VPN mit IPSec zwischen FritzBox und IPFire

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 9th, 2019, 3:09 pm

Die dynDns hat er dort aber korrekt aufgelöst.

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5702
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » January 9th, 2019, 4:38 pm

Ne das ist die Ziel-Adresse von der du da sprichst oder?
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 10th, 2019, 5:52 am

in der config habe ich beides mit FQDN eingegeben.
Im Log wurden diese auf die korrekten IP Adressen aufgelöst.
ich habe diese nur mit "XXXXXXXX" unkennntlich gemacht

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5702
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » January 10th, 2019, 3:02 pm

Und diese IP-Adresse hat die Firewall auch wirklich auf dem roten Interface? Da ist kein NAT oder so etwas mehr davor?
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5702
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » January 10th, 2019, 3:03 pm

MichaelTremer wrote:
January 10th, 2019, 3:02 pm
Und diese IP-Adresse hat die Firewall auch wirklich auf dem roten Interface? Da ist kein NAT oder so etwas mehr davor?
Ich glaub das wäre eine gute Idee wenn du mal die gesamte Config postest :)
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 10th, 2019, 3:45 pm

Die ipfire ist als exposed Host hinter einer Fritzbox.

Openvpn funktioniert. Nur das ipsec nicht.
Die config kann ich morgen nachreichen :)

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5702
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » January 10th, 2019, 4:21 pm

Dann muss da als IP-Addresse die lokale Adresse des IPFire-Systems rein und nicht die öffentliche. Strongswan versucht sich nämlich an die Adresse zu finden was nicht geht, weil das System die eben nicht hat.
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 10th, 2019, 5:14 pm

In der Maske für das rote Interface? Dann teste ich das morgen Mal! Danke!!

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5702
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » January 10th, 2019, 6:03 pm

lenny wrote:
January 10th, 2019, 5:14 pm
In der Maske für das rote Interface? Dann teste ich das morgen Mal! Danke!!
Ganz oben auf der IPsec-Seite.
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 10th, 2019, 6:27 pm

Super, danke! Teste ich morgen und melde mich:)

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 11th, 2019, 6:19 am

So siehts mittlerweile aus, noch ohne Verbindung:

Code: Select all

Jan 11 07:17:09 ipfire charon: 12[IKE] sending retransmit 2 of request message ID 0, seq 1
Jan 11 07:17:09 ipfire charon: 12[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:09 ipfire charon: 05[CFG] received stroke: terminate 'FBzuIpfire'
Jan 11 07:17:09 ipfire charon: 10[IKE] destroying IKE_SA in state CONNECTING without notification
Jan 11 07:17:09 ipfire charon: 16[CFG] rereading secrets
Jan 11 07:17:09 ipfire charon: 16[CFG] loading secrets from '/etc/ipsec.secrets'
Jan 11 07:17:09 ipfire charon: 16[CFG] loading secrets from '/etc/ipsec.user.secrets'
Jan 11 07:17:09 ipfire charon: 16[CFG]   loaded IKE secret for @XXXXXXXXX.de @XXXXXXXXX.de
Jan 11 07:17:09 ipfire charon: 16[CFG] rereading ca certificates from '/etc/ipsec.d/cacerts'
Jan 11 07:17:09 ipfire charon: 16[CFG] rereading aa certificates from '/etc/ipsec.d/aacerts'
Jan 11 07:17:09 ipfire charon: 16[CFG] rereading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Jan 11 07:17:09 ipfire charon: 16[CFG] rereading attribute certificates from '/etc/ipsec.d/acerts'
Jan 11 07:17:09 ipfire charon: 16[CFG] rereading crls from '/etc/ipsec.d/crls'
Jan 11 07:17:09 ipfire charon: 01[CFG] received stroke: delete connection 'FBzuIpfire'
Jan 11 07:17:09 ipfire charon: 01[CFG] deleted connection 'FBzuIpfire'
Jan 11 07:17:09 ipfire charon: 06[CFG] received stroke: add connection 'FBzuIpfire'
Jan 11 07:17:09 ipfire charon: 06[CFG] added configuration 'FBzuIpfire'
Jan 11 07:17:09 ipfire charon: 15[CFG] received stroke: initiate 'FBzuIpfire'
Jan 11 07:17:09 ipfire charon: 15[IKE] initiating Main Mode IKE_SA FBzuIpfire[10] to 93.xxx.xxx.xxx
Jan 11 07:17:09 ipfire charon: 15[IKE] initiating Main Mode IKE_SA FBzuIpfire[10] to 93.xxx.xxx.xxx
Jan 11 07:17:09 ipfire charon: 15[ENC] generating ID_PROT request 0 [ SA V V V V V V ]
Jan 11 07:17:09 ipfire charon: 07[CFG] received stroke: initiate 'FBzuIpfire'
Jan 11 07:17:09 ipfire charon: 10[IKE] initiating Main Mode IKE_SA FBzuIpfire[11] to 93.xxx.xxx.xxx
Jan 11 07:17:09 ipfire charon: 10[IKE] initiating Main Mode IKE_SA FBzuIpfire[11] to 93.xxx.xxx.xxx
Jan 11 07:17:09 ipfire charon: 15[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:09 ipfire charon: 10[ENC] generating ID_PROT request 0 [ SA V V V V V V ]
Jan 11 07:17:09 ipfire charon: 10[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:13 ipfire charon: 05[IKE] sending retransmit 1 of request message ID 0, seq 1
Jan 11 07:17:13 ipfire charon: 05[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:13 ipfire charon: 08[IKE] sending retransmit 1 of request message ID 0, seq 1
Jan 11 07:17:13 ipfire charon: 08[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:20 ipfire charon: 16[IKE] sending retransmit 2 of request message ID 0, seq 1
Jan 11 07:17:20 ipfire charon: 16[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:20 ipfire charon: 01[IKE] sending retransmit 2 of request message ID 0, seq 1
Jan 11 07:17:20 ipfire charon: 01[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:33 ipfire charon: 05[IKE] sending retransmit 3 of request message ID 0, seq 1
Jan 11 07:17:33 ipfire charon: 05[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)
Jan 11 07:17:33 ipfire charon: 08[IKE] sending retransmit 3 of request message ID 0, seq 1
Jan 11 07:17:33 ipfire charon: 08[NET] sending packet: from 10.10.xxx.xxx[500] to 93.xxx.xxx.xxx[500] (10904 bytes)


