Site-to-Site VPN mit IPSec und Fritzbox

[philipp-schoene]

Ich möchte gerne ein Sit-toSite VPN mit einer Fritzbox aufbauen. Ich bin bisher nur mit den fertigen GUI der Fritzbox in Berührung gekommen, nun probiere ich das VPN mit der OPNsense und Fritzbox aufzubauen.
Die Log sieht wie folgt aus:

2023-05-26T15:17:05    Informational    charon    14[NET] <28> sending packet: from IP1[500] to IP2[500] (56 bytes)   
2023-05-26T15:17:05    Informational    charon    14[ENC] <28> generating INFORMATIONAL_V1 request 2967839012 [ N(NO_PROP) ]   
2023-05-26T15:17:05    Informational    charon    14[IKE] <28> no proposal found   
2023-05-26T15:17:05    Informational    charon    14[CFG] <28> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048   
2023-05-26T15:17:05    Informational    charon    14[CFG] <28> received proposals: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024   
2023-05-26T15:17:05    Informational    charon    14[IKE] <28> 91.48.101.221 is initiating a Aggressive Mode IKE_SA   
2023-05-26T15:17:05    Informational    charon    14[ENC] <28> received unknown vendor ID:     
2023-05-26T15:17:05    Informational    charon    14[IKE] <28> received draft-ietf-ipsec-nat-t-ike-03 vendor ID   
2023-05-26T15:17:05    Informational    charon    14[IKE] <28> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID   
2023-05-26T15:17:05    Informational    charon    14[IKE] <28> received NAT-T (RFC 3947) vendor ID   
2023-05-26T15:17:05    Informational    charon    14[IKE] <28> received DPD vendor ID   
2023-05-26T15:17:05    Informational    charon    14[IKE] <28> received XAuth vendor ID   
2023-05-26T15:17:05    Informational    charon    14[ENC] <28> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]   
2023-05-26T15:17:05    Informational    charon    14[NET] <28> received packet: from IP2[500] to IP1[500] (720 bytes)   
2023-05-26T15:17:04    Informational    charon    14[NET] <27> sending packet: from IP1[500] to IP2[500] (56 bytes)   
2023-05-26T15:17:04    Informational    charon    14[ENC] <27> generating INFORMATIONAL_V1 request 540189309 [ N(NO_PROP) ]

Für mich (als Neuling) sieht es so aus, als ob die beiden sich nicht auf eine Verschlüsselung einigen können. Kann mir jemand weiterhelfen?

 

[blurrrr]

Da hilft bestimmt das hier weiter: https://avm.de/service/vpn/fritzbox-mit-einem-firmen-ipsec-vpn-verbinden/

 

[philipp-schoene]

Wenn ich unter VPN - IPSec - Status Overview nachsehe wird die Verbindung anscheinend aufgebaut. Aber muss rechts nicht das eingestellt IP-Netz stehen? Oder muss ich noch etwas einrichten?

 

[Stationary]

Gleich vorweg, ich kenne Opensense nicht, aber als Hash algorithm hast Du SHA1 eingestellt?

 

[philipp-schoene]

Nein SHA512

 

[Stationary]

Irgendwo meine ich mal gelesen zu haben, daß der Hash algorithm SHA1 sein muß. Ist aber schon etwas her und ich weiß auch nicht mehr genau wo. Wäre aber mal einen Versuch wert.

 

[philipp-schoene]

Laut der oben verlinkten Seite darf es SHA2-512, SHA1 oder MD5-96 sein.

 

[blurrrr]

Keine Ahnung wie es bei der OPNsense aussieht, aber wenn rechts 0.0.0.0/0 steht, dürfte vermutlich jeglicher Traffic durch den Tunnel wandern. Kannste ja einfach mal mit via Traceroute von einem Client hinter der OPNsense testen

 

[philipp-schoene]

Ich habe mal unter Interfaces einen trace Route gemacht. Es antwortet ein Server vom Provider, was ja nicht soll. Also schickt die Opnsense den Stream nicht in den VPN, muss ich da noch was einstellen?

 

[blurrrr]

Was steht denn unter "VPN / IPSec / Status Overview"? Da sollten die lokalen Netze eigentlich in P2 auftauchen, inkl. State "Installed".

EDIT: Schon wieder weg von Deiner Wireguard-Idee?

 

[philipp-schoene]

Wenn ich unter VPN - IPSec - Status Overview nachsehe wird die Verbindung anscheinend aufgebaut. Aber muss rechts nicht das eingestellt IP-Netz stehen? Oder muss ich noch etwas einrichten?
Anhang anzeigen 4006

So sieht es unter Status Overviews aus. Ein "installed" sehe ich hier nicht.

Wireguard möchte mein Bruder nicht nutzen. Daher bin ich zu IPSec gewechselt. Wireguard nutze ich aber für meine Endgeräte, wie du vielleicht dann noch weißt.

 

[blurrrr]

Da fehlt dann noch die Phase 2

EDIT: Schau mal hier: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html

 

[philipp-schoene]

Ich habe mal die Diffie Helmman auf Gruppe 2 gestellt. Eigentlich sollte auch 1,5,14,15 akzeptieren. Dann ging es. Und das "installed" sieht man nur, wenn man den Eintrag anklickt. Muss man auch wissen.

 

[blurrrr]

Ich musste bei mir nix klicken, aber ok, hauptsache es läuft nun

 

[philipp-schoene]

Seit einer guten Woche läuft das VPN nun und ich muss sagen jetzt klappt es. Bei der Fritzbox 7490 musste ich nachhelfen. Erst nachdem ich kurzzeitig auf dem WAN ein Pingen erlaubt hatte, klappte die Verbinddung. Bei der 7590 gibt es auch ohne.
Danke für eure Hilfe.