VPN IPsec tra pfSense e FritzBox

[Aladino]

Qualcuno qui ci è riuscito? Io ci ho perso diverse giornate, tra un
tentativo e l'altro. pfSense su Alix è il mio firewall in ufficio, il
FritzBox il router di casa e ogni tanto mi verrebbe utile poter accedere
da una LAN all'altra e così ci riprovo, come pure stamattina. Ma
nonostante ci siano diverse spiegazioni su internet, e sembra che la
cosa possa e debba funzionare, la VPN non va su.
Mi sono anche chiesto se c'è qualcosa di particolare nella mia
configruazione, e ciè il fatto che il firewall pfSense sta dietro ad un
router TP-Link, che comunque passa tutto il traffico con una NAT. O il
fatto che sia in ufficio che a casa ho un IP dinamico. Ma al pfSense
riesco comunque a collegarmi tramite OpenVPN dal portatile (usando il
DDNS), e anche sul FritzBox riesco a collegarmi in VPN/IPsec da un
singolo client (modalità utente) tramite il DDNS AVM.


--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.

[Aladino]

Allen <al...@spamfence.net> wrote:

> Ricapitolando, tu vorresti fare un bridge fra PFs o il frizbox?
Non so se si può usare il termine "bridge". Per me è una VPN tra due
LAN. Ne ho già una basata su OpenVPN tra le 2 sedi dell'uffico, con un
firewall pfSense per parte. Su entrambi i pfSense è possibile
connettersi con singoli device come client OpenVPN.

--
Per rispondere, togliere -NOSPAM- dall'indirizzo.

[Aladino]

Allen <al...@spamfence.net> wrote:

> Se tu vuoi vedere mutualmente le tue reti devi usare un bridge, anzi un
> bridge L2.
Mi sa che non hai capito la situazione: le due LAN sono fisicamente
distanti, e devono connettersi attraverso internet.


> No, spe, hai due pfsense ambo i lati?
Sě, ma tra quelli non ho problemi.
Il problema č connettere una terza LAN, che ha un FritzBox 3272 per
collegarsi ad internet.

[Aladino]

Allen <al...@spamfence.net> wrote:

> Cosě?

LAN1----pfSense1--+
|
Internet
(OpenVPN)
|
LAN2----pfSense2--+
|
Internet
(IPsec)
|
LAN3----FritzBox--+

Con caratteri monospazio si dovrebbe capire. A tutte e tre le LAN riesco
ad accedere con delle VPN da singoli client (OpenVPN per pfSense, IPSec
per FritzBox), quello che non riesco a far funzionare č il collegamento
(IPsec perché il FritzBox prevede solo quello) tra la LAN2 e la LAN3.

[Aladino]

Allen <al...@spamfence.net> wrote:

>
> E funziona...
Beh, intanto grazie.
La guida č una delle tre che avevo trovato e cercato di mettere in
pratica pure io.
Adesso c'č da capire perché a me non funziona... la prima domanda che mi
viene in mente č: che modello di FritzBox hai? Hai usato 2 DDNS? Io
avevo anche provato a risolvere gli IP e mettere quelli, ma niente...
Il problema puň essere il fatto che il pfSense della LAN2 sta dietro ad
un modem/router TP-Link che reindirizza tutte le porte (UDP e TCP) al
pfSense? Comunqe il pfSense della LAN2 si collega come client alla LAN1
e accetta connessioni OpenVPN come server dal client software del mio
portatile... pertanto credo di no.
Nelle schermate del secondo link, ci sono un paio di errori o non ho
capito io... sia in Remote gateway che in Peer identifier ci va il DDNS
del Fritz, giusto? Perché nella schermata usano 2 nomi diversi...

> 1) occhio al routing
Qui non capisco cosa intenti. Ho provato con la config uscita dal
wizard, ho provato a modificarla (oltre alla PSK in accordo a quanto
messo su pfSense) come da tutorial:
always_renew = yes
mode = phase1_mode_idp invece di phase1_mode_aggressive
phase1ss = "def/3des/sha" invece che "all/all/all",
phase2ss = "esp-all-all/ah-none/comp-all/pfs" invece di
"esp-3des-sha/ah-no/comp-no/pfs"


> 2) attenzione che (lan1) lan2 lan3 devono avere classi di ip diverse
OK, qui credo ci siamo:
LAN1 192.168.10.0/24--pfSense1--IP pubblico fisso--internet
|
OpenVPN 10.8.0.0/24
|
LAN2 192.168.17.0/24--pfSense2--192.168.16.0/31--TPLink--internet
|
IPSec VPN
|
LAN3 192.168.18.0/24--FritzBox--internet

Ma non va... ARGHH!!!

