Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen 2 Fritzboxen klappt aber kein zugriff ins pfsense netz?

Mitglied: raxxis990

raxxis990 (Level 1) - Jetzt verbinden

13.10.2019 um 15:05 Uhr, 461 Aufrufe, 20 Kommentare

Hallo Leute

ich habe aktuell ein Problem das ich vom Standort Fritz box B nicht in das Netz der pfsense Standort Fritz box A zugreifen kann.

Was klappt ist die Verbindung zwischen beiden Standorten A-B. Das habe ich mit der LAN-LAN Kopplung der Fritz box gemacht, mit Myfritz.

Kurze Info:

Fritz box A 192.168.178.1 /24

pfsense hinter der Fritz box
WAN 192.168.178.2 /24
LAN 192.168.110.1 /24

Fritz box B 192.168.177.1 /24


Wenn ich jetzt einen Gameserver starte komme ich vom netz der Fritz box B nicht drauf.
Wenn ich einen Gameserver im netz der Fritz box B starte komme ich vom netz der Fritz box A (pfsense ) drauf .

Desweiteren wenn ich eine Openvpn Verbindung starte von einem Client der Fritz box B zur pfsense dann klappt das auch und ich komme drauf. Openvpn Netz 192.168.12.0 /24


Hier mal noch ein paar Bilder hoffe ihr könnt mir sagen wo hier mein Fehler ist

Tracert vom netz der Fritz box B zu A kann ich gerade nicht machen
fritzboxa - Klicke auf das Bild, um es zu vergrößern
fritzboxb - Klicke auf das Bild, um es zu vergrößern
pf - Klicke auf das Bild, um es zu vergrößern
tracert a - Klicke auf das Bild, um es zu vergrößern
tracert - Klicke auf das Bild, um es zu vergrößern
Mitglied: Lochkartenstanzer
13.10.2019 um 15:14 Uhr
Moin,

Hast Du denn in der Fritzbox B überhaupt eine Route zu dem Netz hinter der pfsense definiert?

lks
Bitte warten ..
Mitglied: raxxis990
13.10.2019 um 15:21 Uhr
Ja habe ich Bild 2:

192.168.110.0 gw 192.168.177.1
Bitte warten ..
Mitglied: Crusher79
13.10.2019, aktualisiert um 15:47 Uhr
gw 192.168.178.2

https://www.edv-lehrgang.de/router-im-ip-netzwerk/

Da unten siehst du es auch im Beispiel mit Router 1, 2 und 3. Router 1 kennt Net 3 nicht und bekommt als GW die IP Adresse des 3. Netzes. In deinem Fall die pfsense.

Die B kennt 192.168.177.0 und 192.168.178.0. Was sie nicht sehen kann, ist das Netz hinter der pfsense. Also ist der Brückekopf der pfsense der richtige Ansprechpartner.

Blöde Frage: Sind die Routen bei der Fritte überhaupt aktiviert? Sollte da nich ein Haken oder X in der grauen Box sein?
Bitte warten ..
Mitglied: aqui
13.10.2019, aktualisiert um 16:36 Uhr
ein Problem das ich vom Standort Fritz box B nicht in das Netz der pfsense Standort Fritz box A zugreifen kann.
Eine kurze Netzwerk Skizze wäre hier hilfreich für die Foren Community um Design und vor allem IP Adressierung zu verstehen.
Besonders der Standort A da hier ja scheinbar FritzBox und Firewall in einer Router_Kaskade (geraten !) betrieben werden.
Vermutlich sind es wie immer falsche oder fehlende Regeln in der Firewall. Um das aber zielführend beurteilen zu können benötigt man eine Skizze wie die Komponenten zusammengeschaltet sind und die dazugehörige IP Adressierung. Leider fehlt diese...
Bitte warten ..
Mitglied: raxxis990
14.10.2019 um 00:57 Uhr
Also mein Netzwerk sieht so aus .

netzwerk - Klicke auf das Bild, um es zu vergrößern

Es ist richtig es ist eine Router Kaskade.

