IPSec Site-to-Site zwischen PFSense und FritzBox ab FritzOS 6.5x

In diesem Beitra möchte ich euch zeigen wie Ihr schnell eine Site-to-Site Verbindung zwischen einer PFSense Firewall und einer FritzBox ab FritzOS Version 6.5x aufbaut.

Da alle Beiträge so im Internet schon teilweise stark veraltet sind oder kompliziert gehalten sind hier mein Ansatz das Thema etwas einfacher umzusetzen.

Das sind die Vorraussetzungen für die Einrichtung:

-> Zugriff auf PFSense Firewall

-> Zugriff auf FritzBox

-> Ports eingehend für IPSec muss im PFSense eingestellt werden (500UDP, 4500 UDP, 10000 TCP und ESP)

-> Wenn keine Statischen IPs vorhanden sind dann DynDNS Adressen bereit halten

  1. Einrichtung der PFSense Firewall:
    1. Unter VPN -> IPSec -> ein „Phase 1“ Eintrag erstellen:

  1. 2. „Phase 2“ Eintrag in der PFSense erstellen:

Nun gehts weiter zum FritzBox teil. Ich habe für die Erstellung der Konfiguration das AVM eigene Programm „Fritz Fernzugang einrichten“ verwendet -> Download unter: https://avm.de/fileadmin/user_upload/DE/Service/VPN/FRITZ_Box-Fernzugang_einrichten.exe

Alternativ: https://avm.de/service/vpn/uebersicht/ -> FRITZ_Box-Fernzugang_einrichten.exe -> Downloaden!

2. Fritz Fernzugang einrichten -> Programm wird nur für Erstellung der Konfiguration genutzt:

Hier das Netz der FritzBox eintragen (Default Netz: 192.168.178.0/24)

Hier das Zielnetz der PFSense eintragen -> Also das Netz auf das Zugriff erfolgen soll bzw. das erlaubt wird mit der Fritzbox zu kommunizieren:

Lasst euch die Dateien „Exportieren“:

Die erste Datei ist die von der FritzBox -> Export Pfad angeben und Datei erstellen lassen:

Dann noch die PFSense Datei -> Diese könnt Ihr aber entsorgen!

Sollte dann ungefähr so aussehen im Verzeichnis:

Aus dem Verzeichnis braucht ihr nur die Fritzbox Datei -> Diese muss editiert werden mit eurem bevorzugtem Editor.

/*
* C:\AVM\FRITZ!Fernzugang\hier_die_dyn_dns_bzw_IP_der_FritzBox_eingebene\fritzbox_hier_die_dyn_dns_bzw_IP_der_FritzBox_eingebene.cfg
* Fri Jun 22 08:13:46 2018
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = „Hier_IP_oder_DynDNS_der_PFSense_Firewall_eingeben„;
always_renew = no; #Auf „yes“ stellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = „Hier_IP_oder_DynDNS_der_PFSense_Firewall_eingeben„;
localid {
fqdn = „hier_die_dyn_dns_bzw_IP_der_FritzBox_eingebene„;
}
remoteid {
fqdn = „Hier_IP_oder_DynDNS_der_PFSense_Firewall_eingeben„;
}
mode = phase1_mode_aggressive;
phase1ss = „all/all/all„;
keytype = connkeytype_pre_shared;
key = „DER_KEY_MUSS_HIER_EINGEFÜGT_WERDEN„;
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 20.0.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 30.0.0.0;
mask = 255.255.255.0;
}
}
phase2ss = „esp-all-all/ah-none/comp-all/pfs„;
accesslist = „permit ip any 30.0.0.0255.255.255.0„;
}
ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500“,
„udp 0.0.0.0:4500 0.0.0.0:4500“;
}

// EOF

In der Konfigurationsdatei müsst Ihr das was Fett und Kursiv von mir markiert wurde prüfen und ggf. korrigieren!

Wichtig ist das Ihr die Zeile:

phase1ss = „all/all/all„; -> ersetzt durch phase1ss = „dh14/aes/sha„;

always_renew = no; -> auf always_renew = yes; setzt!

phase2ss = „esp-all-all/ah-none/comp-all/pfs„; -> auf phase2ss = „esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs„; ändert!

Die Konfigurationsdatei muss dann gespeichert und in die Fritzbox Importiert werden!

3. Import in die Fritzbox:

Einloggen in der FritzBox -> Internet -> Freigaben -> VPN -> VPN-Verbindung hinzufügen

VPN Konfiguration importieren auswählen -> Weiter:

Datei auswählen und Hochladen:

Nachdem der Import Vollständig abgeschlossen ist werdet Ihr zur VPN Verbindungs-Übersicht weitergeleitet und dort sollte im Optimal Fall die VPN Verbindung auf „Grün“ gehen und alles verbunden sein.

Die Einstellungen habe ich bei mir bei Diversen Fritzbox die alle mindestens 6.5x drauf haben getestet und es funktioniert Einwandfrei.

