mario89
Goto Top

VPN Verbindung zwischen Pfsense und Fritz 7430 reist ab

Hallo Leute,

ich wollte euch auf diesem Wege nochmal um Rat bitten. Ich habe aktuell ein - aus meiner Sicht - seltsames Problem mit einer VPN Verbindung.

Die VPN Verbindung wird zwischen einer Pfsense und einer Fritzbox 7430 hergestellt und funktioniert unmittelbar nach dem Herstellen Störungsfrei.
=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).

Nun kommt das Hauptproblem. Nachdem die Verbindung einmal unterbrochen wird, kann ich diese nicht mehr Seites der Pfsense herstellen. Es scheint mir fast so, als würde es in einen Timeout laufen. Die neue IP Adresse wird aber in den Logs der Pfsense korrekt angezeigt. Nur die Verbindung wird nicht aufgebaut.

Abhilfe ist immer, mich auf der Fritzbox einzuloggen und die VPN Verbindung auf dieser einmal zu deaktivieren und im Anschluss direkt wieder zu aktivieren.
=> Unmittelbar nach dem aktivieren baut die Pfsense direkt die Verbindung wieder auf.


Habt ihr vielleicht eine Idee, wie ich das "Problem" in den griff bekommen könnte?

Content-ID: 416635

Url: https://administrator.de/forum/vpn-verbindung-zwischen-pfsense-und-fritz-7430-reist-ab-416635.html

Ausgedruckt am: 26.12.2024 um 11:12 Uhr

Pjordorf
Pjordorf 12.02.2019 aktualisiert um 18:17:59 Uhr
Goto Top
Hallo,

Zitat von @mario89:
=> Leider reißt die Verbindung nach einiger Zeit ab (ich vermute hier ist die Zwangstrennung seitens meines ISP schuld).
Wenn dann wäre es nach 24 Stunden und das wäre die Zwangstrennung deiner DSL/Internet Verbindung. Das ist aber je nach ISP und Produkt nicht mehr zwingend das dies geschieht

=> Unmittelbar nach dem aktivieren baut die Pfsense direkt die Verbindung wieder auf.
Dann ist in dseiner Konfiguration etwas falsch eingestellt. Entweder in der Fritte oder in der PFsense (unwahrscheinlich)

Habt ihr vielleicht eine Idee, wie ich das "Problem" in den griff bekommen könnte?
Die uns unbekannte Konfiguration richtig machen.

Gruß,
Peter
mario89
mario89 12.02.2019 aktualisiert um 18:26:19 Uhr
Goto Top
Sorry vollkommen vergessen ^^

Netzwerk Pfsense: 192.168.2.x/24
Netzwerk Fritte: 192.168.100.x/24

Config Fritte
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "HOME58"; //Individueller Name  
                always_renew = yes; //Verbindung immer herstellen
                reject_not_encrypted = no; 
                dont_filter_netbios = yes;   
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;  
                remotehostname = "XXXXX.synology.me";                  //Feste DynDNS der Pfsense                               
                localid {
                        fqdn = "XXXXXXX.myfritz.net"; //dyndns der Fritzbox  
                }
                remoteid {
                        fqdn = "XXXXX.synology.me"; //Dyndns der Pfsense  
                }
                mode = phase1_mode_idp;  
                phase1ss = "dh14/aes/sha";    
                keytype = connkeytype_pre_shared;
                key = "1XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX";    
                cert_do_server_auth = no;
                use_nat_t = no;  
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;  //# Anpassen, lokaler Adressbereich #
                                mask = 255.255.255.0; 
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;  // # Anpassen, remote Adressbereich #
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";   
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";    
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF
Lochkartenstanzer
Lochkartenstanzer 12.02.2019 um 18:45:16 Uhr
Goto Top
Zitat von @mario89:

VPN Verbindung zwischen Pfsense und Fritz 7430 reist ab

wohin?

SCNR

lks

PS:

  • Was sagen die Logs der Fritzbox?
  • Was sagt eine mitsniffen auf der WAN-Schnittselle auf der Fritzbox?
SomebodyToLove
SomebodyToLove 13.02.2019 um 08:35:27 Uhr
Goto Top
Hiho,

was steht den konkret in der Log der Pfsense unter IPSec?

Falls da sowas wie "no route to host" steht, da habe ich auch erst vor kurzem einen Bug in der OPNsense festellen müssen... :/
mario89
mario89 13.02.2019 um 12:00:35 Uhr
Goto Top
Im log der Fritzbox erscheint nur:

Lifetime expired

Danach scheint kein weitere Fehler mehr eingegangen zu sein. Auch wenn ich den Verbindungsaufbau seitens der Pfsense neu anstoße (siehe unten). Bekomme ich keinen Fehler in der Fritzbox angezeigt.

deaktiviere ich in der Fritzbox die Verbindung und aktiviere sie neu. Baut sich die Verbindung wieder auf.