In der Fritzbox A sind folgende Routen aktiv :

192.168.110.0 255.255.255.0 192.168.178.1
192.168.177.0 255.255.255.0 192.168.178.1

Freigaben in der Fritzbox A 1194 für Openvpn
Bitte warten ..
Mitglied: aqui
14.10.2019, aktualisiert um 09:58 Uhr
Die Routen sind komplett überflüssig !
Warum ?
Die pfSense ist im internen LAN .178.0 /24 mit ihrem WAN Port. An dem WAN Port macht die pfSense NAT (IP Adress Translation).
Das bedeutet sie setzt ALLES was von ihren internen IP Netzen kommt, sprich also dem dortigen internen lokalen LAN .110.0 /24 und auch dem internen OVPN IP Netz .12.0 /24 (wenn die .12.10 das ist ?!!). Diesen Traffic setzt sie komplett auf ihre WAN Port IP .178.2 um.
Mit anderen Worten:
Endgeräte im lokalen LAN der FritzBox A "sehen" also IP Pakte die an irgendeinem internen LAN an der virtuellen pfSense hängen nach außen IMMER nur mit der 192.168.178.2 als Absender IP Adresse.
So "denken" also also Endgeräte an FB-A alles befindet sich im lokalen LAN der FB-A.
Insofern sind hier also statische Routen überflüssig und bringen nix.
Einzig eine statische Route an FritzBox B wäre sinnvoll um das interne OVPN Netz bekannt zu machen:
192.168.12.0 255.255.255.0 192.168.177.21


Generell stellt sich die Frage warum du das so umständlich machst mit einem sinnfreinen Client Dialin. Dir geht es doch letztlich um eine Kopplung der internen Hyper-V Netze auf das lokale LAN an FritzBox-B, richtig ?
Warum machst du dir es da dann nicht leichter und koppelst die FritzBox-B mit ihrem internen und bordeigenen IPsec VPN fest per Site2Site an die virtuelle pfSense ??
Das ist mit ein paar Mausklicks schnell gemacht:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...
und hätte den Vorteil das du dann eine feste Site to Site Kopplung hast ohne manuell immer den VPN Client am PC an FB-B händisch triggern zu müssen.
Wenn es zusätzlich auch um Mobilität der Clients geht die auch von anderen, mobilen Standorten statt FB-B auf die Hyper V Netze zugreifen müssen richtest du zusätzlich noch ein IPsec Dialin VPN auf der pfSense ein die komplett die bordeigenen VPNs der mobilen Geräte nutzen:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Das wäre doch sinnvoller statt zu frickeln ?!
Bitte warten ..
Mitglied: raxxis990
14.10.2019 um 11:10 Uhr
Hallo und danke für den mega Text

Also Ursprünglich war es so geplant da die beiden Fritzboxen ja per VPN Verbunden sind das Box B ins Netz der Pfsense zugreifen kann über die Aktive VPN Verbindung der beiden Boxen.

Da das nicht so geklappt hat hatte ich OpenVPN als test genommen um zuschauen ob das so klappt. Aber wie du schon sagst ist das sehr umständlich.

Wenn ich eine Site to Site Kopplung mache zwischen Box B und pfsense dann ist doch die Verbindung zwischen Box A und B überflüssig oder?
Bitte warten ..
Mitglied: Lochkartenstanzer
14.10.2019 um 11:13 Uhr
Zitat von raxxis990:

Wenn ich eine Site to Site Kopplung mache zwischen Box B und pfsense dann ist doch die Verbindung zwischen Box A und B überflüssig oder?

Wenn Du IPSEC zwische opfsense und Fritzbox machst, darf die andere dazwischenhängende Fritzbox kein ipsec machen. Ansonsten funktioniert das weiterleiten von GRE und ESP nicht, weil die Fritte das selbst abfängt.

lks
Bitte warten ..
Mitglied: aqui
14.10.2019, aktualisiert um 11:26 Uhr
Kollege LKS hat Recht hier. Das muss man beachten aber das hiesige Kaskaden_Tutorial beschreibt das ja en detail.
da die beiden Fritzboxen ja per VPN Verbunden sind das Box B ins Netz der Pfsense zugreifen kann
Das wäre auch ein Ansatz wenn auch netztechnisch nicht perfekt. Du hast bei der Umsetzung dann bestimmt im Eifer des Gefechts NICHT bedacht das die pfSense eine Firewall ist und obendrein auch noch NAT (IP Adress Translation) macht am WAN Port !!!
Um also mit einer FritzBox Site2Site Kopplung dann auf die IP Netze innerhalb der pfSense zugreifen zu können brauchst du dann nicht nur entsprechende Firewall Regeln am WAN Port sondern auch noch heftige Port Forwarding Regeln um das NAT am pfSense WAN Port überwinden zu können.
Mit an Sicherheit grenzender Wahrscheinlichkeit hast du das entweder nicht oder nur in Teilen umgesetzt so das deine Fritz zu Fritz Kopplung dann gescheitert ist !!!
Wegen dieses Aufwandes im Setup der pfSense ist die reine FB Kopplung also technisch nicht die beste Lösung.

