[Problem] [FB7360] Der Import der VPN-Einstellungen ist Fehlgeschlagen

[Killom]

Moin zusammen,

ich bräuchte mal Unterstützung beim auffinden der Ursache dafür, dass ich die folgende Config nicht in die 7360 importieren kann:

vpncfg {
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "R-OL-LTE";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remotehostname = "router-ol.dyndns.org";
                keepalive_ip = 192.168.66.98;
                remotevirtualip = 0.0.0.0;
                localid {
                    fqdn = "router-go.dyndns.org";
                }
                remoteid {
                    fqdn = "router-ol.dyndns.org";
                }
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "DasIstKeinSichererPSK!";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Ich finde den Fehler nicht. Die Syntax ist soweit korrekt wenn ich nix überlesen habe. In eine Box mit OS7 kann ich die cfg importieren. Firmware ist hier die 124.06.87

Vermute die ältere Firmware kennt die Phase1/2 Strategien noch nicht? Oder ist hier in der Config eine Option notiert die unter OS6 noch nicht existierte?

Der Import scheitert quasi Augenblicklich sobald ich auf den Weiter Button drücke ... irgendwas ist da faul

 

[PeterPawn]

Versuch's mal mit dem "aggressive mode" anstelle des "main mode" - erst recht dann, wenn Du zwei FRITZ!Boxen miteinander koppeln willst.

 

[Killom]

Beim Aggressive Mode passiert das gleiche in Grün. Gekoppelt werden soll die FB an einen LANCOM.

 

[PeterPawn]

an einen LANCOM

Das hast Du halt vergessen zu erwähnen ... wobei - der reinen Lehre zufolge - keine IPSec-Verbindung im "main mode" möglich ist, solange DYNAMISCHE IP-Adressen verwendet werden und keine Zertifikate, mit denen eine Identifikation des Peers abseits der IP-Adresse ausgeführt werden kann, vorhanden sind.

Das klappt bei AVM auch nur deshalb, weil man die Spezifikationen dahingehend "erweitert" bzw. uminterpretiert hat, daß man zuerst mal die Auflösung der aktuellen IP-Adresse für den angegebenen Namen durchführt (die dann auch noch regelmäßig wiederholt wird, damit man Änderungen erkennen und die Verbindung neu aufbauen kann) und dann mittels der ermittelten Adresse den Peer (und seinen zugehörigen PSK) identifiziert, wenn ISAKMP-Pakete aufschlagen.

Welche Proposals für welche Phase akzeptiert werden, steht bei AVM in der Firmware ... in der Datei /etc/default.$CONFIG_PRODUKT/$OEM/ipsec.cfg. Was da bei der 06.87 für die 7360 enthalten ist (bei der Firmware-Version muß es ja auch eine 7360v2 sein), weiß ich nicht mehr - und ich habe auch im Moment keine (entpackte) Firmware, in der ich nachsehen könnte. EDIT: Aber ich bin mir einigermaßen sicher, daß ich hier auch irgendwo schon mal eine ipsec.cfg für eine 06.8x gepostet habe.

Gleichzeitig wäre mir aber nicht bekannt, daß AVM die Angaben direkt beim Import einer VPN-Konfiguration prüft ... aber man lernt ja nie aus. Der einfachste Test - sofern Du Dir die Firmware nicht selbst entpacken willst - wäre es ja, mal eine Konfiguration mit den Werten bei phase1ss und phase2ss zu importieren, die beim Anlegen einer neuen LAN-LAN-Kopplung in der Firmware auch verwendet werden. Die so importierte Konfiguration wird zwar vermutlich zu Deinem LANCOM-Router dann nicht funktionieren, aber zum Eingrenzen der "Fehlerquellen", warum der Import die vorliegende Datei nicht mag, taugt das allemal.

EDIT: Pfad zur ipsec.cfg korrigiert, war "aus dem Kopf heraus" falsch angegeben.

 

[Killom]

Ich glaub es wäre nicht verkehrt, wenn ich selber mal in nen blick in die ipsec.cfg schaue. Gibt es eine Out-of-Box Lösung, mit der ich ohne großes rumgefrickel das Firmwareimage entpackt bekomme? Glaube AVM hatte da ja ne modifizierte tar zum Packen benutzt oder sowas in der Richtung ...

 

[PeterPawn]

Gibt es ... wenn man mit einem Linux-System umgehen kann. Beispiele, wie man eine Firmware entpacken kann, gibt es viele hier ... inkl. passender Tools (u.a. in meinen Repositories, die in der Signatur stehen) für die x64-Plattform: https://github.com/PeterPawn/yf_bin/tree/10853cff8192081b282652bfa3e1082ef551b68a

Diese SquashFS-Tools sind mit ein paar Patches passend erweitert, um auch die bei AVM (bei diesem Modell) eingesetzte Kombination aus Kernel und SquashFS-Image entpacken zu können (das verrät dann der Aufruf mit --help) - das TAR-Format der AVM-Images ist NICHT modifiziert, die kann man also noch ganz simpel entpacken lassen.

