[Gelöst] IPSec zwischen Fritzbox und pfSense funktioniert nicht mehr

robinsonR

Mitglied
Mitglied seit
17 Apr 2006
Beiträge
560
Punkte für Reaktionen
0
Punkte
16
Ich betreibe eine pfSense 2.2.1 (virtuell unter ESX) und eine Fritzbox 7490 (FritzOS 6.20). Vorher waren pfSense 2.1.5 und eine Fritzbox 7270 im Einsatz. Da hat der VPN-Tunnel wunderbar funktioniert. Im IPSec-Bereich wurde bei pfSense einiges geändert, das anfangs Schwierigkeiten gemacht hat. Die konnte ich aber soweit lösen, dass ich nun folgendes Problem habe: Beim ersten Einrichten der 7490 hat die VPN-Verbindung sofort geklappt. Ich musste dann noch ein paar Änderungen in der Konfiguration vornehmen und da war dann Schluss. Ich bekam keine Verbindung mehr hin. Die Fritzbox wollte einfach nicht mehr auf VPN-Verbindungsanfragen reagieren. Nichts in den Log-Dateien zu finden und die pfSense gab immer "no response from peer" an.
Habe dann etwas herumgespielt und IP-Adressen anstatt FQDN ausprobiert – keine Änderung. Nachdem ich die alte Fritzbox 7270 auf Werkseinstellungen zurückgesetzt hatte und dort eine Test-Verbindung eingerichtet hatte, hat diese Verbindung auf Anhieb geklappt. Also muss es wohl an der Fritzbox 7490 liegen. Über die URL http://fritz.box/support.lua bin ich bei den Support-Dateien auf folgende Einträge gestossen:
Code:
2015-04-07 19:57:47 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 19:58:00 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 19:58:24 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 19:59:06 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:01:09 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:01:13 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:01:20 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:01:33 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:01:56 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:02:38 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:03:54 avmike:212.51.141.177:500: new_neighbour_template failed
2015-04-07 20:03:58 avmike:212.51.141.177:500: new_neighbour_template failed
Die IP-Adresse ist die IP der pfSense. Es scheint fast, als hingen da noch alte Konfigurationen rum, die die Funktion beeinträchtigen. Wie kriege ich die raus, ohne die ganze 7490 auf Werkseinstellungen zurückzusetzen? (Dies hat ja bei der 7270 geholfen).
 
Zuletzt bearbeitet:

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
14,835
Punkte für Reaktionen
1,579
Punkte
113
Das hört sich eher so an (bzw. liest sich so), als wenn da in der VPN-Konfiguration irgendwelche Parameter gesetzt sind, mit denen die 7490 (AVM hat mit 06.20 heftig am VPN geändert) nicht mehr klarkommt, während die 7270 da wohl etwas gutmütiger war oder andere Vorgaben verwendete.

Die alten VPN-Konfigurationen kann man ganz einfach mit einem beherzten
Code:
cat /etc/default.$CONFIG_PRODUKT/$OEM/vpn.cfg >/var/flash/vpn.cfg
löschen. Anschließend einen beherzten Neustart (es reicht theoretisch auch ein "killall avmike") und die VPN-Konfigurationen der Box sollten Geschichte sein. Dann eine einzelne ordentliche (das meint korrekte) VPN-Konfiguration importiert und es sollte wieder auf Anhieb klappen. In erster Linie muß man die Proposals vorher abgleichen, gerade da hat sich einiges geändert und wenn man vorher für Phase2 irgendwelche eigenen Einstellungen vorgenommen hatte (bei Verbindungen zu pfSense nicht ganz unüblich), dann kann es gut sein, daß die aktuelle Auswahl gar nicht mehr existiert. Hier bringt ein Blick in die Datei "ipsec.cfg" (in demselben Verzeichnis wie die vpn.cfg-Standarddatei) Aufklärung ...

PS: Das Protokoll des avmike findet man in einer Telnet-Session in der Datei /var/tmp/ike.log ... da muß man nicht immer die Support-Daten bemühen.
 
Zuletzt bearbeitet:

robinsonR

Mitglied
Mitglied seit
17 Apr 2006
Beiträge
560
Punkte für Reaktionen
0
Punkte
16
Super! Vielen Dank PeterPawn. Obwohl ich keine alte Konfigurationsparameter gefunden habe, hat der von dir angegebene Befehl geholfen. Innerhalb Sekunden stand die VPN-Verbindung wieder.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.