Technisch ist in der Tat eine Fritz-B zu pfSense VPN Kopplung mit IPsec im LAN zu LAN Mode sinnvoller, da du dir damit diese o.g. gesamte Frickelei der Regeln und Port Forwardings am pfSense WAN Port ersparst.
Du erreichst damit dann einen direkten VPN Tunnel vom Fritz-B LAN auf alle lokalen LANs an der pfSense sprich also deinem internen HyperV LAN und kannst damit auch geschützt Hosts außerhalb des HyperV im lokalen LAN der Fritz-A erreichen.
Das wäre also die ideale Lösung.
Fragt sich nur warum du nicht selber drauf gekommen bist und das so umgesetzt hast ? Vom Setup her ja ne Lachnummer und in 15 Minuten erledigt
Bitte warten ..
Mitglied: raxxis990
14.10.2019, aktualisiert um 12:03 Uhr
Also dran gedacht schon nur die ausführung des Plans wurde nicht gemacht^^ ... Also ich habe die Verbindung beider Boxen unterbrochen und über die pfsense eingerichtet . Jetzt sagt mir die Box B. Ich habe wie du im Tut geschrieben hast auf 3DES gestellt

Hab gerade gesehn das dieser punkt in der pfsense version 2.4.4 p3 nicht da ist?

fw - Klicke auf das Bild, um es zu vergrößern

IKE-Error 0x2020

"hash mismatch in received packet"

und Jetzt
IKE-Error 0x2027 Timeout

fehler - Klicke auf das Bild, um es zu vergrößern

phase1 - Klicke auf das Bild, um es zu vergrößern
phase2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: raxxis990
14.10.2019, aktualisiert um 14:30 Uhr
Habe jetzt die pfsense mal auf Werkseinstellung gesetzt das alles auf null ist und nach dein tut eingestellt sowie auch für mobile aber es klappt beides nicht . in meiner fritzbox habe ich die vpn Verbindungen gelöscht somit wird jetzt als freigabe der Ports also weiterleitung gezigt



Mitschnitt vom Handy zur pfsense

udp 4500 und esp kommt nix an

500udp - Klicke auf das Bild, um es zu vergrößern

UPDATE !!!

VPN Handy zur pfsense klappt

Fritzbox zur pfsense nicht

IKE-Error 0x203F

"authentication failed"
Bitte warten ..
Mitglied: aqui
14.10.2019, aktualisiert um 18:23 Uhr
Also dran gedacht schon nur die ausführung des Plans wurde nicht gemacht

Jetzt sagt mir die Box B. Ich habe wie du im Tut geschrieben hast auf 3DES gestellt
Mmmhhh zeigt mir leider wie alt das Tutorial schon ist, sorry ! Shame on me und das Tutorial verdient ein Update...!
3DES ist natürlich uralt und sollte man besser NICHT mehr nehmen.
Belasse es auf dem Default AES 128 oder setze es auf AES 256 mit SHA1 oder besser AES256.
Kein 3DES mehr !! Ich meine auch das die FB eh kein 3DES mehr supportet oder man es explizit im VPN Setup in den Krypto Credentials setzen muss. Fazit: Strikt bei AES only bleiben !
"hash mismatch in received packet"
Belegt das... Setze es alles auf AES das sollte klappen dann.
Fritzbox zur pfsense nicht
Das funktioniert auch NICHT mit dem Client Dialin (Smartphone) !!
Du musst zusätzlich zum Client Dialin noch einen dedizierten Tunnel für die FritzBox einrichten !! Das ist ein LAN zu LAN Setup !
Ich setze das eben auf mit der FB hier und poste dir die Settings. Ersetze ich dann gleich auch im Tutorial.
3DES kam noch deshalb da das Tutorial nich mit einem uralt Cisco gemacht wurde der kein AES konnte. Sorry. Ersetze ich aber die Tage...
Mit AES geht es definitiv.
Gutes Zeichen auch das es mit dem Smartphone klappt, was dann sicher verifiziert das die vor der pfSense kaskadierte FritzBüx an A IPsec VPN (UDP 500, 4500 und ESP) sauber forwardet und das Port Forwarding da stimmt.
Bitte warten ..
Mitglied: raxxis990
14.10.2019 um 18:59 Uhr
Alles klar dankeschön ich warte dann mal auf dein post
Bitte warten ..
Mitglied: raxxis990
15.10.2019 um 14:19 Uhr
Hast du schon was geschafft? Also aufgesetzt?
Bitte warten ..
Mitglied: aqui
16.10.2019, aktualisiert um 13:04 Uhr
Jau, geschafft.
Getestet mit einer FritzBox 7240 und aktuellster Firmware Version 6.06. pfSense Firmware 2.4.4p3
Internet Simulations WAN IP pfSense: 10.99.1.99. WAN Test IP der FritzBox: 10.99.1.146

