[Problem] FB6490 Cable und Dell Sonicwall VPN Verbindung

[Wetterman]

Hallo,
mein Problem ist das ich keine VPN Verbindung über die Fritte hinbekomme. Über Mobilfunk und Hotspot funktioniert alles.
AVM Anleitung durchgeführt , hat jemand eine Idee ?
Grüße aus dem Homeoffice

 

[KunterBunter]

In der AVM Anleitung steht doch drin:
Voraussetzungen / Einschränkungen

• Die FRITZ!Box unterstützt VPN-Verbindungen nach dem IPSec-Standard mit ESP, IKEv1 und Pre-Shared Keys. Authentication Header (AH) und Perfect Forward Security (PFS) werden nicht unterstützt.

 

[Wetterman]

Danke für die superschnelle Antwort.
das heißt es kann nicht funktionieren ?
Sorry aber das sind zuviele Fachausdrücke für mich, wir haben einen pre-shared key eingegeben.

 

[KunterBunter]

Es kann funktionieren, wenn die Voraussetzungen gegeben sind.
In der AVM Anleitung steht doch gleich als erstes: Lassen Sie vom Administrator des VPN-Servers in Ihrer Firma eine VPN-Client-Verbindung für die FRITZ!Box einrichten. Dabei müssen die oben genannten IPSec-Algorithmen verwendet werden.

 

[PeterPawn]

Perfect Forward Security (PFS) [...] nicht unterstützt.

In welcher Anleitung steht das genau? Zwar wurde von AVM angesagt, daß mit der 07.19 die Kompression Geschichte ist, aber daß PFS nicht mehr unterstützt wird, ist mir neu ... und wäre auch ein Security-Albtraum, weil damit dann aufgezeichnete Verbindungen nach dem "Knacken" des entsprechenden Schlüssels auch im Nachhinein zu entschlüsseln wären (vgl. Erläuterungen, z.B. hier: https://en.wikipedia.org/wiki/Forward_secrecy).

Zwar ist es nicht ausgeschlossen, daß man PFS nicht (länger) implementiert ... aber das wäre (da (P)FS nur auf die Phase des Schlüsselaustauschs wirkt (eine zusätzliche Runde) und keine zusätzlichen Operationen auf/mit den "Verkehrsdaten" erfordert, wenn erst mal die SAs etabliert wurden - mithin auch keinen (offensichtlichen) Einfluß darauf hat, ob man eine Hardware-Unterstützung benutzen kann oder nicht für die - ohnehin symmetrische - Verschlüsselung eines Datenstroms) eher ein Kotau vor den Begehrlichkeiten aller möglichen Apologeten einer - wie auch immer gearteten - großflächigen Überwachung (von Internet und Bevölkerung).

Wenn man wirklich (auch auf Dauer bzw. absehbare Zeit, zumindest nach dem heutigen Kenntnisstand) sicher kommunizieren will über verschlüsselte Verbindungen, ist dieses Merkmal unumgänglich und das ist auch einer der Gründe dafür, warum die IETF in TLS 1.3 (dem aktuellen Standard) nur noch Verfahren standardisiert hat, die "Forward Secrecy" beinhalten und dabei ließ man sich auch nicht von Störversuchen, die diese Sicherheit wieder aufweichen sollten (wie z.B. eTLS von der ETSI hier und hier), irritieren.

Auch das BSI in D hat für die Verwendung mit TLS 1.2 (in TLS 1.3 gibt es eben gar nichts anderes) ganz klar die Empfehlung abgegeben, wo immer es möglich ist, PFS zu benutzen: https://www.bsi.bund.de/SharedDocs/...BSI-TR-02102-2.pdf?__blob=publicationFile&v=7 - Seite 8, Fußnote 2 und https://www.heise.de/security/meldung/Verschluesselung-Neue-TLS-Empfehlungen-vom-BSI-4408864.html

Es wäre also schon sehr, sehr überraschend, wenn das - so ohne jeden anderen Kontext, wie eine spezielle Kombination von Peers, die halt "nicht miteinander können" oder ohne die Angaben von FRITZ!Box-Modell und FRITZ!OS-Version - irgendwo bei AVM so zu lesen wäre ... daher meine eingangs gestellte Frage.

EDIT: OK, zumindest eine Fundstelle habe ich dann (mit "genau so geschrieben suchen") doch noch gefunden: https://service.avm.de/help/de/FRITZ-Box-7590/018/hilfe_vpn_tec_standards - ich muß die erst mal verdauen und validieren, weil das m.E. nicht stimmt (zumindest nicht für andere Modelle).

EDIT2: Ich halte das für einen Fehler in dieser Dokumentation ... allerdings müßte man/ich zur definitiven Aussage, daß das falsch ist, erst noch eine VPN-Verbindung zwischen einer FRITZ!Box und einer anderen Implementierung, die genauere Auskunft über die verwendeten Algorithmen einer funktionierenden VPN-Verbindung gibt, konfigurieren und testen - meine Behauptung vorne, steht also unter diesem Vorbehalt. Es ist ja nicht vollkommen auszuschließen, daß AVM zwar von "PFS funktioniert" erzählt - z.B. in den Namen der Proposal-Sets:

