nupi81
Goto Top

Zugriff auf LTE-Netzwerk

Hallo zusammen,

ich habe an einem abgelegen Standort ohne Internetanschluss einen LTE Router (ZTE MF286R) aufgebaut.
An diesem ist per Netzwerkkabel ein Raspberry Pi4 angeschlossen.
Auf dem Raspberry Pi ist eine Anwendung installiert welcher per https mit einem bestimmten Port erreichbar ist.

Ich möchte nun zu administrationszwecke extern von Zuhause auf diesen Dienst zugreifen.
Da ein Zugriff aufgrund der LTE Verbindung nicht direkt möglich ist (keine eindeutige WAN Adresse)
hatte ich überlegt auf dem Rasp. eine VPN Verbindung zum fernsteuernden Netzwerk (zuhause) aufzubauen.

Zuhause habe ich einen festen DSL Anschluss mit einer Fritzbox 7412 und hätte auch ein DDNS zur Verfügung.
Falls notwendig stände auch auf dieser Seite ein weiterer Rasp Pi 4 zur Verfügung.

Könnte ich eine VPN Verbindung vom abgelegen Standort über den Rasp. PI nach Hause aufbauen lassen
um dann von zuhause darauf zuzugreifen?

Behält der entfernte Rasp. Pi seine IP-Adresse beim Aufbau einer VPN Verbindung
sodass der Dienst noch immer weiter ausgeführt werden kann?

Wie kann ich dies am besten realisieren?

Vielen Dank für Anregungen!

Gruß

Content-Key: 11524529248

Url: https://administrator.de/contentid/11524529248

Printed on: June 23, 2024 at 21:06 o'clock

Member: Visucius
Visucius Sep 19, 2023 at 20:55:29 (UTC)
Goto Top
Wireguard würde wohl laufen.

Willst Du es aber in 10 Min. garantiert funktionierend, dann zerotier.
Mitglied: 8585324113
8585324113 Sep 20, 2023 at 04:51:14 (UTC)
Goto Top
Du hast keine IPv4 oder v6?
Member: kpunkt
kpunkt Sep 20, 2023 at 05:58:15 (UTC)
Goto Top
Ich würd behaupten, du hast dynamische IPs.
Ohne DynDNS wird das eher nix. Kann ja auf dem Raspberry laufen.
Aber, ich weiß nicht, ob dein LTE-Anbieter da mitspielt. Früher(TM) brauchte es da einen bestimmten APN. Und da hängst du halt im Netz und solltest noch zusätzliche Vorsichtsmaßnahmen einbauen.

Mit Wireguard enn ich mich nicht aus. Hab da aber mal wo gelesen, dass es da auch ein Script braucht, damit die geänderte IP auch umgesetzt wird.
Member: Looser27
Looser27 Sep 20, 2023 at 07:05:58 (UTC)
Goto Top
Solange der VPN Tunnel vom LTE aus zu Deinem DSL aufgebaut wird, sollte das gehen (solange Du keinen DSL light Anschluss hast).
Da Dein ZTE MF286R kein VPN onboard hat würde ich einen VPN Client auf dem Raspi nehmen (IPsec bietet sich an, da die Fritte das nativ unterstützt).

Gruß

Looser
Member: aqui
aqui Sep 20, 2023 updated at 07:34:31 (UTC)
Goto Top
Könnte ich eine VPN Verbindung vom abgelegen Standort über den Rasp. PI nach Hause aufbauen lassen um dann von zuhause darauf zuzugreifen?
Ja das ist natürlich völlig problemlos und sehr einfach möglich mit einem VPN auf deine heimische FritzBox! Außerdem stellt es eine deutlich sicherere Lösung dar als das gefährliche, einfache Port Forwarding.

Bevor wir hier ins Detail gehen hast du 2 Optionen das VPN vom LTE RasPi aufbauen zu lassen und solltest festlegen welches du verwenden willst:
  • Per IPsec VPN
  • Per Wireguard VPN
Letzteres geht aber nur dann wenn deine Fritzbox eine 7.5er Firmware mit Wireguard VPN supportet.
Wichtig ist im VPN Setup das dein LTE RasPi immer der Initiator (Client) ist. also der der die VPN Verbindung aktiv aufbaut und deine Fritzbox immer der Responder (Server) ist also das Ende was die VPN Verbindung annimmt.