Man muss hier beachten das diese FritzBox 7240 nur die schwächeren IPsec Proposals AES 256 mit SHA1 und DH Group 2 (1024) supportet !
Das kann man genau erkennen wenn man in das Log der pfSense sieht was die FritzBox 7240 der pfSense anbietet:
<35> received proposals: 
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, 
IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, 
IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, 
IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, 
IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
Deshalb immer der dringende Appell hier in den Foren VPN Threads immer in das Log der jeweiligen Seite zu sehen !

Die pfSense nutzt im Default SHA256 und DH Group 14 (2048) und würde so natürlich nicht mit der FritzBox zusammen kommen die nur das schwächere SHA1 kann und Group 2 (siehe oben).
Deshalb ist es zwingend erforderlich die starken IPsec Proposals der pfSense auf die etwas schwächeren der der FritzBox 7240 anzupassen damit die sich verstehen. Vermutlich hast du genau das NICHT gemacht und bist deshalb gescheitert ?!
Möglich auch das modernere FritzBoxen hier auch mitlerweile SHA256 und Group 14 supporten, was ich aber in Ermangelung solch gearteter FritzBox Hardware leider nicht testen kann. (Ggf. kann hier jemand aus dem Forum mal ein Feedback geben ?!).
Das IPsec Log der pfSense ist hier also immer erste Anlaufstelle um in diesem Punkt Klarheit zu schaffen !

Hier sind die Settings für die IPsec LAN zu LAN Kopplung pfSense <-> FritzBox:

1.) pfSense IPsec Phase 1 Settings:

fb5p1 - Klicke auf das Bild, um es zu vergrößern
fb6p11 - Klicke auf das Bild, um es zu vergrößern

2.) pfSense IPsec Phase 2 Settings:

fb7p2 - Klicke auf das Bild, um es zu vergrößern
fb8p22 - Klicke auf das Bild, um es zu vergrößern

Zusammen sieht das dann so aus:
fb4conf - Klicke auf das Bild, um es zu vergrößern

3.) Firewall Regel auf dem VPN Interface setzen:

fb9regel - Klicke auf das Bild, um es zu vergrößern
Hier jetzt zum Testen erstmal eine einfache "Scheunentor Regel" die alles erlaubt.

4.) FritzBox VPN Setup:

fb10 - Klicke auf das Bild, um es zu vergrößern

5.) Check ob der VPN Tunnel aktiv ist:

pfSense sagt "JA":
fb1int - Klicke auf das Bild, um es zu vergrößern
fb2sess - Klicke auf das Bild, um es zu vergrößern
IPsec SAs stimmen auch !
fb3sa - Klicke auf das Bild, um es zu vergrößern
FritzBox sagt auch "JA":
fb11 - Klicke auf das Bild, um es zu vergrößern

Fertisch !!
Das ein gegenseitiger Ping der lokalen LAN IPs und das gegenseitige Aufrufen der Setup GUIs pfSense/FB und auch ein abschliessender Ping der Konfig Laptops in den jeweiligen lokalen LANs via VPN fehlerfrei klappt, muss man sicher nicht auch noch mit Screenshots hier zeigen, oder ?
Fazit: Works as designed !!!
Bitte warten ..
Mitglied: raxxis990
16.10.2019, aktualisiert um 14:00 Uhr
Also irgendwie klappt es nicht ...