User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5702
Joined: August 11th, 2005, 9:02 am

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by MichaelTremer » January 11th, 2019, 3:54 pm

Joa, da antwortet die andere Seite nicht. Hast du Ports auf gemacht? Was passiert, wenn die Gegenseite die Verbindung initiiert?
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 17th, 2019, 7:02 am

ich habe es noch mal ausführlich getestet, aber leider ohne Erfolg.
Log der Fire sieht aus, wie oben gepostet.
Auch wenn die FB das VPN iniitiert, passiert leider nichts.
Voraussetzungen / Einschränkungen

Die FRITZ!Box unterstützt VPN-Verbindungen nach dem IPSec-Standard mit ESP, IKEv1 und Pre-Shared Keys. Authentication Header (AH) und Perfect Forward Security (PFS) werden nicht unterstützt.
Unterstützte IPSec-Algorithmen für IKE-Phase 1:
Verschlüsselungsverfahren: AES mit 256, 192, 128 Bit, Triple-DES mit 168 Bit oder DES mit 56 Bit
Hash-Algorithmus: SHA1 oder MD5-96
Die FRITZ!Box nutzt beim Schlüsselaustausch über Diffie-Hellman initial 1024 Bit (DH-Gruppe 2). Sie akzeptiert danach aber auch 768, 1536, 2048 und 3072 Bit (DH-Gruppe 1, 5, 14 und 15).
Unterstützte IPSec-Algorithmen für IKE-Phase 2:
Verschlüsselungsverfahren: AES mit 256, 192, 128 Bit, Triple-DES mit 168 Bit oder DES mit 56 Bit
Hash-Algorithmus: SHA1 oder MD5-96
Die Diffie-Hellman-Gruppe wird durch IKE-Phase 1 bestimmt
Kompression: keine, LZJH oder Deflate

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8086
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by Arne.F » January 17th, 2019, 10:31 am

10.10.xxx.xxx[500] ist keine öffentliche IP hast du vor dem Router ein weiteres NAT ?
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

lenny
Posts: 369
Joined: October 4th, 2011, 12:47 pm

Re: VPN mit IPSec zwischen FritzBox und IPFire

Post by lenny » January 17th, 2019, 11:21 am

Ja, eine Fritzbox hängt vor der Ipfire.
Dort ist er als exposed Host definiert.

Post Reply