Questo č il Log IPsec del pfSense, dove ho sotituito l'IP del Fritzbox
(io non ci vedo niente di utile, non si trovano e basta, ma magari mi
sfugge qualcosa)

Apr 20 00:06:40 charon 16[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:06:40 charon 16[IKE] <con1000|7751> sending
retransmit 2 of request message ID 0, seq 1
Apr 20 00:06:32 charon 07[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:06:32 charon 07[IKE] <con1000|7751> sending
retransmit 1 of request message ID 0, seq 1
Apr 20 00:06:28 charon 07[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:06:28 charon 07[ENC] <con1000|7751> generating
ID_PROT request 0 [ SA V V V V V ]
Apr 20 00:06:28 charon 07[IKE] <con1000|7751> initiating Main
Mode IKE_SA con1000[7751] to <IP-FRITZBOX>
Apr 20 00:06:28 charon 07[IKE] <con1000|7751> peer not
responding, trying again (2/3)
Apr 20 00:06:28 charon 07[IKE] <con1000|7751> giving up after 5
retransmits
Apr 20 00:05:13 charon 06[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:05:13 charon 06[IKE] <con1000|7751> sending
retransmit 5 of request message ID 0, seq 1
Apr 20 00:04:31 charon 07[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:04:31 charon 07[IKE] <con1000|7751> sending
retransmit 4 of request message ID 0, seq 1
Apr 20 00:04:07 charon 06[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:04:07 charon 06[IKE] <con1000|7751> sending
retransmit 3 of request message ID 0, seq 1
Apr 20 00:03:55 charon 07[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:03:55 charon 07[IKE] <con1000|7751> sending
retransmit 2 of request message ID 0, seq 1
Apr 20 00:03:47 charon 05[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:03:47 charon 05[IKE] <con1000|7751> sending
retransmit 1 of request message ID 0, seq 1
Apr 20 00:03:43 charon 05[NET] <con1000|7751> sending packet:
from 192.168.16.2[500] to <IP-FRITZBOX>[500] (176 bytes)
Apr 20 00:03:43 charon 05[ENC] <con1000|7751> generating
ID_PROT request 0 [ SA V V V V V ]
Apr 20 00:03:43 charon 05[IKE] <con1000|7751> initiating Main
Mode IKE_SA con1000[7751] to <IP-FRITZBOX>
Apr 20 00:03:43 charon 07[KNL] creating acquire job for policy
192.168.16.2/32|/0 === <IP-FRITZBOX>/32|/0 with reqid {37}
Apr 20 00:03:08 charon 05[IKE] <con1000|7750> establishing
IKE_SA failed, peer not responding
Apr 20 00:03:08 charon 05[IKE] <con1000|7750> giving up after 5
retransmits

[Aladino]

Allen <al...@spamfence.net> wrote:

> Aspè, non hai ancora risolto
OK, ma intanto provi ad aiutarmi. :-)
>
> 7490
3270... probabilmente non c'entra, però è una possibilità.
>
> No, ho ip statici sulle connessioni.
> E' un possibile problema
Stamttina ho provato a stabilire la connessione tra FritzBox e pfSense
della LAN1, che ha IP statico ed è esposto direttamente ad interent. Al
momento con lo stesso risultato di prima: la VPN non va su.
>
> Mmmm no, comunque le porte da "aprire" sono le 500 e la 4500 rigorosamente
> udp.
> Però dovresti fare un test, reindirizza la 500 e la 4500 verso una 22 su
> ssh e testi se passa il traffico udp. Da lì parti.
OK, proverò anche questo... ma come si testa il traffico UDP con SSH?
SSH non usa solo TCP?
>
> Ni, nel senso che quando si usa ipsec non si sa mai il router come la
> prende. Per questo di ho scritto di testarle.
Proverò, me visto il test con la LAN1, non dovrebbe essere questo il
problema. Almeno non l'unico :-/

>
> > Nelle schermate del secondo link, ci sono un paio di errori o non ho
> > capito io... sia in Remote gateway che in Peer identifier ci va il DDNS
> > del Fritz, giusto? Perché nella schermata usano 2 nomi diversi...
>

> Se noti il capo è settato su "Distinguished name" che poi sembra un nome da
> risolvere, ma non lo è.
Ti riferisci a "znil.dyndns.org"? Perché secondo te non è un nome da
risolvere? Io sia su remote getway che su Peer identifier ci metto il
DDNS del FrtizBox. DDNS che risolve senza problemi, perché mi da
l'accesso al router.
>
> Nel senso vedi che la classe remota routi via ipsec e non il dfault
> gateway.
E non è già definito nella configurazione della VPN? Comunque il
problema al momento è che la VPN non va su, non che non ci passa il
traffico.
>
> Si ok, perfetto, anche se comunque su 192.168.16.0 lo metterei comunque su
> 24 non su 31.
Probabilmente è 24, anche se ho solo 2 IP... .1 il router e .2 la WAN
del pfSense.
>
> Un passo per volta dai.
Il fatto è che sono proprio fermo... :-(
>
> Sembra che il traffico non giri....
>
> Controlla da ssh in pfsense che il router remoto sia visto, un paio di
> ping, insomma.
Beh, i ping ci sono. In entrambe le direzioni... quando parlavi di
reindirizzare le porte, era per dei ping?
>
> Ok fai gli aggiustamenti che ti ho detto e poi vediamo il log.
Allora, io ci ho provato per quanto sono risuscito, ma ancora niente. Ho
pensato che forse vedendo le configurazioni, ti facilito nell'aiutarmi,
e magari vedi quello che a me sfugge. Pertanto ho messo tutto il
possibile su dropbox a questo indirizzo:
<https://www.dropbox.com/sh/f0o2sp1vimygnl7/AAAZ_yTWbOHlQA3y8Y-17y0Ja?dl=0>