01.
Oct 16 13:53:42	charon		08[IKE] <99> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
02.
Oct 16 13:53:42	charon		08[ENC] <99> received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
03.
Oct 16 13:53:42	charon		08[IKE] <99> 185.97.181.238 is initiating a Aggressive Mode IKE_SA
04.
Oct 16 13:53:42	charon		08[IKE] <99> IKE_SA (unnamed)[99] state change: CREATED => CONNECTING
05.
Oct 16 13:53:42	charon		08[CFG] <99> selecting proposal:
06.
Oct 16 13:53:42	charon		08[CFG] <99> no acceptable INTEGRITY_ALGORITHM found
07.
Oct 16 13:53:42	charon		08[CFG] <99> selecting proposal:
08.
Oct 16 13:53:42	charon		08[CFG] <99> proposal matches
09.
Oct 16 13:53:42	charon		08[CFG] <99> received proposals: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
10.
Oct 16 13:53:42	charon		08[CFG] <99> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
11.
Oct 16 13:53:42	charon		08[CFG] <99> selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
12.
Oct 16 13:53:42	charon		08[CFG] <99> looking for pre-shared key peer configs matching 192.168.178.2...185.97.181.238[nq2h5uhmo1acrbas.myfritz.net]
13.
Oct 16 13:53:42	charon		08[CFG] <99> candidate "bypasslan", match: 1/1/24 (me/other/ike)
14.
Oct 16 13:53:42	charon		08[IKE] <99> found 1 matching config, but none allows pre-shared key authentication using Aggressive Mode
15.
Oct 16 13:53:42	charon		08[IKE] <99> queueing INFORMATIONAL task
16.
Oct 16 13:53:42	charon		08[IKE] <99> activating new tasks
17.
Oct 16 13:53:42	charon		08[IKE] <99> activating INFORMATIONAL task
18.
Oct 16 13:53:42	charon		08[ENC] <99> generating INFORMATIONAL_V1 request 4007606542 [ N(AUTH_FAILED) ]
19.
Oct 16 13:53:42	charon		08[NET] <99> sending packet: from 192.168.178.2[500] to 185.97.181.238[500] (56 bytes)
20.
Oct 16 13:53:42	charon		08[IKE] <99> IKE_SA (unnamed)[99] state change: CONNECTING => DESTROYING
21.
Oct 16 13:53:47	charon		08[NET] <100> received packet: from 185.97.181.238[500] to 192.168.178.2[500] (720 bytes)
22.
Oct 16 13:53:47	charon		08[ENC] <100> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
23.
Oct 16 13:53:47	charon		08[CFG] <100> looking for an IKEv1 config for 192.168.178.2...185.97.181.238
24.
Oct 16 13:53:47	charon		08[CFG] <100> candidate: %any...%any, prio 24
25.
Oct 16 13:53:47	charon		08[CFG] <100> candidate: 192.168.178.2...nq2h5uhmo1acrbas.myfritz.net, prio 3100
26.
Oct 16 13:53:47	charon		08[CFG] <100> found matching ike config: 192.168.178.2...nq2h5uhmo1acrbas.myfritz.net with prio 3100
27.
Oct 16 13:53:47	charon		08[IKE] <100> received XAuth vendor ID
28.
Oct 16 13:53:47	charon		08[IKE] <100> received DPD vendor ID
29.
Oct 16 13:53:47	charon		08[IKE] <100> received NAT-T (RFC 3947) vendor ID
30.
Oct 16 13:53:47	charon		08[IKE] <100> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
31.
Oct 16 13:53:47	charon		08[IKE] <100> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
32.
Oct 16 13:53:47	charon		08[ENC] <100> received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
33.
Oct 16 13:53:47	charon		08[IKE] <100> 185.97.181.238 is initiating a Aggressive Mode IKE_SA
34.
Oct 16 13:53:47	charon		08[IKE] <100> IKE_SA (unnamed)[100] state change: CREATED => CONNECTING

fb - Klicke auf das Bild, um es zu vergrößern
pf - Klicke auf das Bild, um es zu vergrößern
pf1 - Klicke auf das Bild, um es zu vergrößern
pf2 - Klicke auf das Bild, um es zu vergrößern
pf3 - Klicke auf das Bild, um es zu vergrößern
pf4 - Klicke auf das Bild, um es zu vergrößern
pf5 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.10.2019 um 17:32 Uhr
Das kann jetzt aber dann nur noch an dir selber liegen !!! Das es de facto klappt kannst du ja oben sehen !!
Du kannst ja sehen das deine FB scheinbar auch SHA256 supportet:
AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024,

Setze die Phase 1 auch mal auf SHA256 und teste das nochmal. Ggf. testweise den Mode auch mal auf "Main" statt Agressive. Agressive ist etwas toleranter beim Handshake. Möglich das modernere FritzBoxen das nicht mögen.
Evtl. musst du hier mal mit den Credentials etwas rumspielen.

