Über IPsec und das präzise Zusammenspiel zwischen Fritz Box und pfSense

καλημέρα, liebe Kolleginnen und Kollegen,

das Zusammenspiel mit einer Φριτζ Βοξ (in Deutschland besser bekannt als "Fritz Box") und der OpenSource Firewall pfSense gestaltet sich ja bekanntermassen für viele als schwierig. Selbst ich als Profi (MCSE) musste lange herumfummeln, bis ich eine funktionierende Kombination von Parametern identifizieren konnte, die mit beiden Gegenstellen kompatibel ist. Nun aber kann ich mich von remote per IPsec mit dem Netzwerk meines neuen Arbeitgebers verbinden (wunderschön im griechischen "Outback" auf der romantischen Pelopónnisos Πελοπόννησος), wo ich als Experte für IT-Sicherheit arbeite. Die Moral: Man darf sich von Technik niemals kleinkriegen lassen, niemals. Es gibt immer Hoffnung! So klappt es - zumindest hier in Ελλάδα:

Eckdaten

Hauptnetz in der Zentrale:

• pfSense: 2.2-release (amd64)
• IP Adressen intern 172.25.0.0/16 (privater IP Adressbereich); für ein 24er Netz wäre entsprechend z.B. 172.25.135.0/24 zu wählen.
• WAN extern: WAN extern über öffentliche IP-Adresse erreichbar. Hier im Beispiel ist die öffentliche IP-Adresse 123.213.21.230

Aussenstelle:

• Fritz OS 6.23 (FB 7390)
• IP Adressen intern 192.168.56.0/24 (privater IP Adressbereich)
• Extern: DynDNS Name (hier im Beispiel): my-dyndns-name.example.com

Einstellungen in der pfSense

Phase 1:

Key Exchange Version	Auto
Internet Protocol	IPv4
Interface	WAN
Remote Gateway	my-dyndns-name.example.com	# An eigenen Namen anpassen
Description	Beliebige Beschreibung
Authentication Method	Mutual PSK
Negotiation Mode	Main
My identifier	My IP address
Peer identifier	Distinguished name, my-dyndns-name.example.com	# An eigenen Namen anpassen
Pre-Shared Key	T0pS3cr3t	# mindestens 8 kreative Zahlen / Buchstaben (vielleicht sogar besser ein paar mehr, man muss sie sich ja nicht merken), entsprechend PSK in FritzBox
Encrption algorithm	AES 256 bit
Hash algorithm	SHA1
DH Key Group	2 (1024 bit)
Lifetime	3600 seconds
NAT Traversal	Auto
Dead Peer Connection	Enable DPD, 60 seconds, 5 retries

Advanced Settings:

• Defaults, kein Haken bei Enable IPCompression



Phase 2:




Mode	Tunnel IPv4
Local Network	Type: Network, Address 172.25.0.0/16	# an lokales Netz anpassen
NAT/BINAT	Type: None	# bei fixer IP Adresse der lokalen pfSense Box
Remote Network	Network, 192.168.56.0/24
Protocol	ESP
Encryption algorithms	3DES
Hash algorithm	SHA1
PFS key group	2 (1024 bit)
Lifetime	3600 seconds
Automatically ping host	192.168.56.1





pfSense, weitere Einstellungen




Firewall: NAT: Port Forward


Reiter Outbound


• Mode: Automatic outbound NAT rule generation (IPsec passthrough included) wählen.Sicherstellen, dass 192.168.56.0/24 in den "Automatic rules" auftaucht.
• Wenn nicht, Hybrid Mode bzw. Manual Mode wählen und folgende Regeln zufügen.



Interface	Source	Source Port	Destination	Destination Port	NAT Address	NAT Port	Static Port
WAN	192.168.56.0/24	*	*	*	WAN address	*	NO	Alle Schleusen auf, alles rein
WAN	192.168.56.0/24	*	*	500	WAN address	*	NO	Port 500 geöffnet, wird bei "Automatic outbound NAT rule generation" automatisch für IPsec passthrough erzeugt;










Firewall - Rules


pfSense benötigt die UDP-Ports 500 und 4500 (für NAT-T, falls erforderlich) sowie für das Protokoll ESP.

