Logs der Pfsense korrekt angezeigt. Nur die Verbindung wird nicht aufgebaut.
Abhilfe ist immer, mich auf der Fritzbox einzuloggen und die VPN Verbindung auf dieser einmal zu deaktivieren und im Anschluss direkt wieder zu aktivieren.
=> Unmittelbar nach dem aktivieren baut die Pfsense direkt die Verbindung wieder auf.
Habt ihr vielleicht eine Idee, wie ich das "Problem" in den griff bekommen könnte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 416635
Url: https://administrator.de/contentid/416635
Printed on: April 25, 2024 at 00:04 o'clock
10 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @mario89:
=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).
Wenn dann wäre es nach 24 Stunden und das wäre die Zwangstrennung deiner DSL/Internet Verbindung. Das ist aber je nach ISP und Produkt nicht mehr zwingend das dies geschieht=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).
=> Unmittelbar nach dem aktivieren baut die Pfsense direkt die Verbindung wieder auf.
Dann ist in dseiner Konfiguration etwas falsch eingestellt. Entweder in der Fritte oder in der PFsense (unwahrscheinlich)Habt ihr vielleicht eine Idee, wie ich das "Problem" in den griff bekommen könnte?
Die uns unbekannte Konfiguration richtig machen.Gruß,
Peter
Sorry vollkommen vergessen ^^
Netzwerk Pfsense: 192.168.2.x/24
Netzwerk Fritte: 192.168.100.x/24
Config Fritte
Netzwerk Pfsense: 192.168.2.x/24
Netzwerk Fritte: 192.168.100.x/24
Config Fritte
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "HOME58"; //Individueller Name
always_renew = yes; //Verbindung immer herstellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "XXXXX.synology.me"; //Feste DynDNS der Pfsense
localid {
fqdn = "XXXXXXX.myfritz.net"; //dyndns der Fritzbox
}
remoteid {
fqdn = "XXXXX.synology.me"; //Dyndns der Pfsense
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "1XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0; //# Anpassen, lokaler Adressbereich #
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0; // # Anpassen, remote Adressbereich #
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Hiho,
was steht den konkret in der Log der Pfsense unter IPSec?
Falls da sowas wie "no route to host" steht, da habe ich auch erst vor kurzem einen Bug in der OPNsense festellen müssen... :/
was steht den konkret in der Log der Pfsense unter IPSec?
Falls da sowas wie "no route to host" steht, da habe ich auch erst vor kurzem einen Bug in der OPNsense festellen müssen... :/
Im log der Fritzbox erscheint nur:
Danach scheint kein weitere Fehler mehr eingegangen zu sein. Auch wenn ich den Verbindungsaufbau seitens der Pfsense neu anstoße (siehe unten). Bekomme ich keinen Fehler in der Fritzbox angezeigt.
deaktiviere ich in der Fritzbox die Verbindung und aktiviere sie neu. Baut sich die Verbindung wieder auf.
Log Pfsesne:
Lifetime expiredDanach scheint kein weitere Fehler mehr eingegangen zu sein. Auch wenn ich den Verbindungsaufbau seitens der Pfsense neu anstoße (siehe unten). Bekomme ich keinen Fehler in der Fritzbox angezeigt.
deaktiviere ich in der Fritzbox die Verbindung und aktiviere sie neu. Baut sich die Verbindung wieder auf.
Log Pfsesne:
Feb 13 11:51:19 charon 08[IKE] <con4000|855> IKE_SA con4000[855] state change: CONNECTING => DESTROYING
Feb 13 11:51:19 charon 08[IKE] <con4000|855> received INVALID_ID_INFORMATION error notify
Feb 13 11:51:19 charon 08[ENC] <con4000|855> parsed INFORMATIONAL_V1 request 2057710218 [ HASH N(INVAL_ID) ]
Feb 13 11:51:19 charon 08[NET] <con4000|855> received packet: from 87.151.XXX.XX[500] to 84.139.XXX.XX[500] (92 bytes)
Feb 13 11:51:19 charon 08[NET] <con4000|855> sending packet: from 84.139.XXX1[500] to 87.151.XX5[500] (108 bytes)
Feb 13 11:51:19 charon 08[ENC] <con4000|855> generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Feb 13 11:51:19 charon 08[IKE] <con4000|855> MAIN_MODE task
Feb 13 11:51:19 charon 08[IKE] <con4000|855> ISAKMP_VENDOR task
Feb 13 11:51:19 charon 08[IKE] <con4000|855> reinitiating already active tasks
Feb 13 11:51:19 charon 08[ENC] <con4000|855> parsed ID_PROT response 0 [ KE No ]
Feb 13 11:51:19 charon 08[NET] <con4000|855> received packet: from 87.151.XXXX5[500] to 84.139.XXX1[500] (308 bytes)
Feb 13 11:51:17 charon 12[CFG] vici client 3574 disconnected
Feb 13 11:51:17 charon 12[CFG] vici client 3574 requests: list-sas
Feb 13 11:51:17 charon 14[CFG] vici client 3574 registered for: list-sa
Feb 13 11:51:17 charon 14[CFG] vici client 3574 connected
Feb 13 11:51:17 charon 11[NET] <con4000|855> sending packet: from 84.139.XXX1[500] to 87.151.XXX[500] (324 bytes)
Feb 13 11:51:17 charon 11[ENC] <con4000|855> generating ID_PROT request 0 [ KE No ]