Wenn alle Stricke reissen hakst du in der pfSense zusätzlich auch nochmal 3DES an. Dann aber wieder mit SHA1 denn 3DES kann kein SHA256 und höher !
0x203F Error besagt das die Credentials sich nicht mögen:
http://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/015/hilfe_syslog_ ...
Oder Tippfehler im Passwort.
An der FritzBox ist das übrigens die Variante "VPN zu einer anderen FritzBox" NICHT das VPN zu einem Firmen VPN !
Bitte warten ..
Mitglied: raxxis990
17.10.2019 um 22:19 Uhr
Also ich hab es hinbekommen mit dem VPN .

Aber etwas anders als in deiner Anleitung

Aber ein kleine problem besteht jetzt noch und zwar .

Ich kann Ping und tracert zur 192.168.177.1 ( Box B ) ausführen siehe bild genauso zu einem Clienten 192.168.177.20
aber vom Clienten zu mir also ins netz hinter der pfsene sieht es schlechter aus.

Bilder von Box A zu Box B

6 - Klicke auf das Bild, um es zu vergrößern
7 - Klicke auf das Bild, um es zu vergrößern

Bilder von Box B zu Box A

8 - Klicke auf das Bild, um es zu vergrößern
9 - Klicke auf das Bild, um es zu vergrößern




Hier noch Meine Einstellungen Verwendete Fritzbox 7560 mit 7.12 und pfsene 2.4.4-RELEASE-p3


1 - Klicke auf das Bild, um es zu vergrößern
2 - Klicke auf das Bild, um es zu vergrößern
3 - Klicke auf das Bild, um es zu vergrößern
4 - Klicke auf das Bild, um es zu vergrößern
5 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
18.10.2019, aktualisiert um 11:31 Uhr
Also ich hab es hinbekommen mit dem VPN .
👏 Tadaaa ! Glückwunsch !
Aber etwas anders als in deiner Anleitung
Die Idee war genau richtig mit Distinguished names zu arbeiten statt IP Adressen als Identifier, denn die dynamischen IPs könnten auch die Ursache der Fehlfunktion gewesen sein. Intuitiv richtig gemacht.
Frage dazu auf der FB Seite:
Hast du da die Option "VPN zu anderer FritzBox" oder "VPN zu Firmen VPN" genutzt ?
Du hast vermutlich auch eine etwas modernere FB. Da sind sicher die Credentials anders aber dann kann man das IPsec Tutorial auch entsprechend anpassen, deshalb ist dein Feedback wichtig ! Danke dafür.
aber vom Clienten zu mir also ins netz hinter der pfsene sieht es schlechter aus.
Dieser Client ist aber im lokalen LAN der pfSense, richtig ?
Dazu ein paar Fragen:
  • Ist der Client ein Windows OS ?? Wenn ja bedenke das ICMP (Ping) dort im Default in der Firewall gesperrt ist ! Das musst du erst erlauben: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
  • Das gilt auch für Datei und Druckerdienste wenn du SMB Sharen willst. Hier musst du die lokale Winblows Firewall des Clients entsprechend anpassen
  • Hast du die pfSense Firewall Regel am IPsec Interface entsprechend eingerichtet ? Ohne eine Regel wird jeglicher Traffic Firewall üblich hier geblockt !
Leider fehlt da ein entsprechender Screenshot aber diese drei Punkte solltest du genau prüfen ! Ich vermute das da irgendwo Regeln oder Firewall Customizing fehlen.
Hast du das IPsec Panel im Dashboard installiert (Klick auf + und dann IPsec) ?? Damit kannst du genau den Tunnel überwachen im Dashboard. Noch genauer natürlich unter "Status -> IPsec".
Ich denke aber am Tunnel selber kann und wird es nicht liegen wenn der im "Established" Status ist.
Was du noch machen solltest:
Im P1 Setup oben solltest du unter Internet Protokoll besser erstmal nicht "Dual Stack" wählen sondern IPv4. Das hat den Vorteil das du das erstmal wasserdicht nur in einer v4 Umgebung testest.

