IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Das schwierige Thema VPN!
kressd
Posts: 14
Joined: January 26th, 2018, 8:06 pm

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by kressd » January 29th, 2018, 1:14 pm

Meine ipfire-Box hängt hinter einer Fritzbox als Exposed Host und ESP wird geforwardet. Es gibt keine VPN-Konfigurationen auf der FB.

Ich habe die Konfiguration aus dem Wiki und die hier gepostete verwendet und erhalte immer noch die Fehlermeldungen:
Auf der Remote Fritzbox "IKE-Error 0x2026 "no proposal chosen"" und
auf ipfire-Seite "charon: 03[NET] error writing to socket: Invalid argument"

Liegt das an der Router-Kaskade oder habe ich einen Denkfehler?
Image

kressd
Posts: 14
Joined: January 26th, 2018, 8:06 pm

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by kressd » March 5th, 2018, 6:58 pm

Die Fritzbox 7590 (Firmware 6.92) und 6840 LTE (Firmware 06.84) bieten laut ipfire log folgendes an:

Code: Select all

06[CFG] received proposals: 
 IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 , 
 IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
 IKE:AES_CBC_128/HMAC_SHA 1_96/PRF_HMAC_SHA1/MODP_1024, 
 IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
 IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, 
 IKE:AES_CBC_256/HMAC_MD5_96/P RF_HMAC_MD5/MODP_1024, 
 IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, 
 IKE:A ES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, 
 IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC _MD5/MODP_1024, 
 IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Wenn ich, wie hier vorgeschlagen, alle AES und alle MODP aktiviere, bietet ipfire allerdings nicht alles an und es kommt keine Verbindung zustande (no proposal chosen). Ich habe also nur alle AES-CBC und 3DES aktiviert sowie zur SHA1 und MODP-1024. Damit klappt auch die Verbindung zur Fritzbox 7590 und 6840 LTE.

Die “weak” und ”broken“ Bemerkungen bereiten mir nur etwas Sorgen.

Wieso werden nicht alle aktivierten Varianten von ipfire angeboten?
Image

kressd
Posts: 14
Joined: January 26th, 2018, 8:06 pm

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by kressd » April 26th, 2018, 2:15 pm

In 1.19 core 120 nightly sind die 3DES, SSH1 und MODP1024 noch enthalten. Damit steht mir einem Update von ipFire für mein Fritzboxen-Netzwerk nichts mehr im Wege. Ich hatte befürchtet, dass alle Verschlüsselungs-Libs aufgeräumt werden.
Image

extrasolar
Posts: 55
Joined: October 30th, 2016, 11:24 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by extrasolar » July 13th, 2018, 5:58 am

Vielen Dank für die Informationen die hier ausgetauscht wurden. Ich habe eben eine Fritzbox 7590 mit Firmware 06.92 mit einer IPFire Core 120 verbunden. 8)

Home: VF VDSL 109↓ 33↑, AVM FB: 7590 [07.12], RPi: Pi-Hole [4.3.2], VPN: IPsec
Office: VF Cable 400↓ 25↑, Modem: CBN CH7466CE, IPFire-HW: Jetway NC9C-550-LF, VPN: IPsec
One Life. Live it.
Image

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by femi » October 2nd, 2018, 10:13 am

Hallo Zusammen,
bie mir funktioniert das leider nicht, habe vieles getestet, aber geholfen hat mir nur die ipsec.conf manuell zu bearbeiten.
Was aber bedeutet daß ich im Webinterface keine Änderungen mehr machen kann.
Ich muß noch dazu sagen daß ich mit dem IPfire hinter einer Fritzbox hänge, Portforwarding ist eingetragen.
Hatte vorher IPcop, da hat das alles prima funktioniert.

