S-2-S-VPN zwischen UDM-Pro & FRITZ!Box - mal wieder

**PeaceMkr** · 13. Januar 2023

Hallöchen,

ich bin schon wieder am Verzweifeln mit diesem VPN-Gedöns bei der Fritzbox.

Auf der DM-Seite hab ich folgendes eingestellt:

Code

Key Exchange Version: IKEv1
Encryption: AES-256
Hash: SHA1
IKE DH Group: 2
ESP DH Group: 5
PFS Enabled
Route-Based VPN Enabled
Route Distance 30

Und die Remote-IP von wo die Anfrage kommt und die IP-Adress-Range 192.168.1.0/24 die im Fritzbox-Netz verwendet wird.

Bei der Fritzbox hab ich jetzt einfach mal Verbindung zu Firmennetzwerk gewählt und das wars.Das Ergebniss mit swanctl kommt dann so daher:

Code

 received stroke: initiate 'f3cb_bd22_7417_916f'
10[IKE] initiating Main Mode IKE_SA f3cb_bd22_7417_916f[18] to 37.247.77.135
10[ENC] generating ID_PROT request 0 [ SA V V V V V ]
10[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (180 bytes)
09[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (232 bytes)
09[ENC] parsed ID_PROT response 0 [ SA N((24576)) V V V V V V ]
09[IKE] received XAuth vendor ID
09[IKE] received DPD vendor ID
09[IKE] received NAT-T (RFC 3947) vendor ID
09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
09[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
09[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
09[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
09[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (244 bytes)
12[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (228 bytes)
12[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
12[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
12[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (108 bytes)
13[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (76 bytes)
13[ENC] parsed ID_PROT response 0 [ ID HASH ]
13[IKE] IDir '37.247.77.135' does not match to '37.247.77.135'
13[IKE] deleting IKE_SA f3cb_bd22_7417_916f[18] between 46.243.110.103[46.243.110.103]...37.247.77.135[%any]
13[IKE] sending DELETE for IKE_SA f3cb_bd22_7417_916f[18]
13[ENC] generating INFORMATIONAL_V1 request 2778249710 [ HASH D ]
13[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (92 bytes)

Alles anzeigen

Auffällig ist hier:

IDir '37.247.77.135' does not match to '37.247.77.135'

Die ID Key-ID kann ich aber im Site2Site-Dialog der DM gar nirgends eingeben glaub ich jedenfalls. Kann mir jemand sagen wo da genau der Fehler liegt?

**PeaceMkr** · 17. Januar 2023

Ich antworte mir mal selbst nachdem das jetzt stabil läuft:

auf der Dream Machine hab ich die config der VPN-Verbindung anpassen müssen da die Weboberfläche das nicht hergibt.

Ich habe folgendes angepasst:

Code

rightid=myfritz-adresse
leftid=dyndns der DM

esp=3des-sha1-modp1024

Die Fritzbox hat folgende Änderungen bekommen:

Code

remoteip = Externe IP der DM
remotehostname = dyndns der DM
localid
fqdn= "myfritz-Adresse)
remoteid
fqdn= "dyndns der DM"

phase1ss = "all/all/all";
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

Rest ist so wie in den zahlreichen Beispielen im Netz oder wie es dieser Fritzbox VPN Konfigurator ausspuckt. Wichtig ist wohl das fqdn und nicht ipaddr verwendet wird.

Damit baut er jetzt einen Stabilen Tunnel auf.

**razor** · 18. Januar 2023

Hallo PeaceMkr ,

schade, dass Du keine Software-Stände der verwendeten Gateways genannt hast oder welche FRITZ!Box zum Einsatz kommt. (im Allgemeinen)

Der Config nach handelt es sich nicht um WireGuard, was Du zum Laufen bringen wolltest. (im Speziellen)

Schön, dass Du es hinbekommen hast.

**PeaceMkr** · 18. Januar 2023

Hallo razor, das kann ich nachliefern. Soweit ich weiß kann die DM ja kein Wireguard bzw. hab ich das nirgends gesehen und die Fritz kanns ja auch erst ab 07.50.

Also um das ganze zu komplettieren:

Fritzbox 5490 mit Fritz!OS 07.29

Dream Machine Pro 1.12.33

Das ganze ist ein IPSec-Tunnel über die Site2Site-Verbindung.

Anbei noch die Fritzbox-Config auf Nachfrage eines Forumsusers. Das in eine Textdatei kopieren und diese übers Webinterface einlesen.

