IPSEC VPN EFW mit FRITZBOX

    Hallo,

    ich bin Endian Neuling.
    Ich versuche seid 2 Tagen ein IPsec VPN zwischen Endian und einer Fritzbox erfolglos aufzubauen.
    Ich hoffe, dass mir hier jemand weiterhelfen kann.

    eFW: statische ip
    fb: dyn-dns

    Meine FB Config:

    vpncfg {
    connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "123.123.123.123";
    always_renew = no;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 123.123.123.123;
    remote_virtualip = 0.0.0.0;
    localid {
    fqdn = "name.no-ip.org";
    }
    remoteid {
    ipaddr = 123.123.123.123;
    }
    mode = phase1_mode_idp;
    phase1ss = "alt/aes-3des/sha";
    keytype = connkeytype_pre_shared;
    key = "lustiger-key";
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.3.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.105.0;
    mask = 255.255.255.0;
    }
    }
    phase2ss = "esp-des|3des-all/ah-all/comp-no/no-pfs";
    accesslist = "permit ip any 192.168.105.0 255.255.255.0";
    }

    Config der efw:


    Fehlermeldung FB LOG:
    IKE-Error 0x2026 "no proposal chosen"

    Fehlermeldung efw Log:
    ipsec 07[IKE] no IKE config found for 78.47.113.183...83.125.120.140, sending NO_PROPOSAL_CHOSEN
    ipsec 07[ENC] generating INFORMATIONAL_V1 request 3043842381 [ N(NO_PROP) ]

    Merkwürdig ist auch, dass in den Statudinformationen der efw trotz Neustart der Dienst VPN (IPsec) auf gestoppt steht.

    Kann mir jemand weiterhelfen?

    Dass der Status von VPN (IPsec) auf "Gestoppt" steht ist nur ein kosmetischer Fehler, der dem Umstieg von Pluto auf Charon geschuldet ist. Würde IPsec nicht laufen, bekämst Du andere Fehlermeldungen.
    Ohne jetzt im Detail auf Deine Konfiguration einzugehen, hier die Variante, wie es funktionieren muss.

    Fritzbox.cfg

    /*
    */

    vpncfg {
    connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "Endian";
    always_renew = no;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = <öffentliche-ip-der-endian>;
    remote_virtualip = 0.0.0.0;
    localid {
    fqdn = "fritzbox";
    }
    remoteid {
    fqdn = "endian";
    }
    mode = phase1_mode_idp;
    phase1ss = "alt/aes-3des/sha";
    keytype = connkeytype_pre_shared;
    key = "lustiger-key";
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.3.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.105.0;
    mask = 255.255.255.0;
    }
    }
    phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
    accesslist = "permit ip any 192.168.105.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    // EOF

    Und hier die Einstellungen auf Endian-Seite:

    Erstmal vielen Dank für die Hilfe soweit. Der Tunnel wird aufgebaut. Ping von beiden Seiten möglich :thx:
    Jetzt habe ich noch ein weiteres Problem. Die efw hat eine statische IP die fb jedoch DynDNS.
    Nach der Zwangstrennung wird der Tunnel sofort geschlossen und ich muss ihn dann jeden Morgen zurücksetzen.
    Eigentlich sollte die Verbindung nach einem Dead Peer automatisch neu starten. Anscheinend unterstützt die fb kein DPD.
    Im WebGui der efw kann ich es aber nicht deaktivieren. Gibt es eine Möglichkeit die DPD über SSH zu deaktivieren?
    Oder gibt es eine andere Möglichkeit den Tunnel am Leben zu halten?

    Danke vorab :D

    Du kannst in der ipsec.conf auf der efw für Deine Verbindung die Zeile mit dpdaction=restart löschen. Aber ob das was bringt wage ich zu bezweifeln.
    Die Fritzboxen beherrschen in der Tat kein vernünftiges DPD - zumindest kann die efw mit den gesendeten Hashes nix anfangen, dennoch sollte die Verbindung automatisch wieder aufgebaut werden, nachdem die neue IP-Adresse per DNS aufgelöst werden kann, denn die efw wartet geduldig auf einen Verbindungsversuch und die Fritzbox löst diesen auch aus, wenn die Verbindung getrennt wurde.

    Ich habe die ipsec.conf editiert und alle dpd Einträge entfernt. Danach ipsec über ssh neugestartet. Gebracht hat es leider nichts. Sobald sich die Fritzbox eine neue IP abholt wird der Tunnel auf der endian Seite geschlossen.
    Du sagst, dass die endian warten sollte auf einen reconnect der fb. Das ist aber nicht der Fall. Die fb baut den Tunnel ja nicht auf. Das macht die efw. Im config-file der fb gibt es den Eintrag always_renew=no würde es einen Unterschied machen den Eintrag auf yes zu setzen?
    Welche Möglichkeiten habe ich noch das Problem zu beheben? Nach einem reboot der efw wird die Verbindung automatisch hergestellt. Das wäre natürlich keine schöne Lösung die efw jede Nacht rebooten zu lassen.