Ein paar allgemeine Grundlagen wie sowas grundsätzlich gelöst wird mit IPsec findest du u.a. hier.
Die Wireguard Variante findest du hier.
Beide VPN Protokolle führen zu einer einfachen Lösung deines Vorhabens.
Member: nupi81
nupi81 Sep 21, 2023 at 17:30:48 (UTC)
Goto Top
Vielen Dank,

mit welcher Software kann ich mit dem Raspberry Pi eine Verbindung zur Fritzbox aufbauen?
Gibt es bereits einen VPN Client nativ auf dem Rasp?
Member: Visucius
Visucius Sep 21, 2023 at 18:02:24 (UTC)
Goto Top
Schon mal den Namen "Google" gehört?! 🤨
Member: aqui
aqui Sep 21, 2023 at 20:40:08 (UTC)
Goto Top
Soweit muss der TO gar nicht gehen, denn es ist alles auf dem Silbertablett hier im Forum zu finden. Wireguard sogar in einem deiner Threads! 😉

Gibt es bereits einen VPN Client nativ auf dem Rasp?
Ja, natürlich!
Wie bereits oben mehrfach gesagt...
2 Optionen je nachdem ob deine FB FritzOS 7.5x supportet oder nicht. OS Versionen unter 7.5x supporten kein Wireguard.
  • Option 1 = IPsec VPN. apt instrall strongswan installiert dir das für den RasPi. Eine laufende Konfiguration fertig zum Abtippen für den RasPi bzw. Fritzbox findest die HIER!
  • Option 2 = Wireguard VPN. apt install wireguard installiert dir das für den RasPi. Eine laufende Konfig fertig zum Abtippen findest du HIER!

Such die für dich schönste Lösung aus! face-wink
Member: nupi81
nupi81 Sep 23, 2023 updated at 11:19:05 (UTC)
Goto Top
Vielen Dank!
Habe nun Strongswan mittels "sudo apt install strongswan libcharon-extra-plugins" installiert.

In der Anleitung (IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi)
geht es jedoch sofort mit der Konfiguration los. Dann ist hier von Jumphost die Rede.

Gibt es irgendwo eine Schritt für Schritt Anleitung wie man eine einfache ipSec VPN Verbindung zu einem vorhandenen Server aufbaut?

Habe keine Desktop-GUI auf dem Rasp, gibt es eventuell ein Tool um mittels GUI eine Verbindung aufzubauen?

Sorry, bin selber nur Programmierer, kein Linux-Mensch.

Auch nochmal die Frage, wenn ich nun eine VPN-Verbindung auf die Fritz aufgebaut habe, bleibt dann die Netzwerkverbindung innerhalb des Netzwerkes unverändert, oder muss alles über das Fritz-Netzwerk geroutet werden?
Member: aqui
aqui Sep 23, 2023 at 13:41:28 (UTC)
Goto Top
Gibt es irgendwo eine Schritt für Schritt Anleitung
https://docs.strongswan.org/docs/5.9/config/IKEv1.html
Habe keine Desktop-GUI auf dem Rasp
Das muss man auch nicht und wäre bei der VPN Konfig auch eher kontraproduktiv! face-wink
bleibt dann die Netzwerkverbindung innerhalb des Netzwerkes unverändert
Ja, da ändert sich gar nichts.
Member: Visucius
Visucius Sep 23, 2023 updated at 14:32:29 (UTC)
Goto Top
Ich sehe schon, das wird episch 😁

PS: zerotier.com
Member: aqui
aqui Sep 23, 2023 updated at 16:08:06 (UTC)
Goto Top
Nee, wir können das verkürzen mit etwas Silbertablet weil ja Wochenende ist! 😉
Voraussetzung sind DDNS Adressen (MyFritz! usw.) oder alternativ feste IPs auf den Routern.

