IPSec/StrongSwan/Racoon und eine FritzBox

  • Moin zusammen,


    ich denke die meisten wissen mit dem Begriff VPN etwas anzufangen. Meine Idee klingt eigentlich gar nicht so kompliziert: Zu Hause steht eine FritzBox, bei NetCup ein schicker VPS. Ein VPN zwischen den beiden wäre schön. Praktischerweise hat die FritzBox eine Unterstützung für Site2Site-VPN über IPSec. Auf dem Server läuft bereits sehr erfolgreich ein OpenVPN, Netzwerk-Kenntnisse sind (außer eben IPSec-spezifisches) vorhanden (Routing, iptables, ufw, sind mir alles wohlbekannte Begriffe). Meine (wie sich herausgestellt hat naive) Annahme: "Jetzt richte ich noch schnell das VPN zwischen Server und FritzBox ein". Denkste. Da sitze ich jetzt seit etlichen Tagen dran. Da hier aber anscheinend ein paar recht fähige Menschen rumlaufen gebe ich der Sache mal eine Chance und hoffe, dass mir von euch jemand weiterhelfen kann.


    Das Setup

    VPS bei NetCup, u. A. ein bridged interface (192.168.138.1/24), zu dem auch die OpenVPN-Verbindungen hingebridged werden

    FritzBox 7590 (192.168.128.1/24) mit einer bereits aktiven Site2Site-VPN-Verbindung zu einer weiteren FritzBox 7490 (192.168.136.0/24)


    Ziel(e)

    • Vom VPS aus (192.168.138.1) auf Geräte aus dem Netz der FritzBox (192.168.128.x/24) zugreifen können
    • Von den OpenVPN-Verbindungen auf Geräte aus dem Netz der FritzBox (192.168.128.x/24) zugreifen können
    • Bonus: Vom OpenVPN auf (192.168.136.x/24) zugreifen können.

    Mit einer Verbindung über den Ubuntu Network Manager (GUI) von irgendwo zur FritzBox kann ich beide FB-Subnetze erreichen, das klappt also einwandfrei. Jetzt aber gerne mit Site2Site.


    Als Software auf Server-Seite für IPSec habe ich StrongSwan und Racoon gefunden, erster Versuch mit StrongSwan. Nach dem Wälzen der meisten Artikel, die es online zu dem Thema gibt, habe ich keine stabile Konfiguration hinbekommen. Häufigster Fehler:

    Warum auch immer - manchmal klappt das mit der Verbindung (ESTABLISHED und so). ping geht trotzdem nicht durch.


    Nächster Versuch mit Racoon: Angeblich schafft ders ne Verbindung herzustellen (trotz einer Meldung "ERROR: invalid transform-id=4 in IPCOMP"), ping geht auch nicht durch. Auf FritzBox-Seite leuchtet hier ein grünes Licht mit "alles bestens".


    Da in den meisten Anleitungen im Internet nichts dergleichen steht, habe ich auch keine besonderen Routen eingerichtet. Mein Verständnis: Das Netz wird lokal nicht gefunden, also nimmts die default route. Eine ip policy Regel (welche von StrongSwan/racoon gesetzt wird) fängt Pakete an das Zielnetz ein, wickelt sie in IPSec und schickt sie weiter. Empfänger packt sie wieder aus.


    Hat hier jemand schon mal Erfahrungen mit was vergleichbarem gesammelt, kennt sich mit IPSec aus oder möchte mir einfach Mut zusprechen? Dann Beileidsbekundungen und weitere Ideen zur Lösungsfindung gerne hierlassen. Danke!


    Viele Grüße

    Matthias


    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Ich habe soetwas zwar noch nie realisiert, hatte aber auch den Gedanken das bereits einmal einzurichten. Wobei ich dann doch vielmehr die Idee hatte hierfür einen LISP-Server einzurichten. Um jedoch auf dein Problem einzugehen.


    bzgl. der Fehlermeldung scheint die Verwendung einer nicht unterstützten Kompression das Problem zu sein, nach https://forum.netgate.com/topi…m-vpn-fritzbox-pf-sense/2


    Im allgemeinen würde ich Empfehlen im Kontext von OpenWRT und Raspberry PI nach Anleitungen zu suchen. Vielleicht hilft dir ganz simpel https://seffner-schlesier.de/n…-fritzbox-und-strongswan/ weiter?

  • Kurze Randbemerkung: Ich hasse Computer.


    Denk Link kannte ich schon. Auch schon ausprobiert. Hatte nicht geklappt, sonst hätte ich den Thread ja hier nicht eröffnen brauchen. Aber irgendwie hatte ich gerade Zeit und irgendwas hat mich geritten das nochmal auszuprobiern. Jetzt gehts - ohne Probleme?!


    Danke!

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A