Was ich bisher feststellen konnte war allerdings das der Tunnel bei der Zwangstrennung und Vergabe einer neuen IP neu eingerichtet werden muß was ziemlich lästig ist weil die DM leider keine DNS-Einträge mag.

Code

vpncfg {    
    connections 
    {         
    enabled = yes;         
    editable = yes;
    conn_type = conntype_lan;         
    name = "NAME DER VPN-Verbindung";  
    always_renew = yes;         
    reject_not_encrypted = no;         
    dont_filter_netbios = yes;         
    localip = 0.0.0.0;         
    local_virtualip = 0.0.0.0;         
    remoteip = Dreammachine-IP;
    remote_virtualip = 0.0.0.0;         
    remotehostname = "Dreammachine Hostname";  
    keepalive_ip = 0.0.0.0;         
    localid 
    {             
    fqdn = "XXXXXXXXX.myfritz.net";    
    }         
    remoteid 
    {
    fqdn = "Dreammachine Hostname";
    }         
    mode = phase1_mode_idp;         
    phase1ss = "all/all/all";         
    keytype = connkeytype_pre_shared;         
    key = "VERYSICHERERKEY";    
    cert_do_server_auth = no;         
    use_nat_t = no;         
    use_xauth = no;         
    use_cfgmode = no;         
    phase2localid 
    {             
    ipnet 
    {                 
    ipaddr = 192.168.0.0;
    mask = 255.255.255.0;             
    }         
    }         
    phase2remoteid 
    {
    ipnet 
    {                 
    ipaddr = 192.168.1.0;
    mask = 255.255.255.0;             
    }         
    }         
    phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";         
    accesslist = "permit ip any 192.168.0.0 255.255.255.0";    
    }     
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",                  
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Alles anzeigen

**thomas.lange** · 4. Februar 2023

Hi Zusammen,

erstmal danke für den Input. Der VPN Tunnel steht

Aber es fließen noch keine Daten drüber.

Muss ich noch eine extra Route setzen?

Log der UDM:

Code

2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 02[ENC] generating QUICK_MODE request 1379349665 [ HASH ]
2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 02[ENC] generating QUICK_MODE request 3935411295 [ HASH SA No KE ID ID ]
2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 03[ENC] parsed INFORMATIONAL_V1 request 2646887692 [ HASH D ]
2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 08[ENC] parsed INFORMATIONAL_V1 request 266201648 [ HASH D ]
2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[ENC] parsed QUICK_MODE response 3935411295 [ HASH SA No KE ID ID ]
2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[IKE] CHILD_SA 63de55075df4957dc200e330{12} established with SPIs c5d3a42b_i a9cd434b_o and TS 0.0.0.0/0 === 0.0.0.0/0
2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[CHD] updown: ok

Log der Fritz

Code

VPN-Verbindung zu **** [xxx] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-3DES/SHA1/LT-3600 wurde erfolgreich hergestellt.

UDM Config
conn ****


## basics ##
auto=start
authby=secret
type=tunnel


## timeouts ##
dpdaction=restart
dpddelay=30s
dpdtimeout=120s


## connection data ##
left=DynUDM
right=DynFB
mark_in=0x04000000/0xfe000000
mark_out=0x04000000/0xfe000000


## routing ##
leftsubnet=0.0.0.0/0
rightsubnet=0.0.0.0/0
fragmentation=yes
compress=no


## phase 1 (IKE) ##
keyexchange=ikev1
aggressive=no
ike=aes256-sha1-modp1024!
reauth=yes
ikelifetime=28800s


## phase 2 (ESP) ##
esp=3des-sha1-modp1024
rekey=yes
keylife=3600s
keyingtries=%forever
forceencaps=no


## notifications ##
leftupdown=/etc/ipsec.d/tunnels/63de55075df4957dc200e330.ipsec.s2s.updown

Alles anzeigen

FB Config wie oben

Habt ihr eine Idee?

Danke

---

Thomas

**bic** · 4. Februar 2023

Hast du denn bei beiden Kisten die per VPN zu verbindenden Netze über Kreuz eingetragen? So zum Beispiel:

Fritte: local xxx.xxx.xxx.0, entfernt yyy.yyy.yyy.0

UDM: local yyy.yyy.yyy.0, entfernt xxx.xxx.xxx.0

Denn normaler Weise müssen bei site-2-site IPsec-VPN keine Routen händisch gesetzt werden, dass erledigen die Router von allein.

