pfSense Gold Subscription

Author Topic: FritzBox VPN per IPSec **gelöst/solved**  (Read 5868 times)

0 Members and 1 Guest are viewing this topic.

Offline xNet

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
FritzBox VPN per IPSec **gelöst/solved**
« on: November 30, 2010, 08:43:09 am »

Man macht sich hier lange auf die Suche nach einer Lösung. Leider schreiben nur die wenigsten auf was Sie rausgefunden haben. Um anderen "Suchenden" dieses Problem zu ersparen hier nun eine kurze Anleitung wie man eine PFSense 1.2.3 (egal ob RC oder Final) mit einer Fritzbox - die VPN unterstützt - koppelt.

Folgendes wird benötigt:
   1. Fritzbox Konfig (siehe unten)
   2. PFSense Konfig (siehe unten)
   3. Zwei unterschiedliche Subnetze (sonst geht gar nix)
   4. Jeweils beide Profile editieren und dann in das zugehörige Gerät laden bzw aktivieren.
   5. Auf einer der beiden Seiten das andere Subnetz versuchen anzupingen… und voila es sollte alles gehen.

Ich hoffe es funktioniert nicht nur bei mir sondern auch bei vielen anderen. Rückfragen gerne hier ins Forum... evtl hab ich ja nen Tippfehler drin.
Bye Leute

   
Fritzbox Konfig
=============
   
   // Hier geht es los
   vpncfg {
           connections {
                   enabled = yes;
                   conn_type = conntype_lan;
                   name = "VPN zur Firma";  // ein freie Bezeichnung zur Identifikation der Verbindung
                   always_renew = no;
                   reject_not_encrypted = no;
                   dont_filter_netbios = yes;
                   localip = 0.0.0.0;
                   local_virtualip = 0.0.0.0;
                   remoteip = xx.xx.xx.xx;     // eine IP Adresse im PFSense Netzwerk die für die VPN verwendet werden kann, dürfte theoretisch auch mit 0.0.0.0 funktionieren, habe das aber nicht ausprobiert
                   remote_virtualip = 0.0.0.0;
                   remotehostname = "home.meinefirma.de";  // ein DNS Name zum Firmenserver Dyndns oder statisch
                   localid {
                           fqdn = "katzenstreu.dyndns.org";   // mein eigener DynDNS Name
                   }
                   remoteid {
         user_fqdn = "katzenstreu@meinefirma.de";  // meine Email Adresse zur Identifikation,
                   }
                   mode = phase1_mode_aggressive;
                   phase1ss = "def/3des/sha";
                   keytype = connkeytype_pre_shared;
                   key = "MeineMutterHat2010ImmerGesagt!";   // ein geheimes Passwort das ihr in der FB und PFSense verwendet
                   cert_do_server_auth = no;
                   use_nat_t = no;
                   use_xauth = no;
                   use_cfgmode = no;
                   phase2localid {
                           ipnet {
                                   ipaddr = xx.xx.xx.0;  // Die Adresse des FB Subnetzes 192.168.50.0 wäre eines
                                        mask = 255.255.255.0;  // Subnetzmaske eures FB Subnetzes
                           }
                   }
                   phase2remoteid {
                           ipnet {
                                   ipaddr = xx.xx.xx.0; // Die Adresse des PFSense Subnetzes 192.168.70.0 wäre eines
                                   mask = 255.255.255.0; // Subnetzmaske eures PFSense Subnetzes
                           }
                   }
                   phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                   accesslist = "permit ip any xx.xx.xx.0 255.255.255.0"; // Die Adresse des PFSense Subnetzes mit Subnetzmaske
           }
           ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                      "udp 0.0.0.0:4500 0.0.0.0:4500";
   }
   
   
   // EOF
   // Hier ist das ganze zu Ende

PFSense Profil
=============
Ein neues IPSex Profil in unserer PFSense mit folgenden Einstellungen:
   Interface:         WAN (feste IPAdresse wird verwendet, bei dynamischen ändern sich ein paar Dinge)
   Local Subnet:   LAN subnet
   Remote subnet:   xx.xx.xx.0/yy  (Die Adresse eures Subnetz 192.168.50.0 wäre eines, yy steht für die Subnetzmaske -> 24 = 255.255.255.0)
   Remote gateway:   xx.xx.xx.xx (Die öffentliche IP eurer Fritzbox oder ein DNS Name, ich verwendete DynDNS)
   Description:   (irgendwas)
   Negotation mode:   aggressive
   My identifier:   user FQDN  - katzenstreu@meinefirma.de (tragt hier das gleiche wie in der FB Konfig unter "remoteid user_fqdn" ein)
   Encyption algorithm:      3DES
   Hash algorithm:   SHA1
   DH key group:   1 (768 bit)
   Lifetime:      3600
   Authentication method:      Pre-shared key
   Pre-sharedkey:   (das gleiche Passwort wie zuvor in der Fritzbox Konfig)
   Certificate:   nix (komplett leer lasse da wir einen PSK verwenden)
   Protocol:      ESP
   Encryption alg.:   3DES, Rijndael (AES), Rijindal 256
   Hash algorithm.:      SHA1
   PFS Key group: 1 (768 bit)
   Lifetime:      3600