Nochwas:
  • Kannst du denn das LAN Interface der pfSense pingen ??
  • Kannst du aus der pfSense im Diagnostic Menü mit der Absender IP = LAN IP das FB LAN Interface oder einen Client im FB LAN pingen ?
Das wäre noch wichtig zu wissen !
Bitte warten ..
Mitglied: raxxis990
18.10.2019 um 14:32 Uhr
Zitat von aqui:
Frage dazu auf der FB Seite:
Hast du da die Option "VPN zu anderer FritzBox" oder "VPN zu Firmen VPN" genutzt ?
Du hast vermutlich auch eine etwas modernere FB. Da sind sicher die Credentials anders aber dann kann man das IPsec Tutorial auch entsprechend anpassen, deshalb ist dein Feedback wichtig ! Danke dafür.

In der Fritzbox habe ich VPN zu einer anderen Fritzbox (LAN-LAN Kopplung) gewählt.

aber vom Clienten zu mir also ins netz hinter der pfsene sieht es schlechter aus.
Dieser Client ist aber im lokalen LAN der pfSense, richtig ?
Dazu ein paar Fragen:

Ne der ist im Netz der Fritzbox B daher ja auch die ip 192.168.177.20

* Hast du die pfSense Firewall Regel am IPsec Interface entsprechend eingerichtet ? Ohne eine Regel wird jeglicher Traffic Firewall üblich hier geblockt !
Leider fehlt da ein entsprechender Screenshot aber diese drei Punkte solltest du genau prüfen ! Ich vermute das da irgendwo Regeln oder Firewall Customizing fehlen.

Hier habe ich nur die Scheunentor Regel aus deiner Anleitung

Nochwas:
  • Kannst du denn das LAN Interface der pfSense pingen ??
  • Kannst du aus der pfSense im Diagnostic Menü mit der Absender IP = LAN IP das FB LAN Interface oder einen Client im FB LAN pingen ?
Das wäre noch wichtig zu wissen !

DAs teste ich nachher
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerke
VPN Fritzbox ins eigene Netz
gelöst Frage von sojosNetzwerke13 Kommentare

Hallo zusammen! ich versteh es nicht, Internet (Forensuche, Goolge etc) etc konnten mir bei meinem Problem nicht helfen. Folgendes ...

Firewall

Zwei Netz über VPN an Fritzbox anbinden

Frage von Otto1699Firewall3 Kommentare

Hallo, ich habe zwei IP-Netze (Telefon und LAN) in pfsense und möchte diese beiden Netze über VPN einem anderen ...

Router & Routing

FritzBox VPN nur für internes Netz nutzen

gelöst Frage von aif-getRouter & Routing15 Kommentare

Hallo, ich habe eine Fritzbox 7390 und mit dieser erfolgreich auf dem Client eine verbindung zu einem Firmen Netz ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

Extended Validation Certificates are (Really, Really) Dead

Information von Dani vor 1 TagVerschlüsselung & Zertifikate

Moin all, sehr interessanter Artikel zu EV SSL/TLS- Zertifikate von Troy Hunt: Gruß, Dani

Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)8 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 4 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 4 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Heiß diskutierte Inhalte
Mac OS X
Mac Startfehler: Too many corpses created
Frage von winlinMac OS X24 Kommentare

Seit meinem letzten update komme ich nach der Anmeldung nixht mehr weiter. Der Fortschrittsbalken nach der Anmeldung geht bis ...

Server
Suche günstigen Server für erste Schritte mit Microsoft Windows Server 2016 + Exchange
gelöst Frage von vodaviServer19 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem preiswerten, aber guten Server. Mir geht es darum, dass ich ...

Schulung & Training
Was sollte man im Helpdesk bzw Service Desk 1st Level wissen
Frage von loubertSchulung & Training16 Kommentare

Hallo zusammen, ich fange demnächst in einem IT-Systemhaus meinen neuen Job im IT-Helpdesk (UHD), 1st Level (für externe Kunden,) ...

Windows XP
Zugriff auf WindowsXP-Freigabe nur per Eingabeaufforderung möglich
Frage von FA-jkaWindows XP11 Kommentare

Hallo, ich installiere gerade in einer VM WindowsXP; um dort eine "antike" Anwendung zu betreiben. Mit dieser werden historische ...