Die Konfiguration die bei mir funktioniert sieht wie folgt aus:

Code: Select all

conn Fritzbox
        aggressive=yes
        left=192.168.2.2    (hänge hinter Router)
        leftsubnet=192.168.88.0/24
        leftfirewall=yes
        lefthostaccess=yes
        right=remotedyndns.homedns.org
        rightsubnet=192.168.44.0/24
        leftid="@mydyndns.dyndns.org"
        rightid="@remote.homedns.org"
        ike=aes256-sha1-modp1024
        esp=aes256-sha1-modp1024
        keyexchange=ikev1
        ikelifetime=1h
        keylife=8h
        dpdaction=none
        dpddelay=30
        dpdtimeout=120
        authby=secret
        auto=start
Hier die Konfig der Fritzbox:

Code: Select all

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "meinedyndns.dyndns.org";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "meinedyndns.dyndns.org";
                localid {
                        fqdn = "remote.homedns.org";
                }
                remoteid {
                        fqdn = "meinedyndns.dyndns.org";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Ced5b1Sccbf0da4cb?8bcb;82228da0f6@";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.44.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.88.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.88.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

baruch
Posts: 18
Joined: November 16th, 2014, 12:01 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by baruch » October 2nd, 2018, 11:58 am

Diesen Befund kann ich leider bestätigen: Erst vor wenigen Tagen habe ich vergblich versucht, den von mir selbst zuvor mal beschriebenen Lösungsvorschlag an den Betrieb einer IPFire hinter einem Router (hier: ZyXel ZyWALL 110) anzupassen.

Meine Versuche beschränkten sich aber auf die GUI-Optionen der IPFire bzw. die IPSec VPN-Konfigurationsdatei der FritzBox (hier 7490). Auf diesem Weg habe ich bisher noch keine funktionierende Variante gefunden.

Erschwerend kommt dazu, dass wir die ZyWALL einsetzen, um eine mehrfach redundante WAN Anbindung zu realisieren und jeweils noch ein DSL- bzw. Kabelrouter davor sitzt. Die Inbetriebnahme sämtlicher OpenVPN-Verbindungen (rw und n2n) auf der IPFire war in dem Szenario aber kein Problem. Nichtsahnend hatte ich erwartet, dass nach Forwarding der entsprechenden IPSec Ports 500 und 4500 auch die IPSec n2n Verbindungen funktionieren würden.

Ich werde mir mit Interesse ansehen, welche Änderungen Du hier vorgeschlagen hast.

Grüße,
baruch

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by femi » October 2nd, 2018, 12:30 pm

Na ja, eine Dauerlösung ist das nicht, aber zumindest muß ich nicht zurück zum Ipcop. Weil irgendwann bin ich ja eh gezwungen zu wechseln.
Vielleicht hat ja jemand noch eine Idee was man da sonst noch machen könnte.

extrasolar
Posts: 55
Joined: October 30th, 2016, 11:24 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by extrasolar » October 2nd, 2018, 7:28 pm

Die Konfiguration in IPFire habe ich mittels GUI vorgenommen und zwar sinngemäß wie folgt:
Bildschirmfoto 2018-10-02 um 21.13.45.png
Bildschirmfoto 2018-10-02 um 21.11.30.png
Bildschirmfoto 2018-10-02 um 21.07.06.png
Gruppentyp: Es müssen ausschließlich ALLE MODP aktiviert werden.


Bei mir steht die Verbindung äußerst robust. Die FB VPN Config sieht wie folgt aus:

Code: Select all

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "IPFireFritzBox";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "ipfire.dyn.de";
                localid {
                        fqdn = "fritzbox.dyn.de";
                }
                remoteid {
                        fqdn = "ipfire.dyn.de";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "30StellenZahlenBuchstabenKeineSonderzeichen";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Den Namen für die Verbindung habe ich beiderseits gleich gewählt. Keine Ahnung ob das erforderlich ist.

Home: VF VDSL 109↓ 33↑, AVM FB: 7590 [07.12], RPi: Pi-Hole [4.3.2], VPN: IPsec
Office: VF Cable 400↓ 25↑, Modem: CBN CH7466CE, IPFire-HW: Jetway NC9C-550-LF, VPN: IPsec
One Life. Live it.
Image

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by femi » October 4th, 2018, 9:09 am

Hab jetzt noch mal alles getestet, bie mir kommt der Tunnel nur hoch wenn ich in der IPsec.conf bei jedem Eintrag
aggressive=yes
davor setze und danach den IPsec Dienst neu starte.
Leider ist die Einstellung im IPfire nicht mehr drin, beim IPcop gabs die, da haben meine Tunnels auch alle stabil funktioniert.
Vielleicht liegt es daran daß ich hinter einer Fritzbox hänge, der IPfire ist als "Exposed Host" eingetragen.
Eine andere Verbindung mit Zertifikaten funktioniert dagegen tadellos.

