In diesem Video zeige ich euch gut und einfach erklärt wie man eine Site-to-Site IPSec VPN Verbindung zwischen einer FritzBox und einer pfSense aufbaut. Dabei werden beide lokale Netzwerke miteinander verbunden und werden über eine verschlüsselte Verbindung gerouted.
Ergänzend wie im Video erwähnt, hier die Konfigurationsdatei für die FritzBox.
Dateiname: vpn_sitetosite.cfg
vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "VPN zu pfSense-Server"; always_renew = yes; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "DNS NAME ZUR PFSENSE"; localid { fqdn = "DEIN FRITZBOX DNS NAME"; } remoteid { fqdn = "DNS NAME ZUR PFSENSE"; } mode = phase1_mode_aggressive; phase1ss = "dh14/aes/sha"; keytype = connkeytype_pre_shared; key = "DEIN KEY"; cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.0.0; #DEINEDATEN EINTRAGEN mask = 255.255.255.0; #DEINEDATEN EINTRAGEN } } phase2remoteid { ipnet { ipaddr = 10.0.0.0; #DEINEDATEN EINTRAGEN mask = 255.128.0.0; #DEINEDATEN EINTRAGEN } } phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; accesslist = "permit ip any 10.0.0.0 255.128.0.0"; #DEINEDATEN EINTRAGEN } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; }
7. Dezember 2020 um 15:17 Uhr
Hi,
vielen Dank für dieses Tutorial. Könntest du auch die config der pfsense teilen?
Bei mir funktioniert es nicht auf anhieb und würde gerne auf cfg level mal vergleichen.
25. Juni 2021 um 18:30 Uhr
Hallo Herr Schröder,
ich habe nach Ihrem Tutorial die Verbindung nachgebaut. Erst ohne Erfolg da in Ihrer Konfiguration Kommentare #DEINEDATEN EINTRAGEN enthalten sind. Damit kommt wohl die Fritzbox beim Importieren der Konfig nicht zurecht. Sie bricht mit einer Fehlermeldung ab. Ich habe diese entfernt und danach erfolgreich die Verbindung erstellt.
Vielen Dank.
8. September 2021 um 10:44 Uhr
Guten Tag, ich habe versucht der Anleitung nach die VPN Verbindung zwischen einer Fritzbox 7490 v. 7.27 Herstellen.
Ich habe die PfSense nach Anleitung eingerichtet und auch die .cfg Datei mit meinen Werten befüllt.
Doch ich muss leider feststellen das die Fritzbox nicht mit spielt. Ich habe die .cfg Datei eingelesen und bekomme vom Ladebalken eine Positive Rückmeldung, doch leider tauch diese nicht in der Registerkarte VPN bei der Fritzbox auf.
Ich denke ich mache einen Fehler, habe auch schon versucht div. Einstellungen mit der Hilfe von Google und durch das schau der Anleitung mehrfach es selber hinzubekommen doch leider ohne Erfolg.
Ich habe noch eine VPN Site to Site Fritzbox zu Fritzbox laufen, könnte es damit zusammen hängen?
24. Oktober 2021 um 18:33 Uhr
Hallo Zusammen,
ich bekomme den Fehler in der FritzBox IKE-Error 0x2027 (Timeout).
In der PfSense habe ich keinen Konkreten Hinweis.
Oct 24 18:23:14 charon 85454 11[CFG] vici client 322 disconnected
Oct 24 18:23:20 charon 85454 15[CFG] vici client 323 connected
Oct 24 18:23:20 charon 85454 16[CFG] vici client 323 registered for: list-sa
Oct 24 18:23:20 charon 85454 08[CFG] vici client 323 requests: list-sas
Oct 24 18:23:20 charon 85454 15[CFG] vici client 323 disconnected
Oct 24 18:23:24 charon 85454 14[KNL] creating acquire job for policy 94.134.153.187/32|/0 === 88.130.182.169/32|/0 with reqid {1}
Die IP Adressen über meine No-IP Adresse wird richtig aufgelöst und auf der Gegenseite benutze ich die myfritz.net Adresse, die ebenfalls korrekt aufgelöst wird.
Ich bin die Konfiguration 100 mal durgegangen konnte aber keinen Fehler finden.
PFsense Version 2.5.1
FritzBox 7590 07.28
Hat jemand eine Idee?
16. Januar 2023 um 10:32 Uhr
Hi Timo,
ich habe das gleiche Problem. Konntest du hierfür eine Lösung finden?
Danke!