**thomas.lange** · 6. Februar 2023

Hi,

ich denke schon:

Code

phase2localid {
ipnet {
ipaddr = 192.168.XXX.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.YYY.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.YYY.0 255.255.255.0";
app_id = 0;

Alles anzeigen

Ich bin mir nur nicht sicher ob in der UDM noch was extra in die ***.ipsec.s2s.config rein muss?

Ich habe einen funktionierenden Tunnel zu einer FortiGate laufen, da musste ich aber eine dynamische Route extra einstellen.

Evtl. braucht die Fritte so was auch? oder die UDM?

Vg

Thomas

OK, ich gebe mir mal selbst die Antwort:

Beim anlegen der VPN Verbindung in der UDM muss der Haken bei "Route-Base VPN" raus!

Bei der VPN Verbindung zur Fortigate ist der drin und an der FG ist eine Policy Route gesetzt.

Bei der Verbindung zur FB läuft das anders

Habt ihr einen Weg gefunden, wie die Config nach dem reboot der UDM erhalten bleibt?

**PeaceMkr** · 6. Februar 2023

Hallo thomas, bin da momentan dran ein script zu schreiben was das ganze auch dyndns-tauglich macht und was dann regemässig läuft und die config anpasst. Mal schauen ob das funktioniert und dann könnte ich das hier mit posten. Müsste aber noch schauen obs cron auf der DM gibt oder irgendwas greifbar ist, was beim boot gestartet wird.

**thomas.lange** · 6. Februar 2023

Hört sich gut an.

Inzwischen geht wieder kein Traffic über die Tunnel o)

Der Tunnel wird sauber aufgebaut, aber es laufen keine Daten drüber, egal ob mit oder ohne den Haken ....

Habt ihr eine Idee?

Code

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
XXXX            0.0.0.0         255.255.252.0   U         0 0          0 eth8
10.60.100.0     0.0.0.0         255.255.252.0   U         0 0          0 br60
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 vti64
192.168.2.0     0.0.0.0         255.255.255.0   U         0 0          0 vti64
192.168.4.0     0.0.0.0         255.255.255.0   U         0 0          0 vti64
192.168.5.0     0.0.0.0         255.255.255.0   U         0 0          0 br0
192.168.10.0    0.0.0.0         255.255.255.0   U         0 0          0 eth7
192.168.111.0   0.0.0.0         255.255.255.0   U         0 0          0 vti65
203.0.113.0     0.0.0.0         255.255.255.0   U         0 0          0 dnsfilter

Alles anzeigen

Laut routing table alles iO..

**razor** · 6. Februar 2023

Zitat von PeaceMkr

Hallo thomas, bin da momentan dran ein script zu schreiben was das ganze auch dyndns-tauglich macht und was dann regemässig läuft und die config anpasst. Mal schauen ob das funktioniert und dann könnte ich das hier mit posten.
Müsste aber noch schauen obs cron auf der DM gibt oder irgendwas greifbar ist, was beim boot gestartet wird.

Hi PeaceMkr ,

ich könnte mir gut vorstellen, dass sich das Ergebnis auch fürs wiki eignet. Ihr beide werdet sicher nicht die einzigen sein, die eine Lösung brauchen, bis WireGuard in allen UniFi- (und AVM-)Geräten verfügbar ist.

Ich würde mich gern zum Testen zwischen AVM und UniFi (USG-4-Pro) anbieten, brauche aber dafür noch einen AVM-Paten mit entsprechender Ruhe. Meiner ist mir leider zu hibbelig.

**PeaceMkr** · 6. Februar 2023

razor Ja kann ich nachvollziehen. Wenn man da nicht die Ruhe weg hat kriegt man mit den Fritzboxen die Krise. Die zeigen leider keine sinnvollen Fehlermeldungen an. Wenn ich da was am Laufen habe geb ich Bescheid. Ich hab da auch die letzten Monate mit einer Kombination aus Edgerouter<->Fritzbox und jetzt mit DM<->Fritzbox rumgebastelt und auch der Chef einer befreundeten IT-Firma hat das Handtuch geworfen.

Im ganzen Internet gibts zwar einige Configs aber oft laufen die Unterhaltungen dann ins leere.

Mit den oben genannten Einstellungen bekomme ich jetzt bei mir Zuverlässig ein VPN was auch funktioniert.

