IPSec LAN to LAN pfSense Fritzbox

  • Hallo zusammen,


    da der AVM Support sehr hilfreich war frage ich einfach mal in die Runde ob das Setup jemand so am laufen hat. Ich möchte eine Fritzbox 7590 an eine pfSense über ein Site to Site IPSec Tunnel.


    Zu den Netzen:


    Site1: 10.0.0.0/16 - pfSense im RZ an die sich alle Sites verbinden

    Site2: 10.1.0.0/16

    Site3: 10.2.0.0/16

    Site 4: 10.4.0.0/16 - Das ist die Fritzbox


    Nach stundenlangem try and error habe ich mal richtige Einstellungen gefunden womit P1 und P2 sauber funktionieren. Leider baut sich der Tunnel immer wieder ab und in der Box ist der Punkt grün, als ob eine Verbindung bestehen würde. Okay gut man kann ja in der pfSense eine Ping IP angeben, also die interne IP der Fritte angegeben, somit bleibt Traffic auf dem Tunnel und er bleibt aktiv. Pustekuchen. Eben nicht.


    Da die GUI nicht viel Settings bietet habe ich das dann mit einer .cfg Datei gelöst. Davon gibt es für den Anwendungsfall unzählige, keine mag bei mir so richtig funktionieren. Ich habe in der cfg dann die keepalive_ip konfiguriert, Sense und Fritte pingen sich gegenseitig, Tunnel sollte eigentlich aktiv bleiben. Nein leider nicht -.-


    Weiter gibt es das Problem das ich nicht zwischen den Subnets Daten austauschen kann, ich brauche das aber unbedingt. pfSense IPSec Firewall Rule any - any zum debug hatte ich angelegt. Dennoch kein Datenfluss.


    Hat jemand dafür eine Lösung gefunden? AVM möchte mir nicht mal eine solche cfg zukommen lassen in der alle Werte angegeben sind die die Box verarbeiten kann wie z.B. keepalive_ip etc.

  • IPV4 Tunnel. Mit IPv6 kam überhaupt kein Tunnel hoch.


    Also die Firewall läuft auf einem netcup VPS, da weiß ich nicht wie es aussieht. Site 4 ist bei der DTAG und die haben keine NAT Geschichten soweit ich weiß, bin da aber auch nicht so ganz drin.

  • MTU bei Netcup 1500.


    Also das mit der MTU ist echt ein graus bei der Fritte. Internet Sagt bei der DTAG 1492. In der "erweiteren Support Datei" stehen gleich mehrere Werte. Mal 1500, mal 1492 und interessantes Fundstück:


    VPN connections

    ----------

    /proc/kdsld/dsliface/internet/ipsec/connections:

    administrator: pmtu 0 mtu 1492 dont_filter_netbios


    Nach weiterer Suche ist die MTU wohl 1492

  • Das ist wohl des Pudels Kern. 1492 ist der Standardwert für PPPoE, wenn der Provider (und das Modem) keine Baby-Jumbo-Frames nach RFC 4638 können. Wenn zusätzlich noch ICMP geblockt wird, funktioniert zusätzlich pMTUd nicht. Für Tunnellösungen ist sowas ein Graus. Du kannst versuchen, eine Route-MTU vom RS/VPS zur Fritzbox zu setzen.

  • In den Settings der pfSense ist net.inet.icmp.reply_from_interface aktiviert, somit sollte doch pMTUd funktionieren wenn mich nicht alles täuscht? Was ist jetzt genau deine Empfehlung für das Problem? Global die MTU für das WAN Interface ändern würde ich ungern, so "gefährde" ich alle anderen laufenden Tunnel

  • Das scheint funktioniert zu haben mit der Änderung des MSS. Trotzdem baut sich der tunnel weiter ab und das Subnet ist auch mit aktivem Tunnel nicht erreichbar. Was VPN angeht ist AVM echt eine Blackbox...

  • Die Fritzbox ist nicht nur eine Blackbox, denen ihre VPN Implementierung, ist sagen wir mal nicht so gut.


    Ich hab dieses Abenteuer mit IPSec und Fritzboxen schon selbst hinter mir. Die trennt einfach kommentarlos den VPN Tunnel und ich kann den dann wieder ohne Probleme aufbauen. Da wäre jetzt ein Client der nen AutoConnect selbst hinbekommt, vielleicht schon die Antwort, aber nicht die Lösung. Am Ende hab ich das Ding einfach weggeworfen und gegen ein Unifi Security Gateway getauscht das hinter nen Modem steht. Seither kann ich tagelang mit dem VPN verbunden sein ohne das da was wegschmiert. Es muss jetzt vielleicht kein Security Gateway sein, so ein EdgeRouter X sollte als VPN Endpoint ausreichen.


    Fazit meinerseits war zumindest so, wenn du nix mit Enterprise darauf vorhast, kannste machen.