    Ich habe seit Jahren eine FB einer Filiale auf die efw der Zentrale mit dieser Konfiguration stabil und dauerhaft angebunden. Die FB hat dabei auch eine dynamische IP, die von Zeit zu Zeit aktualisiert wird.
    Die efw muss nicht zwangsläufig Auslöser der Verbindung sein, sondern kann auch Antwortender sein (Initiator oder Responder). Die Trennung geht ja von der FB aus, weshalb die efw wie geschrieben wartet, bis wieder eine Verbindungsanforderung kommt.
    Wieviele DPD-Einträge hast Du denn in der IPSec.conf entfernt? Eigentlich gibt es nur einen pro angelegter Verbindung. Um diese Änderung dauerhaft zu speichern, muss übrigens auch die Vorlage, sprich die ipsec.conf.tmpl entsprechend bearbeitet werden, sonst ist nach einem Neustart wieder alles beim Alten. Ich würde allerdings empfehlen, eine Sicherungskopie dieser Datei zu machen, bevor Du sie editierst, sonst läuft u.U. gar nichts mehr.
    Den DPD-Eintrag habe ich bei meiner Verbindung zur FB drin gelassen, auch wenn diese nicht damit umgehen kann. Ausser regelmässigen Einträgen im Log stört das eigentlich nicht weiter.

    Das ist mir bewusst. Ich habe die ipsec.conf.tmpl editiert, sodass keine DPD Einträge mehr in die ipsec.conf geschrieben weden. Leider hat das nichts gebracht. Also alles auf Anfang. Die DPD Änderungen Rückgängig gemacht. Benutzt du efw 3.0 Community? Falls nicht scheint es diesbezüglich Änderungen gegeben zu haben. In der fb config always_renew auf yes gesetzt - brachte auch keine Änderung. VPN Firewall habe ich deaktiviert. Welche Werte hast du bei Ping Delay und Timeout interval gesetzt? Ansonsten weis ich wirklich nicht mehr weiter, wieso die Verbindung jedes mal geschlossen wird... :nerv:

    Kurz zur Erklärung;
    Es stehen 3 Server + efw (virtualisiert) im Rechenzentrum.
    Es sind 3 IPsec Verbindungen für die Außenstellen angelegt. Mobile Clients wählen sich über oVPN ein.

    Ja, ich benutze die efw 3.0.0 Community, seit diese released wurde. Vorher hatte ich die 2.5.1 im Einsatz. Ping Delay und Timeout habe ich nicht verändert. Allerdings habe ich aus der ipsec.conf noch die Parameter lextnexthop (welcher bei strongswan 5.1.1 sowieso überholt ist) und leftsourceip entfernt, da ich mit einer anderen Gegenstelle zuvor Verbindungsprobleme hatte. Die FB lief aber auch mit der Default-Konfiguration.
    Vielleicht liegt bei Dir der Hund in der Virtualisierung begraben. Die efw würde ich ohnehin auf einem dedizierten Server laufen lassen.

    Ich habe folgendes herausgefunden. Fritzbox 1: 7330SL - Tunnel baut neu auf. Fritzbox 2: 7390 - Tunnel baut neu auf. Fritzbox 3: 7170 - Tunnel wird geschlossen. Das Problem gibt es nur mit einer Fritzbox. Es scheint also an der Fritzbox zu liegen.

    Ein weiteres Problem gibt es mit http/s Zugriff von Fritzbox-Seite auf endian. RDP und Datei/Druckerfreigabe funktioniert.
    Die VPN-Firewall ist deaktiviert. Welche Firewal muss ich wie konfigurieren, damit http/s Zugriff auf hinter der efw liegende Server möglich ist?
    http/s Zugriff auf Server hinter fb von endian Seite funktioniert.

    Kann mir jemand schnell helfen?
    Wie lege ich einen cronjob an, der täglich um 03:30 folgendes ausführt:
    /etc/init.d/ipsec restart
    Ich bekomme es nicht hin.
    Vielen Dank

    Der http Zugriff auf Server hinter der efw ist jetzt auch möglich.
    Es lag an der Server-Firewall, nicht an endian.
    Nur der Zugriff auf das endian web-gui von fremden Netzen klappt noch nicht.

    Den Cronjob konnte ich erfolgreich anlegen. Die VPN baut jeden Tag nun neu auf.
    Welche Firewallregel muss erstellt werden, damit der https/ssh Zugriff auf die efw von externen VPN Netzen möglich ist?

    Danke :thx:

    Für http unter -> Firewall - > Systemzugriff auf ROT den Port 10443 freigeben.
    SSH würde ich nur bei Bedarf aktivieren. Falls doch dauerhaft analog zu http.