back-to-topFritzbox VPN Konfigurationsdatei

Annahme lokales Fritzbox LAN = 192.168.178.0 /24
Werte in "<...>" ggf. Fritzbox LAN IP und Passwort/PresharedKey musst du nach deinen Gegebenheiten anpassen.
vpncfg {
        connections {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "RasPi";  
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
		remotehostname = "<ddns_adresse_lte_router>";  
                keepalive_ip = 172.22.22.1;
                localid {
                        fqdn = "<ddns_adresse_fritzbox>";  
                }
                remoteid {
                        key_id = "raspi@raspi.intern";  
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "Geheim1234!";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.22.22.0;
                                mask = 255.255.255.252;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 172.22.22.0 255.255.255.252";  
        }
} 


back-to-topRaspberry Pi Setup


Da dein Raspberry "einbeinig" angeschlossen ist benötigst du eine zusätzliche Loopback Adresse dort.
# The loopback network interface
auto lo
iface lo inet loopback
iface lo inet static
address 172.22.22.1
netmask 255.255.255.255 
Der RasPi muss danach rebootet werden und dann sollte ein ip a dir diese neue IP Adresse anzeigen!

Dann erzeugst du eine Konfig Datei in /etc/swanctl/conf.d/ mit z.B. dem Namen fritzbox.conf mit folgendem Inhalt:
connections {

fritzbox {
 local_addrs = 0.0.0.0/0
 remote_addrs = <ddns_adresse_fritzbox>
  local {
   auth = psk
   id = keyid:raspi@raspi.intern
   }
  remote {
   auth = psk
   id = fqdn:<ddns_adresse_fritzbox>
   }
  children {
   net {
   local_ts = 172.22.22.0/30
   remote_ts = 192.168.178.0/24
   esp_proposals = aes256-sha512-modp1024,aes256-sha1-modp1024
   start_action = start
   }
  }
 version = 1
 proposals = aes256-sha512-modp2048,aes256-sha512-modp1024,aes256-sha1-modp1024
 }
}

secrets {
 ike-1 {
 id = fqdn:<ddns_adresse_fritzbox>
 secret = "Geheim1234!"  
 }
} 
Mit swanctl -q startest du den VPN Tunnel zur Fritzbox.

Ein ipsec statusall sollte dir dann den aufgebauten IPsec VPN Tunnel zur Fritzbox anzeigen und dann sollte auch ein Ping auf die Fritzbox IP 192.168.178.1 erfolgreich sein!
Auch andersrum natürlich aus dem Fritzbox LAN auf die RasPi IP 172.22.22.1.

Falls deine Fritzbox Ver. 7.5x supportet und dir Wireguard vielleicht doch lieber ist, dann findest du die entsprechende Lösung aptippfertig HIER.

Beide VPN Lösungen führen zum Erfolg!
Member: nupi81
nupi81 Sep 23, 2023 updated at 18:01:29 (UTC)
Goto Top
Vielen Dank,
werde mich jetzt mal ran machen.

Die Fritzbox unterstützt kein Wireguard, bleibt also IPsec.


Voraussetzung sind DDNS Adressen (MyFritz! usw.) oder alternativ feste IPs auf den Routern.
Wieso benötige ich eine feste IP, bzw. DDNS auf beiden Routern?
Das steht auch in den Config Dateien (remotehostname = "<ddns_adresse_lte_router>"; )

Das ist ja gerade mein Problem dass der entfernte Router LTE-Router keine eigene IP-Adresse bekommt.
Mein eigentliches Ziel ist es ja von Zuhause (Fritzbox) auf das Netzwerk des LTE-Routers zuzugreifen.
Da das nicht geht wollte ich das der Rasp Pi eine Verbindung zur Fritzbox aufbaut
um dann von Zuhause (VPN Server / Fritzbox) auf das LTE-Netz zugreifen zu können.

Auf der Fritz Zuhause habe ich ein DDNS eingerichtet.
Member: aqui
aqui Sep 23, 2023 updated at 17:39:06 (UTC)
Goto Top
Wieso benötige ich eine feste IP, bzw. DDNS auf beiden Routern?
Die Fritzbox lässt sich mit ihrem eingeschränkten IPsec Setup, im Gegensatz zu "richtigen" Routern, leider nicht als reiner Responder konfigurieren der dynamische Profile supportet. Das supportet AVM nicht und ist leider der Nachteil bei diesen einfachen Plaste Consumerboxen.
Wenn du dort die üblichen "0.0.0.0" angibst für einen VPN Responder (Server) oder den Hostnamen weglässt (leer) kommt bei der FB der Tunnel nicht mehr zustande.
wollte ich das der LTE-Router eine Verbindung zur Fritzbox aufbaut
Wieso das denn jetzt?? 🤔
Ist der LTE Router denn ein VPN fähiger Router? Wenn das der Fall ist (und du auch leider nicht gesagt hast ☹️) kannst du dir doch dann das ganze Setup auf dem RasPi sparen und das VPN dann mit dem LTE Router direkt realisieren.
Das wäre die deutlich bessere Lösung, denn VPNs gehören ja bekanntlich immer auf die Peripherie!
Member: nupi81
nupi81 Sep 23, 2023 updated at 19:53:57 (UTC)
Goto Top
Mist habe mich vertippt.
Meinte natürlich dass der Rasp. Pi die Verbindung aufbauen soll und nicht der Router.
Habe das oben schon korrigiert.