Feb 13 11:51:17 charon 11[IKE] <con4000|855> MAIN_MODE task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> ISAKMP_VENDOR task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> reinitiating already active tasks
Feb 13 11:51:17 charon 11[CFG] <con4000|855> selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17 charon 11[CFG] <con4000|855> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17 charon 11[CFG] <con4000|855> received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17 charon 11[CFG] <con4000|855> proposal matches
Feb 13 11:51:17 charon 11[CFG] <con4000|855> selecting proposal:
Feb 13 11:51:17 charon 11[IKE] <con4000|855> received DPD vendor ID
Feb 13 11:51:17 charon 11[IKE] <con4000|855> received XAuth vendor ID
Feb 13 11:51:17 charon 11[ENC] <con4000|855> parsed ID_PROT response 0 [ SA N((24576)) V V ]
Feb 13 11:51:17 charon 11[NET] <con4000|855> received packet: from 87.151.XX[500] to 84.139.XXX[500] (152 bytes)
Feb 13 11:51:17 charon 11[NET] <con4000|855> sending packet: from 84.139.XXX[500] to 87.151.XXX[500] (180 bytes)
Feb 13 11:51:17 charon 11[ENC] <con4000|855> generating ID_PROT request 0 [ SA V V V V V ]
Feb 13 11:51:17 charon 11[CFG] <con4000|855> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17 charon 11[IKE] <con4000|855> IKE_SA con4000[855] state change: CREATED => CONNECTING
Feb 13 11:51:17 charon 11[IKE] <con4000|855> initiating Main Mode IKE_SA con4000[855] to 87.151.XXX
Feb 13 11:51:17 charon 11[IKE] <con4000|855> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Feb 13 11:51:17 charon 11[IKE] <con4000|855> sending NAT-T (RFC 3947) vendor ID
Feb 13 11:51:17 charon 11[IKE] <con4000|855> sending FRAGMENTATION vendor ID
Feb 13 11:51:17 charon 11[IKE] <con4000|855> sending DPD vendor ID
Feb 13 11:51:17 charon 11[IKE] <con4000|855> sending XAuth vendor ID
Feb 13 11:51:17 charon 11[IKE] <con4000|855> activating ISAKMP_NATD task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> activating ISAKMP_CERT_POST task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> activating MAIN_MODE task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> activating ISAKMP_CERT_PRE task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> activating ISAKMP_VENDOR task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> activating new tasks
Feb 13 11:51:17 charon 11[IKE] <con4000|855> queueing QUICK_MODE task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> queueing ISAKMP_NATD task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> queueing ISAKMP_CERT_POST task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> queueing MAIN_MODE task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> queueing ISAKMP_CERT_PRE task
Feb 13 11:51:17 charon 11[IKE] <con4000|855> queueing ISAKMP_VENDOR task
Feb 13 11:51:17 charon 13[CFG] received stroke: initiate 'con4000'
Feb 13 11:51:17 charon 13[CFG] no IKE_SA named 'con4000' found
Feb 13 11:51:17 charon 13[CFG] received stroke: terminate 'con4000'
Feb 13 11:51:14 charon 07[CFG] vici client 3573 disconnected
Feb 13 11:51:14 charon 16[CFG] vici client 3573 requests: list-sas
Feb 13 11:51:14 charon 08[CFG] vici client 3573 registered for: list-sa
Feb 13 11:51:14 charon 07[CFG] vici client 3573 connectedLifetime expired
Da hat wohl einer die IKE Lifetimes auf beiden Seiten nicht gleich eingestellt. Typischer Anfängerfehler. Also auf Seiten der pfSense an die Lifetime der Fritte anpassen und gut ist.Zitat von @138810:
Lifetime expired
Da hat wohl einer die IKE Lifetimes auf beiden Seiten nicht gleich eingestellt. Typischer Anfängerfehler. Also auf Seiten der pfSense an die Lifetime der Fritte anpassen und gut ist.Vielen Dank schon einmal für die Information ;)
Muss mal schauen, wo die Information in der Fritzbox eingetragen wird. damit ich diese einmal vergleichen kann.
An der Fritte brauchst du die nicht ändern, passe die Lifetimes in der pfSense an die jeweilig in der Fritte verwendeten Proposals an. Templates gibt's hier
https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert ...
https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert ...
Hier steht auch alles was du dazu wissen musst
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hey,
Vielen Dank für den Hinweis. Das war genau mein Fehler.
Nachdem ich den Lifetime und die Verschlüsselungen angepasst habe, läuft alles stabil.
Danke - da wäre ich von alleine nie drauf gekommen
Vielen Dank für den Hinweis. Das war genau mein Fehler.
Nachdem ich den Lifetime und die Verschlüsselungen angepasst habe, läuft alles stabil.
Danke - da wäre ich von alleine nie drauf gekommen