**thomas.lange** · 7. Februar 2023

Ich habe es nun zum laufen bekommen.

Mein Aufbau:

UDM SE mit fester IP (ist hinter einer Fritzbox im "Bridge Mode")

Site-to-Site VPN zu

Fortigate (feste IP)
3 x AVM Fritzbox (dynDNS)

Hier die Config einer Fritzbox:

Code

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "<VerbindungsName>";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = <IP-UDM>;
                remote_virtualip = 0.0.0.0;
                remotehostname = "<DNSName-UDM>";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "<DynDNS-FB>";
                }
                remoteid {
                        ipaddr = <IP-UDM>;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "<streggeheimespassword>";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = <LOCAL-IP-NETZ-FB>;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = <LOCAL-IP-NETZ-UDM>;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any <LOCAL-IP-NETZ-UDM> 255.255.255.0";
                app_id = 0;
        }
}

Alles anzeigen

Hier die Configs der UDM zu finden unter /etc/ipsec.d/tunnels

.ipsec.s2s.secret:

Code

# Generated automatically by ubios-udapi-server
# For ipsec tunnel (site-to-site) ***
#
<IP-UDM <DynDNS-FB> : PSK "<strengeheimespassword>"

.ipsec.s2s.config:

Code

# Generated automatically by ubios-udapi-server
# For ipsec tunnel (site-to-site) ***
#
conn ***

  ## basics ##
  auto=start
  authby=secret
  type=tunnel

  ## timeouts ##
  dpdaction=restart
  dpddelay=30s
  dpdtimeout=120s

  ## connection data ##
  left=<IP-UDM>
  right=<DynDNS-FB>

  ## routing ##
  leftsubnet=<LOACL-IP-UDM>/24
  rightsubnet=<LOACL-IP-FB>/24
  fragmentation=yes
  compress=no

  ## phase 1 (IKE) ##
  keyexchange=ikev1
  aggressive=yes
  ike=aes256-sha512-modp1024!
  reauth=yes
  ikelifetime=3600s

  ## phase 2 (ESP) ##
  esp=aes256-sha512-modp1024
  rekey=yes
  keylife=3600s
  keyingtries=%forever
  forceencaps=no

  ## notifications ##
  leftupdown=/etc/ipsec.d/tunnels/***.ipsec.s2s.updown

Alles anzeigen

Und was vorher an der UDM Oberfläche eingestellt werden sollte

Das sollte einigen weiter helfen.

Was noch fehlt ist ein Script das nach dem Reboot oder Pause/Start der VPN über die GUI die Werte wieder übergibt.

Evtl kann mal jemand testen was das /etc/ipsec.d/private macht ...

Vg

Thomas

**turtle1987** · 29. Mai 2023

Zitat von thomas.lange

Das sollte einigen weiter helfen.

Perfekt. Damit habe ich es zum Laufen bekommen. Allerdings nur mit der Dream Machine. Auf einem anderen Controller mit USG habe ich bei Hash gar nicht die Möglichkeit SHA512 auszuwählen.

Ich kann dort nur SHA1 oder MD5 im Dropdown auswählen. Softwarestand ist 7.3.83. Liegt das dann an der Hardware oder müsste ich das über manuelle Konfiguration lösen?

**thomas.lange** · 1. Juni 2023

Die Konfig sollte passend zueinander sein: fritzbox <> unifi

In der Fritz ist bei

phase2ss = "esp-aes256-3des-sha"

Und bei der UDM

## phase 2 (ESP) ##

esp=aes256-sha512-modp1024

Ich denke, hier musst du ansetzen.

Die ipsec.s2s.config ist entscheidend, nicht die "Klick-Bildchen". Ich weiß nicht ob die USG sha512 unterstützt.

**turtle1987** · 24. August 2023

Bin jetzt auf eine UDM Pro gewechselt. Zu 2 FritzBoxen bekomme ich eine VPN Verbindung hin, zu einer dritten leider nicht, obwohl es dieselben Einstellungen sind. Die FritzBox meldet IKE-Error 0x2026. Wie komme ich denn auf der Seite der UDM an ein Log ran? Den Befehl show vpn log, den ich an einigen Stellen gelesen habe kennt sie nicht und in den Logfiles auth.log und deamon.log sehe ich zwar Einträge mit VPN Kontext aber keine Hinweise auf Probleme.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

S-2-S-VPN zwischen UDM-Pro & FRITZ!Box - mal wieder

5 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 72

Wer war online 168