Das verstehe ich jetzt aber nicht.
Heißt das man kann auf die Fritzbox nur eine Verbindung herstellen wenn der Fritzbox die Client-IP-Adresse schon bekannt ist?
Dann brauche ich ja gar nicht mehr weitermachen.
Eine feste IP-Adresse werde ich auf der entfernten Seite nicht bekommen.
Member: aqui
aqui Sep 24, 2023 at 10:01:39 (UTC)
Goto Top
Nein, eine feste IP ist lediglich eine Alternative. Wenn man dynamische IPs hat geht das natürlich auch immer mit der DDNS Adresse. face-wink
Member: nupi81
nupi81 Sep 25, 2023 updated at 08:32:47 (UTC)
Goto Top
Auf der LTE-Seite bekomme ich weder eine feste-IP, noch einen funktionierenden DDNS Eintrag.
Man bekommt im Mobilen Netz keine "eigene" IP-Adresse zugeordnet.
Deshalb möchte ich das ganze ja auf diese Weise machen.
Member: Visucius
Visucius Sep 25, 2023 at 08:42:16 (UTC)
Goto Top
Das ist hier glaube ich allen bewusst 😂
Member: aqui
aqui Sep 25, 2023 at 10:10:17 (UTC)
Goto Top
noch einen funktionierenden DDNS Eintrag.
Funktionieren tut der immer, auch im LTE Netz und das ist es worauf es ankommt. Ob es eine praktikable IP ist, ist dabei für die Fritzbox nicht entscheidend.
Member: nupi81
nupi81 Sep 25, 2023 at 10:15:25 (UTC)
Goto Top
OK, verstanden.
Vielen Dank!
Dann versuche ich es so.
Member: nupi81
nupi81 Sep 26, 2023 at 20:28:17 (UTC)
Goto Top
@aqui:

In deinem Beispiel oben verwendest du für die IP 172.22.22.1 einmal die Subnet Maske 255.255.255.252
und im Loopback die 255.255.255.255.

Ist da so beabsichtigt?
Member: nupi81
nupi81 Sep 26, 2023 updated at 22:18:23 (UTC)
Goto Top
Das ist das Ergebnis von sudo ipsec statusall:

Status of IKE charon daemon (strongSwan 5.9.1, Linux 6.1.21-v8+, aarch64):
  uptime: 95 seconds, since Sep 26 23:15:18 2023
  malloc: sbrk 1343488, mmap 0, used 364600, free 978888
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled:                                                                                                              1
  loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation                                                                                                              constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-                                                                                                             prf gmp agent xcbc hmac gcm drbg attr kernel-netlink resolve socket-default conn                                                                                                             mark farp stroke vici updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 e                                                                                                             ap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap xauth-pam tnc-tnccs d                                                                                                             hcp lookip error-notify certexpire led addrblock unity counters
Listening IP addresses:
  192.168.0.140
Connections:
    fritzbox:  0.0.0.0/0...1XX.2XX.1XX.1X  IKEv1
    fritzbox:   local:  [raspi@raspi.intern] uses pre-shared key authentication
    fritzbox:   remote: [1XX.2XX.1XX.1X] uses pre-shared key authentication
         net:   child:  172.22.22.0/30 === 192.168.2.0/24 TUNNEL
Security Associations (0 up, 1 connecting):
    fritzbox[1]: CONNECTING, 192.168.0.140[%any]...1XX.2XX.1XX.1X[%any]
    fritzbox[1]: IKEv1 SPIs: 51808ebce5272be3_i* 0000000000000000_r
    fritzbox[1]: Tasks queued: QUICK_MODE
    fritzbox[1]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CE                                                                                                             RT_POST ISAKMP_NATD

Auf der Fritzbox sehe ich keine aktive Verbindung, auch ein Ping ist von beiden Seiten aus nicht möglich.
(Auf 192.168.2.1 vom Rasp und auf 172.22.22.1 von einem Computer im Fritz Netzwerk.

