IPsec OpnSense <-> Fritzbox

Ralfdg

New member
Hallo zusammen,
ich habe seit Monaten eine stabile IPsec Verbindung von einer Fritzbox (7590) zur Opnsense Firewall. Nun habe ich die aktuelle Version von Opnsense eingespielt und auch die Fritzbox auf 7.50 aktualisiert.
Nun hält die Verbindung maximal eine Stunde und ist dann tot. In der Fritzbox steht dann häufig "Ursache: 3 IKE server", also remote hätte die Verbindung geschlossen. In der Firewall finde ich keine Eintränge, die denkt erstmal die Verbindung ist noch aktiv. Nun reicht es leider nicht die Verbindung neu aufzubauen, das funktioniert nur selten. Normalerweise muss ich die Verbindung in der Fritzbox deaktivieren und wieder aktivieren und auch in der Firewall IPsec neu starten.

Ich habe die Fritzbox im Verdacht, da es wohl einige Änderungen an der IPsec Implementierung gab. Ein Downgrade wäre meine letzte Option, dann muss ich alle Einstellungen manuell nachziehen :-(

Hat noch jemand diese Probleme in diesen Versionen?
Oder jemand alternativ schon eine Verbindung mit Ipsecv2 oder sogar Wireguard gemacht ?

Grüße
Ralf
 
Ich nutze IPsec nicht und auch keine Fritte, aber mit 7.50 wurde doch von IKEv1 auf IKEv2 umgestellt... hast Du das an der Sense angepasst?
 
Hi tiermutter,
ich habe versucht neue Verbindungen einzurichten über IKEv2, das ist aber immer fehlgeschlagen. Der Verbindungsaufbau und die Verbindung funktioniert mit IKEv1 ja, nur leider nicht dauerhaft.
Das ist das komische.
 
Ja, da schaue ich natürlich, entschuldige die unpräzise Aussage.
In der Fritzbox steht folgendes, leider nix sinnvolles:
11:54 Anmeldung von user xxx (das bin ich, weil ich gesehen habe, dass die Verbindung tot ist)
10:57 Verbindungsaufbau
Also keine Erkennung der kaputten Verbindung von der Fritzbox.

In der OPNsense habe ich DPD (DeadPeerDetection) eingestellt, daher sehe ich das folgendes:
11:52 Sending DPD request (und hier Wiederholung bis ich manuell einschreite)
11:51 Sending packet
11:51 generation INFORMATIONAL_V1 request
11:51 Sending DPD request
10:57 sending packet (=Verbindungsaufbau erfolgreich)

Hier gibt es eine Erkennung, aber der Wiederaufbau funktioniert nicht.
Ich hatte auch schon Cronjob laufen, der den IPsec Service immer wieder neustartet, hat aber auch nicht geholfen.

Ich muss immer auf beiden Seiten die Verbindung manuell stoppen.
 
Hast Du in der Fritzbox-Config auch entsprechende Parameter hinterlegt (z.B. "always_renew" + "keepalive_ip")?
 
Den hier habe ich gesetzt: always_renew = yes;
Keepalive_ip kannte ich in der Fritzbox noch nicht, werde ich mal ausprobieren, aber eigentlich macht das die Gegenstelle schon. Kann leider erst heute Abend solche Dinge ausprobieren.
 
Keepalive hatte ich gesetzt, hat nicht geholfen. Habe den nächsten nicht dokumentierten Parameter gefunden (LT8h), der erweitert die Leasetime und damit habe ich das Problem nur noch alle 8h.
Quelle: https://weberblog.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert/

Hatte heute einen Neuaufbau der Internetverbindung durch die Fritzbox und musste deshalb wieder auch manuell die Verbindung auf beiden Seiten stoppen und dann neu aufbauen.

Frische VPN-Verbindung geht wunderbar und zuverlässig, nur das neuverbinden will einfach nicht.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.213
Beiträge
43.951
Mitglieder
3.806
Neuestes Mitglied
Andy74
Zurück
Oben