Log Pfsesne:

Feb 13 11:51:19	charon		08[IKE] <con4000|855> IKE_SA con4000[855] state change: CONNECTING => DESTROYING
Feb 13 11:51:19	charon		08[IKE] <con4000|855> received INVALID_ID_INFORMATION error notify
Feb 13 11:51:19	charon		08[ENC] <con4000|855> parsed INFORMATIONAL_V1 request 2057710218 [ HASH N(INVAL_ID) ]
Feb 13 11:51:19	charon		08[NET] <con4000|855> received packet: from 87.151.XXX.XX[500] to 84.139.XXX.XX[500] (92 bytes)
Feb 13 11:51:19	charon		08[NET] <con4000|855> sending packet: from 84.139.XXX1[500] to 87.151.XX5[500] (108 bytes)
Feb 13 11:51:19	charon		08[ENC] <con4000|855> generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Feb 13 11:51:19	charon		08[IKE] <con4000|855> MAIN_MODE task
Feb 13 11:51:19	charon		08[IKE] <con4000|855> ISAKMP_VENDOR task
Feb 13 11:51:19	charon		08[IKE] <con4000|855> reinitiating already active tasks
Feb 13 11:51:19	charon		08[ENC] <con4000|855> parsed ID_PROT response 0 [ KE No ]
Feb 13 11:51:19	charon		08[NET] <con4000|855> received packet: from 87.151.XXXX5[500] to 84.139.XXX1[500] (308 bytes)
Feb 13 11:51:17	charon		12[CFG] vici client 3574 disconnected
Feb 13 11:51:17	charon		12[CFG] vici client 3574 requests: list-sas
Feb 13 11:51:17	charon		14[CFG] vici client 3574 registered for: list-sa
Feb 13 11:51:17	charon		14[CFG] vici client 3574 connected
Feb 13 11:51:17	charon		11[NET] <con4000|855> sending packet: from 84.139.XXX1[500] to 87.151.XXX[500] (324 bytes)
Feb 13 11:51:17	charon		11[ENC] <con4000|855> generating ID_PROT request 0 [ KE No ]
Feb 13 11:51:17	charon		11[IKE] <con4000|855> MAIN_MODE task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> ISAKMP_VENDOR task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> reinitiating already active tasks
Feb 13 11:51:17	charon		11[CFG] <con4000|855> selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17	charon		11[CFG] <con4000|855> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17	charon		11[CFG] <con4000|855> received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17	charon		11[CFG] <con4000|855> proposal matches
Feb 13 11:51:17	charon		11[CFG] <con4000|855> selecting proposal:
Feb 13 11:51:17	charon		11[IKE] <con4000|855> received DPD vendor ID
Feb 13 11:51:17	charon		11[IKE] <con4000|855> received XAuth vendor ID
Feb 13 11:51:17	charon		11[ENC] <con4000|855> parsed ID_PROT response 0 [ SA N((24576)) V V ]
Feb 13 11:51:17	charon		11[NET] <con4000|855> received packet: from 87.151.XX[500] to 84.139.XXX[500] (152 bytes)
Feb 13 11:51:17	charon		11[NET] <con4000|855> sending packet: from 84.139.XXX[500] to 87.151.XXX[500] (180 bytes)
Feb 13 11:51:17	charon		11[ENC] <con4000|855> generating ID_PROT request 0 [ SA V V V V V ]
Feb 13 11:51:17	charon		11[CFG] <con4000|855> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Feb 13 11:51:17	charon		11[IKE] <con4000|855> IKE_SA con4000[855] state change: CREATED => CONNECTING
Feb 13 11:51:17	charon		11[IKE] <con4000|855> initiating Main Mode IKE_SA con4000[855] to 87.151.XXX
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending NAT-T (RFC 3947) vendor ID
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending FRAGMENTATION vendor ID
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending DPD vendor ID
Feb 13 11:51:17	charon		11[IKE] <con4000|855> sending XAuth vendor ID
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_NATD task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_CERT_POST task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating MAIN_MODE task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_CERT_PRE task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating ISAKMP_VENDOR task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> activating new tasks
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing QUICK_MODE task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_NATD task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_CERT_POST task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing MAIN_MODE task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_CERT_PRE task
Feb 13 11:51:17	charon		11[IKE] <con4000|855> queueing ISAKMP_VENDOR task
Feb 13 11:51:17	charon		13[CFG] received stroke: initiate 'con4000'  
Feb 13 11:51:17	charon		13[CFG] no IKE_SA named 'con4000' found  
Feb 13 11:51:17	charon		13[CFG] received stroke: terminate 'con4000'  
Feb 13 11:51:14	charon		07[CFG] vici client 3573 disconnected
Feb 13 11:51:14	charon		16[CFG] vici client 3573 requests: list-sas
Feb 13 11:51:14	charon		08[CFG] vici client 3573 registered for: list-sa
Feb 13 11:51:14	charon		07[CFG] vici client 3573 connected
138810
138810 13.02.2019 aktualisiert um 12:08:04 Uhr
Goto Top
Lifetime expired
Da hat wohl einer die IKE Lifetimes auf beiden Seiten nicht gleich eingestellt. Typischer Anfängerfehler. Also auf Seiten der pfSense an die Lifetime der Fritte anpassen und gut ist.
mario89
mario89 13.02.2019 um 12:13:42 Uhr
Goto Top
Zitat von @138810:

Lifetime expired
Da hat wohl einer die IKE Lifetimes auf beiden Seiten nicht gleich eingestellt. Typischer Anfängerfehler. Also auf Seiten der pfSense an die Lifetime der Fritte anpassen und gut ist.

Vielen Dank schon einmal für die Information ;)
Muss mal schauen, wo die Information in der Fritzbox eingetragen wird. damit ich diese einmal vergleichen kann.
138810
Lösung 138810 13.02.2019 aktualisiert um 12:17:05 Uhr
Goto Top
An der Fritte brauchst du die nicht ändern, passe die Lifetimes in der pfSense an die jeweilig in der Fritte verwendeten Proposals an. Templates gibt's hier
https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert ...
138810
138810 13.02.2019 aktualisiert um 12:21:58 Uhr
Goto Top
mario89
mario89 14.02.2019 um 20:42:43 Uhr
Goto Top
Hey,

Vielen Dank für den Hinweis. Das war genau mein Fehler.

Nachdem ich den Lifetime und die Verschlüsselungen angepasst habe, läuft alles stabil.

Danke - da wäre ich von alleine nie drauf gekommen