Die IP-Adresse der Fritzbox ist ist 192.168.2.1
Die Adresse des Rasp wurde vom entfernten Router per DHCP mit 192.168.0.140 vergeben.

Vielen Dank schon mal!
Member: Looser27
Looser27 Sep 27, 2023 at 06:14:29 (UTC)
Goto Top
Die IP-Adresse der Fritzbox ist ist 192.168.2.1

hast Du das denn in der vorgeschlagenen Config von @aqui auch entsprechend angepasst?

Funktioniert auf der Fritzbox die DDNS-Adresse korrekt?
Member: nupi81
nupi81 Sep 27, 2023 updated at 13:36:22 (UTC)
Goto Top
Ich konnte die Config von oben (angepasst) nicht direkt verwenden,
da beim Import ein Fehler angezeigt wurde.

Habe dann über das Programm "Fritz!Fernzugang" einrichten eigene Dateien angelegt und entsprechend dem Beispiel geändert.

Statt DDNS habe ich zum Testen die aktuellen IP-Adressen der Router direkt angegeben.
Die IP-Adresse der Fritzbox kann ich von außen pingen, die des LTE Routers natürlich nicht.

Ich poste gleich mal meine Configs.

Ist es korrekt unterschiedliche Subnet-Masken zu verwenden (siehe Post oben)?
255.255.255.252 und im Loopback die 255.255.255.255.
Member: nupi81
nupi81 Sep 27, 2023 updated at 12:32:41 (UTC)
Goto Top
Hier meine Konfig:

Fritzbox:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "RaspXXX.crabdance.com";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "RaspXXX.crabdance.com";  
                localid {
                        fqdn = "XXXXXXXXXXXX.myfritz.net";  
                }
                remoteid {
                        key_id = "raspi@raspi.intern";  
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "XXXXXXX";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.22.22.0;
                                mask = 255.255.255.252;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 172.22.22.0 255.255.255.252";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}

auf RaspPI per
sudo nano /etc/network/interfaces
Die letzten drei Zeilen standen da schon drin und habe ich dementsprechend drin gelassen:
auto lo
iface lo inet loopback
iface lo inet static
address 172.22.22.1
netmask 255.255.255.255
# interfaces(5) file used by ifup(8) and ifdown(8)
# Include files from /etc/network/interfaces.d:
source /etc/network/interfaces.d/*

fritzbox.conf in /etc/swanctl/conf.d auf dem Rasp:
connections {

fritzbox {
 local_addrs = 0.0.0.0/0
 remote_addrs = XXXXXXXXXXXX.myfritz.net
  local {
   auth = psk
   id = keyid:raspi@raspi.intern
   }
  remote {
   auth = psk
   id = fqdn:XXXXXXXXXXXX.myfritz.net
   }
  children {
   net {
   local_ts = 172.22.22.0/30
   remote_ts = 192.168.2.0/24
   esp_proposals = aes256-sha512-modp1024,aes256-sha1-modp1024
   start_action = start
   }
  }
 version = 1
 proposals = aes256-sha512-modp2048,aes256-sha512-modp1024,aes256-sha1-modp1024
 }
}

secrets {
 ike-1 {
 id = fqdn:XXXXXXXXXXXX.myfritz.net
 secret = "XXXXXXXXXXXXXXXXXXXXXXX"  
 }
}

Nach dem connect per sudo swanctl -q kommt:
loaded ike secret 'ike-1'  
no authorities found, 0 unloaded
no pools found, 0 unloaded
loaded connection 'fritzbox'  
successfully loaded 1 connections, 0 unloaded