[Aladino]

Allen <al...@spamfence.net> wrote:

> Ok, bel lavoro, ho dato un'occhiata veloce e ho notato che adesso il traffico
S

[Aladino]

Allen <al...@spamfence.net> wrote:

> Ok, bel lavoro, ho dato un'occhiata veloce e ho notato che adesso il traffico

Per la VPN LAN1-LAN3... che perň non č quella che mi serve. L'ho fatta
per test. Il ping l'ho invece provato tra LAN2 e LAN3 (quelle che voglio
collegare con IPsec).
>
> P.s. Per caso usi infostrada su di una connessione?
Sě. Sia sulla LAN2 che sulla LAN3. La LAN1 č invece connessa con EOLO e
ha IP fisso.

[Aladino]

Allen <al...@spamfence.net> wrote:

> > https://www.dropbox.com/sh/f0o2sp1vimygnl7/AAAZ_yTWbOHlQA3y8Y-17y0Ja?dl=0
>
> Ok, bel lavoro
Ho aggiunto anche una prova fatta usando l'IP dinamico della LAN2 al
posto del DDNS (so che non puň restare cosě, ma per capire
l'inghippo...), e si torna nella situazione della VPN della LAN1, ovvero
c'č comunicazione ma non si capiscono.
Pertanto immagino che i problemi possano essere almeno 2. :-/

[Aladino]

Allen <al...@spamfence.net> wrote:

> Fine settimana analizzo per bene e ti do una risposta la prossima
> settimana.
Ti ho anticipato: ce l'ho fatta!!!
Ma adesso sono troppo stanco per un resoconto. Forse domani... intanto
grazie di nuovo!

[Aladino]

https://www.dropbox.com/sh/f0o2sp1vimygnl7/AAAZ_yTWbOHlQA3y8Y-17y0Ja?dl=0

Alla fine ho sostituito i vari screenshot e file di configurazione di
prova con quelli funzionanti (ovviamente da adattare alla proprie
esigenze).

Per chiarire la mia situazione e capire come modificare i le
configurazioni, ribadisco che ho collegato la LAN di casa
(192.168.18.0/24) dove ho un router FritzBox 3270, con la rete dello
studio (192.168.17.0/24) dove ho un firewall pfSense che sta dietro ad
un router che reindirizza tutto il traffico all firewall (un unica NAT
per tutte le porte). Entrambi gli end-point hanno IP dinamico, e
pertanto ho usato due DDNS: per il FritzBox basta registrarsi sul sito
AVM per averne uno da loro, per pfSense ne ho fatto uno su NO-IP (ma si
puň usare un qualsiasi servizio DDNS).
La cosa che mi ha fatto tribolare di piů č il "remote IP" del file di
configurazione per il FritzBox, che a differenza di quanto avevo capito
dai vari tutorial, non č l'IP pubblico o il DDNS, ma bensě l'IP lato LAN
del pfSense.
I file resteranno a disposizione per qualche giorno (se me ne dimentico
anche di piů), ma prima o poi li toglierň, pertanto chi ne ha interesse
se li prenda finché il link č valido.

[Aladino]

Alla fine, il file di configurazione del FritzBox posso anche metterlo
qui:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN AB Studio";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 192.168.17.1; // IP pfSense su LAN
remote_virtualip = 0.0.0.0;
remotehostname = "pfsense-ddns"; // sostituire con DDNS pfSense
localid {
fqdn = "avm-ddns.myfritz.net"; // sostituire con DDNS FritzBox
}
remoteid {
fqdn = "pfsense-ddns"; // sostituire con DDNS pfSense
}
mode = phase1_mode_aggressive;
phase1ss = "def/3des/sha";
keytype = connkeytype_pre_shared;
key = "Pre-Shared Key"; // stessa Pre-Shared Key messa in pfSense
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.18.0; // sostituire con LAN dietro il FritzBox
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.17.0; // sostituire con LAN dietro pfSense
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.17.0 255.255.255.0"; // sost.
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500
0.0.0.0:4500";

[Aladino]

Allen <al...@spamfence.net> wrote:

> No spč, ma a te bastava traffico fra lan2 e 3 e non viceversa?
In che senso, non viceversa? Il traffico ovviamente deve essere andata e
ritorno. Inoltre mi sta bene poter accedere dall'ufficio alla LAN di
casa (LAN3), e da casa alla lan dell'uffcio (LAN2). Diciamo che dalla
LAN1 non c'č motivo di accedere alla LAN3, viceversa puň capitare ma mi
arrangio con un tunnel OpenVPN.

[meddix on UbuWIN]

Il 21/04/2017 11:25, Aladino ha scritto:
> I file resteranno a disposizione per qualche giorno (se me ne dimentico

> anche di più), ma prima o poi li toglierò, pertanto chi ne ha interesse
> se li prenda finché il link è valido.
grazie, molto gentile, li leggerò quanto prima!