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by femi » October 5th, 2018, 1:30 pm

Ich habe jetzt festgestellt daß die Tunnel, die vorher mit dem IPcop Wochenlang ohne Probleme gelaufen sind, alle paar Stunden ausfallen.
Das dauert dann ca. 5 Minuten dann gehn die wieder.
Es sind nicht alle gleichzeitig, sondern immer wieder mal einer.
Irgendwie ist das nicht der Weißheit letzter Schuß.
Ob es vielleicht was bringt wenn ich mir ein richtiges VDSL Modem kaufe und die Fritzbox bei mir rausschmeiße?
Leider sind die Dinger nicht ganz billig :-(

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by femi » October 10th, 2018, 8:15 pm

Ich dachte daß es besser wird wenn ich die Fritzbox gegen ein DSL Modem tausche, hab mir ein Draytek Vigor 130 gekauft.
Der IPfire hat jetzt direkt eine öffentliche IP, aber selbst damit muß ich den Aggressive Mode einschalten damit die Tunnel hoch kommen.
Auch die Stabilität hat sich nicht gebessert.
Hat den jemand einen stabilen Tunnel zu einer Fritzbox laufen?

extrasolar
Posts: 55
Joined: October 30th, 2016, 11:24 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by extrasolar » October 13th, 2018, 9:26 pm

femi wrote:
October 10th, 2018, 8:15 pm
Hat den jemand einen stabilen Tunnel zu einer Fritzbox laufen?
Ja, sogar sehr stabil mit den oben dargestellten Einstellungen.

Home: VF VDSL 109↓ 33↑, AVM FB: 7590 [07.12], RPi: Pi-Hole [4.3.2], VPN: IPsec
Office: VF Cable 400↓ 25↑, Modem: CBN CH7466CE, IPFire-HW: Jetway NC9C-550-LF, VPN: IPsec
One Life. Live it.
Image

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by femi » November 2nd, 2018, 4:01 pm

Ich habe jetzt ein Script gebaut mit dem ich jede Nacht um 3:15 den IPsec Dienst neustarte, seit dem sind die Tunnel stabil.

Code: Select all

#!/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

logger "VPN restarted from cron"

/etc/init.d/ipsec restart 
fcrontab -e
ganz am Ende der Datei:

Code: Select all

15 03 * * * sudo /var/scripte/ipsec.sh > /dev/null  

atlan.dirac
Posts: 8
Joined: March 6th, 2012, 6:01 pm

Re: IPSec zu FritzBOX 7490 - IKE-Error 0x2026 "no proposal chosen"

Post by atlan.dirac » January 26th, 2019, 9:27 pm

baruch wrote:
October 2nd, 2018, 11:58 am
Diesen Befund kann ich leider bestätigen: Erst vor wenigen Tagen habe ich vergblich versucht, den von mir selbst zuvor mal beschriebenen Lösungsvorschlag an den Betrieb einer IPFire hinter einem Router (hier: ZyXel ZyWALL 110) anzupassen.

Meine Versuche beschränkten sich aber auf die GUI-Optionen der IPFire bzw. die IPSec VPN-Konfigurationsdatei der FritzBox (hier 7490). Auf diesem Weg habe ich bisher noch keine funktionierende Variante gefunden.
Ich war vor einiger Zeit auch gezwungen meine FritzBox 7490 hinter einen anderen Router hängen.

Ich konnte die hier vorgeschlagenen Konfigurationen zum Laufen bringen :D
...jedoch mit zwei kleinen Änderungen:

Bei der VPN Konfigurationsdatei der FritzBox muss

Code: Select all

localip=A.B.C.D;
gesetzt werden, also auf die IP-Adresse, die die FritzBox von dem fremden Router bekommen hat.

Beim IPFire, der auch hinter einem fremden Router hängt, musste ich nur die
Öffentliche IP oder FQDN für das rote Interface: entsprechend auch auf die lokale IP setzen.

Dies ist wohl nötig, dass die Pakete die Strecke zwischen FritzBox/Router bzw. IPFire/Modem schaffen.

Mein Tunnels laufen damit sehr stabil.

-- Atlan

Post Reply