Ist also nicht wirklich "out of the box", aber zwei Kommandos (mit Download der Firmware drei) kann man sicherlich auch so eingeben ... zusätzlich zum Klonen der (notwendigen) Repositories. Mit etwas Glück funktioniert sogar dieses Skript: https://github.com/PeterPawn/YourFritz/blob/main/framework/unpack_squashfs mit dem Parameter update - aber das habe ich lange nicht mehr angefaßt. Nein, darin sind nur neuere MIPS-Chipsets und Puma6-Geräte berücksichtigt, das paßt für eine 7360 keinesfalls.

Wie gesagt - nach dem Entpacken des TAR-Archivs von AVM braucht es nur EIN EINZIGES unsquashfs4-be (auch wenn bei der 7360 vermutlich noch Version 3 verwendet wurde, das Entpacken sollte auch für diese Version funktionieren) - wenn ich mich nicht irre, habe ich als Parameter für solche Fälle damals ein -k bzw. -scan als Option implementiert.

peh@vidar:~> mkdir /tmp/7360
peh@vidar:~> cd /tmp/7360/
peh@vidar:/tmp/7360> wget -O avm.image https://ftp.avm.de/fritzbox/fritzbox-7360-v2/deutschland/fritz.os/FRITZ.Box_Fon_WLAN_7360-06.87.image
--2023-01-14 00:23:52--  https://ftp.avm.de/fritzbox/fritzbox-7360-v2/deutschland/fritz.os/FRITZ.Box_Fon_WLAN_7360-06.87.image
Resolving ftp.avm.de (ftp.avm.de)... 217.110.95.228, 212.42.224.74, 212.42.224.73, ...
Connecting to ftp.avm.de (ftp.avm.de)|217.110.95.228|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 20613120 (20M) [application/octet-stream]
Saving to: ‘avm.image’

avm.image                                                   100%[=======================>]  19.66M  12.7MB/s    in 1.6s

2023-01-14 00:23:54 (12.7 MB/s) - ‘avm.image’ saved [20613120/20613120]

peh@vidar:/tmp/7360> tar -f avm.image -x -O ./var/tmp/kernel.image > kernel.image
peh@vidar:/tmp/7360> ls -l
total 39572
-rw-r--r-- 1 peh users 20613120 Dec  7  2021 avm.image
-rw-r--r-- 1 peh users 19905440 Jan 14 00:24 kernel.image
peh@vidar:/tmp/7360> git clone https://github.com/PeterPawn/yf_bin.git
Cloning into 'yf_bin'...
remote: Enumerating objects: 948, done.
remote: Counting objects: 100% (121/121), done.
remote: Compressing objects: 100% (92/92), done.
remote: Total 948 (delta 31), reused 108 (delta 25), pack-reused 827
Receiving objects: 100% (948/948), 75.27 MiB | 12.74 MiB/s, done.
Resolving deltas: 100% (189/189), done.
Updating files: 100% (539/539), done.
peh@vidar:/tmp/7360> sudo yf_bin/squashfs/unsquashfs4-be -scan kernel.image
Found a valid superblock at offset 0x00263D00 while scanning kernel.image.
Found TI checksum (0xCABE8F4E) at the end of the image.
Filesystem on kernel.image is xz compressed (4:0)
Parallel unsquashfs: Using 2 processors
2563 inodes (3116 blocks) to write

[======================================================|] 3116/3116 100%

created 1976 files
created 172 directories
created 500 symlinks
created 87 devices
created 0 fifos
peh@vidar:/tmp/7360> ls -l squashfs-root/etc/default.Fritz_Box_HW196/avm/ipsec.cfg
-r-xr-xr-x 1 root root 37412 Nov 26  2021 squashfs-root/etc/default.Fritz_Box_HW196/avm/ipsec.cfg
peh@vidar:/tmp/7360>

Viel mehr "out of the box" geht in meinen Augen nicht bzw. bringt dann keinen echten Mehrwert - nun ist es doch noch ein "vollumfängliches Beispiel" geworden. EDIT: Und die 7360v2 nutzt hier tatsächlich schon ein SquashFS4-Image.

 

[Killom]

Merci. Hab es über WSL nachstellen können. Siehe Anhang.

Der Upload der config funzt leider immer noch nicht. Habe aber mit der "Von hinten durch die Brust ins Auge" Methode Erfolg gehabt. (Bearbeitung des Configbackups und anschließender Reimport). Verbindung steht jetzt

Ich konnte leider nicht aufschlüsseln, welche genaue Definition die DH Gruppen "def, alt und all" sind. Das müsste ja mehrere DH Gruppen umfassen.
Ebenso ist unklar, welche DH Gruppe die Fritzbox für PFS akzeptiert. Das geht aus der Config leider auch nicht hervor.