mit sudo ipsec statusall kommt:
Status of IKE charon daemon (strongSwan 5.9.1, Linux 6.1.21-v8+, aarch64):
  uptime: 85 seconds, since Sep 27 14:24:52 2023
  malloc: sbrk 1343488, mmap 0, used 373000, free 970488
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled:                                                                                                              1
  loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation                                                                                                              constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-                                                                                                             prf gmp agent xcbc hmac gcm drbg attr kernel-netlink resolve socket-default conn                                                                                                             mark farp stroke vici updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 e                                                                                                             ap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap xauth-pam tnc-tnccs d                                                                                                             hcp lookip error-notify certexpire led addrblock unity counters
Listening IP addresses:
  192.168.0.140
Connections:
    fritzbox:  0.0.0.0/0...XXXXXXXXXXXX.myfritz.net  IKEv1
    fritzbox:   local:  [raspi@raspi.intern] uses pre-shared key authentication
    fritzbox:   remote: [XXXXXXXXXXXX.myfritz.net] uses pre-shared key authe                                                                                                             ntication
         net:   child:  172.22.22.0/30 === 192.168.2.0/24 TUNNEL
Security Associations (0 up, 1 connecting):
    fritzbox[1]: CONNECTING, 192.168.0.140[%any]...1xx.2xx.1xx.1x[%any]
    fritzbox[1]: IKEv1 SPIs: be85ffcf5b944132_i* 0000000000000000_r
    fritzbox[1]: Tasks queued: QUICK_MODE
    fritzbox[1]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CE                                                                                                             RT_POST ISAKMP_NATD

Nach ein paar Sekunden kommt nach "sudo ipsec statusall" das:
Status of IKE charon daemon (strongSwan 5.9.1, Linux 6.1.21-v8+, aarch64):
  uptime: 5 minutes, since Sep 27 14:24:53 2023
  malloc: sbrk 1343488, mmap 0, used 378096, free 965392
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm drbg attr kernel-netlink resolve socket-default connmark farp stroke vici updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap xauth-pam tnc-tnccs dhcp lookip error-notify certexpire led addrblock unity counters
Listening IP addresses:
  192.168.0.140
Connections:
    fritzbox:  0.0.0.0/0...XXXXXXXXXXXX.myfritz.net  IKEv1
    fritzbox:   local:  [raspi@raspi.intern] uses pre-shared key authentication
    fritzbox:   remote: [XXXXXXXXXXXX.myfritz.net] uses pre-shared key authentication
         net:   child:  172.22.22.0/30 === 192.168.2.0/24 TUNNEL
Security Associations (0 up, 0 connecting):
  none

Hoffe man ich habe nichts vergessen.

Danke euch!
Member: nupi81
nupi81 Sep 29, 2023 at 09:17:52 (UTC)
Goto Top
Hallo zusammen,

würde mich über einen kleinen Schubser freuen!

Danke!
Member: aqui
aqui Sep 29, 2023 updated at 11:34:58 (UTC)
Goto Top
Ist es korrekt unterschiedliche Subnet-Masken zu verwenden
Das ist korrekt. Die /30 in der VPN P2 Konfig sagt ja nur das dieses /30er Subnetz mit der Loopback Hostadresse in den Tunnel geroutet wird.
Nach ein paar Sekunden kommt nach "sudo ipsec statusall" das:
Das sieht doch gut aus. Kannst du denn vom vServer die FB LAN Adresse pingen und von der FB die vServer Loopback IP?
Member: nupi81
nupi81 Sep 29, 2023 updated at 13:08:51 (UTC)
Goto Top
Also ist es korrekt, dass einmal 255.255.255.255 und dann wieder 255.255.255.252 angegeben ist?

Ich denke nicht dass es "gut" aussieht.
Da steht ja 0 up, 1 connecting.
Sollte es nicht irgendwann mal zu
1 up, 0 connecting wechseln?

Jedenfalls steht in der Fritzbox im Online Monitor für den VPN Zugang "nicht hergestellt".
Auf der Fritzbox wird auch nichts unter "Ereignisse" protokolliert.

Ein Ping von beiden Seiten ist dementsprechend nicht möglich.


