VPN mit IPSec zwischen FritzBox und IPFire

extrasolar
Posts: 55
Joined: October 30th, 2016, 11:24 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by extrasolar » January 17th, 2019, 3:24 pm

Da die vorgeschaltete FB vermutlich trotz Exposed Host die VPN-Ports in Anspruch nimmt, versuch doch mal die Ports 500, 4500 und ggf. 1701 explizit an IPFire weiterzuleiten.

Home: VF VDSL 109↓ 33↑, AVM FB: 7590 [07.12], RPi: Pi-Hole [4.3.2], VPN: IPsec
Office: VF Cable 400↓ 25↑, Modem: CBN CH7466CE, IPFire-HW: Jetway NC9C-550-LF, VPN: IPsec
One Life. Live it.
Image

lenny
Posts: 406
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 17th, 2019, 3:35 pm

Hab ich auch schon versucht.
Leider vergebens :/
ESP hatte ich auch freigeschaltet

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by femi » March 26th, 2019, 12:08 pm

Hast du es inzwischen hingekriegt?
Ich mußte in der Config auf dem IPfire noch folgende Zeile hinzufügen:

/var/ipfire/vpn/ipsec.conf

Code: Select all

aggressive=yes
die ganze Configt sieht dann so aus:

Code: Select all

conn Name der Verbindung
        aggressive=yes
        left=dyndns auf dem IPfire
        leftsubnet=192.168.88.0/24
        leftfirewall=yes
        lefthostaccess=yes
        right=dyndns der Fritzbox
        rightsubnet=192.168.44.0/24
        leftid="@dyndns auf dem IPfire"
        rightid="@dyndns der Fritzbox"
        ike=aes256-sha-modp1024
        esp=aes256-sha1-modp1024
        keyexchange=ikev1
        ikelifetime=1h
        keylife=1h
        dpdaction=restart
        dpddelay=30
        dpdtimeout=120
        authby=secret
        auto=start
        fragmentation=yes
danach den Dienst manuell neustarten:

Code: Select all

/etc/init.d/ipsec restart
Die Config auf der Fritzbox sieht so aus:

Code: Select all

/*
 * C:\Users\user\AppData\Roaming\AVM\FRITZ!Fernzugang\VPN.cfg
 * Wed Feb 13 07:57:21 2019
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "wfial.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dyndnsIPfire";
                localid {
                        fqdn = "dyndns Fritzbox";
                }
                remoteid {
                        fqdn = "dyndnsIPfire";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheimer Key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.44.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.88.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.88.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Bei mir läufts so, aber es ist nicht hundertprozentig stabil, manchmal bricht der Tunnel nur 1x in der Woche ab, manchmal täglich.
Es dauert dann ca. 10 Minuten bis er wieder da ist.
In machen Fällen muß ich ihn manuell resetten.
Wichtig ist daß, wenn du an einer Verbindung über das Webfrontend was änderst, du die Zeile "aggressive=yes" wieder manuell in die ipsec.conf einfügen mußt.

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » March 26th, 2019, 12:32 pm

femi wrote:
March 26th, 2019, 12:08 pm
/var/ipfire/vpn/ipsec.conf

Code: Select all

aggressive=yes
Bitte nicht den Aggressive-Mode nutzen. Dann kann man das mit dem VPN auch gleich sein lassen, wenn der PSK im Klartext übertragen wird.

Ersetzt die Fritzbox mit einem kleinen IPFire-System oder so etwas, wenn ich Security haben wollt.
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

ghost2
Posts: 32
Joined: October 24th, 2011, 10:41 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by ghost2 » March 26th, 2019, 2:38 pm

Bei mir läuft es mit
always_renew = yes;
auf der Fritzbox ohne Probleme

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » March 26th, 2019, 3:13 pm

Hallo zusammen,

inwieweit passen denn die Anleitung aus dem Wiki noch? Gibt es da etwas dran zu aktualisieren?

https://wiki.ipfire.org/configuration/s ... m-fritzbox

Würdet ihr das auf dem aktuellen Stand halten?
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Post Reply