Der Mode „Aggressive“ in der VPN Konfiguration kann auch auf „mode = phase1_mode_idp;“ umgestellt werden wenn die Gegenstellen Feste IPs haben. Durch den „Aggressive“ Mode wird die Fritzbox zum Initiator und mit Dynamischer IP doch sehr sinnvoll die Fritzbox die Verbindung aufbauen zu lassen.

Ansonsten habe ich auf der VPN Verbindung eine Livetime von 8 Stunden und danach baut sich die Verbindung neu auf. Wenn Ihr die Proposals wie angegeben einträgt dann dauert der Verbindungsaufbau nicht sehr lange, da nicht alle Proposals erstmal ausgehandelt werden müssen.

Sollte was nicht funktionieren meldet euch und stellt nach möglichkeit auch das AVM Support File zur Verfügung -> Kann erstellt werden unter „Inhalt -> FritzBox Support:

Die Datei enthält keine Passwörter oder Sensible Daten sondern nur die reinen Log Files für die Auswertung der VPN Verbindung!

Ansonsten freue ich mich auf Feedback und natürlich wenn der Beitrag dem einen oder anderen helfen kann.

FritzBox 6360 mit FritzOS 6.04 umstellen auf Bridge Mode *Teil 2*

Ich habe es nun geschafft die 6360 mit Version 6.04 in den Bridge Mode umzustellen (Siehe: http://blog.mincore.de/2015/03/04/fritzbox-6360-mit-fritzos-6-xx-umstellen-auf-bridge-mode-teil-1/)

Screenshot_1

Online-Monitor:

Screenshot_2

Als Einstellungen habe ich unter dem versteckten Menüpunkt:

1. Ein neues Profil angelegt:

Screenshot_4

2. Geschwindigkeit eingetragen und IP Einstellungen vorgenommen.

3. Was Ihr bei „IP Adresse“ eingibt ist nachdem Klicken auf Übernehmen Eure „FritzBox IP“.

4. Standard-Gateway und Primärer DNS ist mein PFSense (Firewall + DNS + DHCP)

5. Als Sekundärer DNS habe ich die FritzBox 6490  (Das Gerät ist nur Router mit Exposed Host an PFSense und WLAN Router)

Screenshot_3

6. Nach einem Klick auf übernehmen sollte die FritzBox über LAN 1 die Verbindung aufbauen.

Im Bridge Mode ist der DHCP von der FritzBox ausgeschaltet.

Hinweis: Sollte etwas nicht funktionieren und Ihr kommt per IP nicht drauf und Ihr findet die Box auch nicht per Netscan. Einfach LAN Kabel direkt an LAN 2, 3 oder 4. LAN 1 Kabel abziehen so das Ihr „Isoliert“ mit der FritzBox verbunden seit.

Auf dem Rechner teilt Ihr Manuell eurer Netzwerkkarte jetzt eine IP aus dem Bereich:

169.254.1.2 – 169.254.1.254

Wenn Ihr alles richtig gemacht habt, Im Browser einfach als Adresse:

169.254.1.1 eingeben. Damit kommt Ihr wieder zur FritzBox. Diese IP ist die Notfall-IP von der FritzBox.

Bei Fragen einfach melden.

FritzBox 6360 mit FritzOS 6.04 umstellen auf Bridge Mode *Teil 1*

Da ich aktuell noch eine FritzBox 6360 Cable von Unitymedia rum liegen habe, nach der Umstellung auf die 6490. Und die 6490 sich noch nicht mit der „FritzDect 200“ koppeln lässt. Habe ich mich dazu beschlossen die 6360 zu behalten.

Diese hat ja leider nur die Branding Firmware von Unitymedia installiert. Und man bekommt diese nicht einfach in den „Bridge“ Modus umgestellt.

Damit die FritzBox aber nicht ständig nach Internet sucht und sich einfach in das vorhandene Netz einbinden lässt muss man dies ändern.

Also wie bekommt man eine FritzBox 6360 ohne entsprechenden Menüpunkt in den „Bridge Mode“ ?

1. Ihr loggt euch in eure FritzBox 6360 ein

2. Mit der rechten Maustaste den Link von dem Menüpunkt „Internet“ kopieren

Screenshot_1

In der Adressleiste kann man schon die Adresse sehen „*.lua“ ist die Datei.

3. Jetzt ersetzt das:

„/internet/inetstat_monitor.lua?sid=“

durch:

„/internet/internet_settings.lua?sid=“

Den rest einach so lassen.

4. Mit der Eingabe-Taste bestätigen und Ihr solltet diese Seite sehen:

Screenshot_2

5. Das ist die Seite die „Offiziell“ ausgeblendet ist bei der FritzBox mit Branding Firmware.

6. Auf dieser Seite einfach einstellen das Ihr Über „Externes Modem oder Router“ ins Internet gehen wollt.

7. Die restlichen Einstellungen könnt Ihr in der Regel einfach übernehmen. Sonst probiert einfach etwas rum.

Nach einem Klick auf übernehmen sollte die FritzBox ruhig geschaltet werden

Eure FritzBox baut dann über den LAN 1 Anschluss die Internet-Verbindung auf. Um auf eure FritzBox wieder drauf zu kommen müsst Ihr die FritzBox über LAN 2 – 4 an an euren Rechner anschließen.