Im /var/log/syslog habe ich dies gefunden:
Sep 29 14:35:05 raspberrypimare charon: 13[CFG] loaded IKE shared key with id 'ike-1' for: 'XXXXXXXXXXXXXXXXXXXX.myfritz.net'  
Sep 29 14:35:05 raspberrypimare charon: 06[CFG] added vici connection: fritzbox
Sep 29 14:35:05 raspberrypimare charon: 06[CFG] initiating 'net'  
Sep 29 14:35:05 raspberrypimare charon: 06[IKE] initiating Main Mode IKE_SA fritzbox[1] to 1xx.2xx.1xx.1x
Sep 29 14:35:05 raspberrypimare charon: 06[ENC] generating ID_PROT request 0 [ SA V V V V V ]
Sep 29 14:35:05 raspberrypimare charon: 06[NET] sending packet: from 192.168.0.140[500] to 1xx.2xx.1xx.1x[500] (252 bytes)
Sep 29 14:35:09 raspberrypimare charon: 16[IKE] sending retransmit 1 of request message ID 0, seq 1
Sep 29 14:35:09 raspberrypimare charon: 16[NET] sending packet: from 192.168.0.140[500] to 1xx.2xx.1xx.1x[500] (252 bytes)
Sep 29 14:35:16 raspberrypimare charon: 13[IKE] sending retransmit 2 of request message ID 0, seq 1
Sep 29 14:35:16 raspberrypimare charon: 13[NET] sending packet: from 192.168.0.140[500] to 1xx.2xx.1xx.1x[500] (252 bytes)
Sep 29 14:35:29 raspberrypimare charon: 06[IKE] sending retransmit 3 of request message ID 0, seq 1
Sep 29 14:35:29 raspberrypimare charon: 06[NET] sending packet: from 192.168.0.140[500] to 1xx.2xx.1xx.1x[500] (252 bytes)
Sep 29 14:35:53 raspberrypimare charon: 14[IKE] sending retransmit 4 of request message ID 0, seq 1
Sep 29 14:35:53 raspberrypimare charon: 14[NET] sending packet: from 192.168.0.140[500] to 1xx.2xx.1xx.1x[500] (252 bytes)
Sep 29 14:36:35 raspberrypimare charon: 16[IKE] sending retransmit 5 of request message ID 0, seq 1
Sep 29 14:36:35 raspberrypimare charon: 16[NET] sending packet: from 192.168.0.140[500] to 1xx.2xx.1xx.1x[500] (252 bytes)
Sep 29 14:37:50 raspberrypimare charon: 14[IKE] giving up after 5 retransmits
Sep 29 14:37:50 raspberrypimare charon: 14[IKE] establishing IKE_SA failed, peer not responding


Vom RaspPi kann ich die Fritzbox Adresse xxxxxxxxxxx.myfritz.net anpingen.
Member: aqui
aqui Sep 29, 2023 updated at 16:54:38 (UTC)
Goto Top
Also ist es korrekt, dass einmal 255.255.255.255 und dann wieder 255.255.255.252 angegeben ist?
Ja.
Nochmal im Detail:
  • Die /32er Maske besagt das das RasPi Loopback Interface lediglich eine einzige Hostadresse ist. Logisch, denn das Loopback Interface ist nicht in einem Netzwerk. face-wink
  • Die /30er Maske in den Phase 2 Settings beim IPsec definiert immer welcher IP Zieltraffic in den Tunnel geroutet wird. Hier ist spaßeshalber ein Netzwerk mit 2 möglichen Hostadressen (.22.1 und .22.2) gewählt in dem auch die Loopback Adresse liegt. Das eine hat mit dem anderen direkt nichts zu tun.
Ich denke nicht dass es "gut" aussieht.
Das ist richtig... "establishing IKE_SA failed, peer not responding" besagt das das Gegenüber, sprich die Fritzbox überhaupt gar nicht antwortet!! Da stimmt also etwas mit der Peer IP Adresse der FB nicht oder die Fritzbox wird an einem DS-Lite Anschluss betrieben an dem prinzipbedingt keine VPN funktionieren?!

Hast du an der Fritzbox einmal einen Paket Sniffer am WAN Anschluss laufen lassen um überhaupt mal zu sehen ob dort IKE Pakete vom RasPi ankommen?
https://lost-in-it.de/fritzbox-netzwerkverkehr-mitschneiden-und-auswerte ...
Wenn du nach dem Starten des Mitschnitts den RasPi bzw. dessen IPsec Tunnel neu startest (swanctl -q oder systemctl restart strongswan) Solltest du im Mitschnitt eingehende UDP 500 Pakete (IKE) mit der Absender IP des LTE Routers und Ziel IP Fritzbox WAN sehen.
Member: aqui
aqui Oct 24, 2023 at 14:06:05 (UTC)
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!