Reiter WAN


ID	Proto	Source	Port	Destination	Port	Gateway Queue	Schedule	Description
	IPv4	TCP	*	*	WAN address	500 (ISAKMP)	*	none
	IPv4	TCP	*	*	WAN address	4500 (IPsec NAT-T)	*	none





Reiter IPsec

Eine Regel hinzufügen, die den gesamten Traffic durch den IPsec Tunnel erlaubt



ID	Proto	Source	Port	Destination	Port	Gateway Queue	Schedule	Description
	IPv4*	*	*	*	*	*	*	none







Interfaces: IPsec




Enable interface	Haken setzen
IPv4 Configuration Type	DHCP
IPv6 Configuration Type	bei Bedarf setzen, ist bei mir None


Alles andere Default









Settings in der Fritz Box:




Vorbereitung DynDNS


DynDNS entsprechend der Anleitung des DynDNS Providers einrichten. Achtung: Es dauert einige Zeit, bis die DynDNS Einstellungen verfügbar sind (da DNS ein dezentral organisierter Dienst ist. Der neue DynDNS - Eintrag muss erst im Netz propagiert werden).


• Freigaben - Dynamic DNS
• Dynamic DNS benutzen - Haken setzen
• Parameter entsprechend eintragen (Dynamic DNS Anbieter, Domainname, Benutzername, ein eigenes DynDNS Kennwort (nicht der PSK oben!)



Konfigurationsdatei


Configuration file, zu importieren unter Internet - Freigaben - VPN (anpassen, # Kommentare in Rauten löschen #):



/*
 * C:\Users\Stronzolios\Desktop\remote-access.cfg
 * Thu Feb 12 22:02:51 2015
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN to Office";
                always_renew = yes;
                reject_not_encrypted = no;  # Unverschlüsselter Traffic / Internetverkehr (Surfen) geht nicht über VPN #
                dont_filter_netbios = yes;   # NetBIOS Anfragen (Domäne) führen zum Aufbau eines Tunnels #
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 123.213.21.230;
                remote_virtualip = 0.0.0.0;   # der Parameter  " remotehostname = "zentrale.example.com"; " ist weggelassen, es geht auch ohne #
		keepalive_ip = 172.25.135.100;  # IP Adresse eines ständig anpingbaren Rechners / Devices im Remotenetz, z.B. Server; dieser Parameter hält die Verbuindung aufrecht #
                localid {
                        fqdn = "my-dyndns-name.example.com";
                }
                remoteid {
                        ipaddr = 123.213.21.230;
                }
                mode = phase1_mode_idp;   # Main mode; sichere, pfSense erlaubt Auswahl des Aggressive Mode nicht immer #
                phase1ss = "alt/aes/sha";   # also Diffie-Hellman Group 2 (1024 bit), AES-256 und SHA-1 #
                keytype = connkeytype_pre_shared;
                key = " T0pS3cr3t";  # mindestens 8 originelle Zahlen / Buchstaben, entsprechend PSK in pfSense #
                cert_do_server_auth = no;
                use_nat_t = no;  # da die Gegenstelle eine statische IP-Adresse hat #
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.56.0;  # Anpassen, lokaler Adressbereich #
                                mask = 255.255.255.0; 
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.25.0.0;   # Anpassen, remote Adressbereich #
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip any 172.25.0.0 255.255.0.0";  # hier nur den IP-Adressbereich des Remote-Netzes eintragen, nicht denjenigen des lokalen Netzes #
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF




Weitere Parameter:


Firewalleinstellungen seitens der FritzBox sind nicht notwendig.

Freigaben - Portfreigaben: Keine




Weiterführende Links:


https://www.efw-forum.de/www/forum/viewtopic.php?t=1930
http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ...
https://doc.pfsense.org/index.php/VPN_Capability_IPsec
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_sit ...


Bis zum nächsten Mal und viel Erfolg!

Euer symphatischer, griechischer Sysadmin Stronzolios




Es muss ja auch mal EU-Hilfe aus Griechenland geben.