vidar:/home/FritzBox/FB7590 $ grep comment 154.07.19-74611/etc/default.Fritz_Box_HW226/avm/ipsec.cfg
                comment = "dh_group_modp5";
                comment = "dh_group_modp14";
                comment = "dh_group_modp15";
                comment = "Alle Algorithmen, DH-Gruppe default";
                comment = "Alle Algorithmen, DH-Gruppe alternate";
                comment = "Alle Algorithmen, DH-Gruppe alternate (ausgehend)";
                comment = "Alle Algorithmen, DH-Gruppe alternate (ausgehend) Lifetime 8h";
                comment = "Linux FreeS/WAN mit 3DES und PFS";
                comment = "Windows TMG - nur ein Phase 2 Proposal wird akzeptiert";
                comment = "fuer Verbindungen bei denen Kompression zu Problemen fuehrt";
                comment = "Standardrichtlinie AVM Access Server";
                comment = "Alle Algorithmen, mit PFS";
                comment = "Alle Algorithmen, ohne PFS";
                comment = "Alle Algorithmen, ohne AH, mit PFS";
                comment = "Alle Algorithmen, ohne AH, ohne PFS";
                comment = "Alle Algorithmen, ohne AH, mit PFS";
                comment = "Alle Algorithmen, ohne AH, ohne PFS";
                comment = "ESP NULL, kein AH,kein COMP,kein PFS";
vidar:/home/FritzBox/FB7590 $

- und die Peers dann doch eine Verbindung ohne PFS aushandeln. Aber eigentlich KANN das nur ein Fehler in der Dokumentation sein ...

 

[KunterBunter]

Da habe ich auch im ersten Moment gestutzt, aber es steht auch hier so da: FRITZ!Box mit einem Firmen-VPN verbinden

 

[PeterPawn]

es steht auch hier so da

OK, da steht auch explizit, daß es erst ab 07.10 so sein soll ... ich halte das (schon wegen des "Perfect Forward Security (PFS)", was eigentlich keine "gängige" Benennung wäre, weil das "S" i.d.R. für "Secrecy" steht in dieser Kombination) für einen Fehler in der Dokumentation oder es wäre ein dicker Hund (und zwar ein sehr, sehr, sehr dicker), wenn AVM das tatsächlich bereits in 07.10 klammheimlich "abgeschafft" hätte und das dann auch noch, ohne jede "Erwähnung" in der zugehörigen "info.txt", wo ja üblicherweise die Änderungen/Neuerungen verkündet werden.

Das wäre ein sooo riesiger Vertrauensbruch (obendrein angesichts der anderen Umstände, wo weiterhin von "PFS" die Rede ist, z.B. in den Eventlog-Messages) EDIT: da wird nur der schlußendlich genutzte Algorithmus angezeigt, aber die Namen der Proposal-Sets hatte ich oben ja schon gezeigt, sowohl "mit PFS" als auch "ohne PFS"), denn die Kunden verlassen sich natürlich auch auf die Sicherheit der von ihnen verwendeten VPN-Verbindungen bzw. die Sicherheit der dazu verwendeten Firmware, daß man dann die Geräte praktisch umgehend entsorgen müßte ... da ist mir (bis zur Feststellung des Gegenteils) dann die Erklärung mit dem "Irrtum" in der Dokumentation und dem "Abschreiben" voneinander, deutlich lieber.

 

[PeterPawn]

Ich hatte das mal (am 23.03.2020) beim AVM-Support nachgefragt, weil mir das spanisch vorkommt.

Ergebnis (16.04.2020):

In der Tat bezeichnet PFS hier die Perfect Forward Secrecy, dies habe ich intern bereits weitergeleitet. Die Information in unserem Hilfedokument bezüglich der Nicht-Unterstützung von PFS ist ebenfalls korrekt: Sofern eine Firmen-VPN-Verbindung eingerichet wird, geschieht dies in der Benutzeroberfläche der FRITZ!Box selbst; Dort wiederum können die Konfigurationsdateien nicht angepasst werden. Sofern Sie jedoch mittels der Software FRITZ!Fernzugang einrichten eine LAN-LAN-Kopplung herstellen, können Sie für die IKE-Phase 2 auch PFS-nutzende Strategien anwenden.

Das ist wohl tatsächlich so, daß bei "Zugang zu einem Firmen-VPN" am Ende für P2 ein Proposal-Set ohne PFS voreingestellt wird vom GUI (bzw. vom "ctlmgr"):

phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";

Für Verbindungen, wo die Box als "VPN-Client" gegenüber einem VPN-Gateway auftritt (was bei AVM offenbar die einzige Option ist, wie ein Zugang zu einem Firmen-VPN funktionieren kann - was gegen eine LAN-LAN-Kopplung mit einem VPN-Gateway in einer Firma spricht, wird aber nicht wirklich näher erklärt), ist das also tatsächlich so, daß PFS nicht benutzt werden kann, solange man das Set nicht selbst anpaßt in dem entsprechenden Eintrag in der "vpn.cfg".

Dafür braucht man zwar auch nicht unbedingt das AVM-Programm "FRITZ!Fernzugang einrichten" (ja, ich persönlich würde in diesem Falle sogar explizit von dessen Verwendung abraten), aber man müßte die Einstellung bei "phase2ss" tatsächlich selbst entsprechend ändern - unterstützt wird es (generell) von der VPN-Implementierung ja weiterhin.

Warum AVM hier nicht (wie bei LAN-LAN-Kopplung) auch gleich "esp-all-all/ah-none/comp-all/pfs" verwendet, wird vermutlich das Geheimnis der Product-Owner (agil) bzw. der Produkt-Manager bleiben.

Aber bei 07.19 wird ja ohnehin wieder alles anders ... ich bin auf den ersten "finalen Stand" gespannt.