7. Dezember 2021 um 06:46 Uhr
Hallo, wie muss das ganze eingestellt, wenn die Ausgangssitutation wie folgt aussieht:
ISP A-> WAN1 Fritzbox 6890 (NO-IP_Dyndns A) 192.168.18X.1 (default)-> pfsense 192.168.17X.1
ISP B-> WAN2 Fritzbox 7490 (NO-IP_DynDns B) 192.168.19X.1 (Failover)-> pfsense 192.168.17X.1
Regeln sind so gesetzt, dass von allen PCs (192.168.17X.XXX) beide WANs und deren /24 Netze erreichen können.
Entfernte Fritzbox
ISP C-> Fritzbox 7360 (myfritz.net-Adresse) 192.168.2XX.1
Wie bekomme ich nun eine VPN Verbindung hin, das die PCs (192.168.17X.XXX) das Netz 192.168.2XX.0/24 erreichen können?
Vielen Dank schonmal im Voraus
15. Februar 2022 um 18:56 Uhr
Super Erklärung hatte es eine zeitlang in einsatz doch leider seit dem ich den Hoster gewechselt habe und mir die Pfsense neu installiert habe und so mit auch den VPN neu eingerichtet habe bekomme ich zwar mit meiner Fritzbox eine verbindung zur Pfsense doch leider kein einzieges Packet wird gesendet oder zurück gegeben man bekommt immer Zeitüberschreitung doch jetzt bin ich leider mit meinem Latein am enden.
12. Juli 2022 um 13:22 Uhr
Hallo,
das ist eine sehr gute Erklärung. Sie ist leicht verständlich und einleuchtend.
Hättest du die Möglichkeit mir eine Config File zu senden für folgende Konstillation.:
Site A: PfSense statische IP ( daten kann ich selber eintragen)
Site B: Fritzbox dynamische IP mit *.ddns.net ( daten kann ich selber eintragen)
Das wäre echt super!
Danke Christian
19. Oktober 2022 um 18:51 Uhr
Hallo Dennis,
ist es möglich DNS Infos durch den IPSec Tunnel zu bekommen. Ich kann hosts nur per IP auf der PFSense seite ansprechen.
Grüße
Andreas
18. Dezember 2022 um 18:56 Uhr
Hi Dennis,
danke für das super Tutorial.
Ich hatte von meiner pfSense aus, schon einen IPSec-Tunnel zu einer 3370 im Gartenhaus, an einem 3G-Stick am laufen. Ist also eigentlich kein Hexenwerk. 😉
Das ist allerdings schon ein paar Jahre her und die 3370 wurde dann später mit OpenWRT “beglückt”. Diese läuft seitdem mit OpenVPN und einem LTE-Stick problemlos.
Nun hatte ich einen E4200 OpenWRT hinter einer 7412 bei meiner Tochter mit OpenVPN laufen, die nun durch eine 7590 ersetzt wurde.
Ein OpenVPN-Tunnel läuft derzeit noch als Client, über besagten E4200, der mit dem WAN im LAN der 7590 hängt.
Aus Energietechnischen Gründen soll nun der E4200 weg und IPSec die Verbindung machen.
Leider will die 7590 Fritte nicht wirklich bei der Installation der mit Linux erstellten VPN.cfg-Datei mitspielen. Sie quittiert meine Versuche stets mit einer Fehlermeldung.
“Der Import der VPN-Einstellungen ist fehlgeschlagen.”
Als User und Admin, habe ich den Zugang aus dem Internet, sowie VPN erlaubt.
Trotz der Fehlermeldung wird unter “VPN-Verbindungen zur Fritzbox” je ein Tunnel für User und Admin angezeigt, der aber weder die IP /Dyn.Namen der pfSense anzeigt.
Unter “VPN-Verbindungen zwischen Fritzbox und anderen Netzwerken”, wird kein Tunnel angezeigt.
Installiert ist die aktuelle Firmware 7.50.
Weder die Installation von remote über OpenVPN, noch aus dem LAN der Fritte machen einen Unterschied.
Die Lobgesänge auf die Frittentunnel sind ja nun nicht gar so gewaltig, aber vielleicht fällt Dir ja zu besagtem Problem etwas ein.
Notfalls muss ich wohl AVM einmal kontaktieren und hoffen das die weiter helfen können.
Danke erste einmal im vorraus.
LG Peter
5. Mai 2023 um 18:01 Uhr
Ich habe auf der pfsense Seite 2 verschiedene Netze die auf die FB Seite zugreifen sollten, muss ich hier nur auf der FB Seite in der cfg etwas ändern oder auf der pfsense Seite auch?
Zb so:
accesslist = “permit ip any 192.168.1.0; 255.255.255.0; 172.20.1.0; 255.255.255.0”;#DEINEDATEN EINTRAGEN
Kann das die FB überhaupt?
19. August 2023 um 18:23 Uhr
Leider keine antwort des Verfassers. Schade