  • Die Fritzbox ist nicht nur eine Blackbox, denen ihre VPN Implementierung, ist sagen wir mal nicht so gut.

    Das war der schönste Euphemismus des Tages! Danke dafür!


    Meine Lösung für derartiges ist OpenVPN auf Basis von OpenWRT und OpenVPN auf pfSense via UDP. Auch da kann man Probleme haben, aber in aller Regel ist das mit den Parametern tun-mtu 1500, fragment (je nachdem..., aber bitte symmetrisch), mssfix (ohne Parameterwert), ping, ping-restart gut hinzubekommen. Das Schöne daran ist: es funktioniert dann auch mit CGN auf einer Seite noch, was ich mir bei IPSec in manchen Fällen abschminken kann. Mittels Imagebuilder kann man sich für jeden Usecase auch den eigenen Firmware-Flavour bauen, ohne viel Ahnung haben zu müssen.


    Der Gedanke, eine Box für alles zu haben, wie bei der FB sorgt leider dafür, dass sie einiges sehr gut, und anderes eben nicht wirklich kann.


    Ich tendiere mittlerweile dazu, ein dediziertes Gerät für jeden Zweck zu haben. DECT-Basis an SIP-ATA, Modem als Bridge und Router dazwischen.

    Im Fall von Problemen ist es leichter, nur eine Komponente zu ersetzen, ohne gleich komplett offline dazustehen, weil im Kombigerät eine Sache versagt.

  • Ich tendiere auch dazu alles zu trennen, bei mir ist das auch der Fall. Allerdings soll bestehende HW integriert werden ohne 500€ in neue HW zu investieren wie SIPATA, Dent Base, AP, Router etc. Da ist die Akzeptanz eher nicht so groß.


    Ob der Tunnel sauber läuft kann ich nicht sagen, er baut sich nach wie vor immer ab. Es ist echt zum k*****. Meine Aussage gegenüber AVM Liebhabern bestätigt sich mal wieder: Die Fritte kann fast alles, davon aber nichts wirklich gut.

  • Ich tendiere auch dazu alles zu trennen, bei mir ist das auch der Fall. Allerdings soll bestehende HW integriert werden ohne 500€ in neue HW zu investieren wie SIPATA, Dent Base, AP, Router etc. Da ist die Akzeptanz eher nicht so groß.

    Vielleicht finden wir ja noch eine Lösung für Dein Problem, aber das mit den 500 € kann man so nicht im Raum stehen lassen. Ein Dualband-fähiger WLAN-Router, auf dem OpenWRT liefe, kommt auf ca. 40 Euro - vor allem in Cyber-Monday-Aktion o.ä. - der Router könnte auch Tunnelendpunkt sein und VLANs bedienen (ich nehme aktuell TP-Link Archer C7 v5 dafür), SIP-ATA von Grandstream (auch nicht das Beste am Markt, aber brauchbar), schlagen mit ca. 30 Euro zu Buche. Ein DECT-Telefon mit Basis kommt auch in etwa in diese Preisklasse, aber Mobilteile wird es ja schon geben - das ist auch nicht mein Fachgebiet, da lasse ich mich gerne belehren - als Modem käme ein Draytek Vigor 130 in Frage, wenn es nur VDSL2/Vectoring bridgen soll und sonst nichts können muss. Ca. 100-120 Euro - der kann übrigens auch mit RFC4638 umgehen, wenn der Provider es auch kann. Da bin ich in Summe knapp unter der Hälfte Deiner Befürchtungen.


    So und sofern kein VPN-Endpunkt auf Basis eines Einplatinen-Computers oder eines OpenWRT-Routers in der DMZ der Fritzbox oder auch genattet in Frage kommt, bräuchte ich ein paar Details als PN. Versprechen kann ich nichts, aber vielleicht hab ich eine Idee. Ich schicke aber voraus, dass ich seit meiner FB7360v1 keines dieser Geräte mehr angerührt habe und daher nicht auf dem aktuellen Stand bin.

  • Cool dich hier zu finden, nach den Einstellungen ist meine Sense konfiguriert. Tunnel steht aktuell, manchmal kommt die P2 nicht hoch. Das größere Problem ist aktuell das ich kein Ping zwischen den Sites habe und die pfSense die Private IP auch nicht pingen kann. Eine FW Rule mit any any habe ich für IPSec angelegt gehabt

  • nein, I N W X eigenen DDNS Service für die eigene Domain

    Joa, ich würde sagen der Fehler ist gefunden. Soweit ich weiß klappt das mit eigenen Domains erst ab 7.14 (Labor) - ist aber untested.

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Nur mal zum Verständnis:


    DDNS bindet einen FQDN an eine dynamische IP. Das ist bei jedem DDNS Dienst gleich. Woran soll das bitte scheitern ob ich jetzt MyFritz benutze oder meinen eigenen (der übrigens gerade eine Connection hat)?