[Erledigt] VPN FB7590 8.03 <-> UDMPro 4.1.22 / 9.1.120

[mannebk]

Leute, schönes neues Forum, war offensichtlich ne weile nicht hier.

Ich bastel seit Wochen an nem VPN, und es will einfach nicht. Und google und AI wissen nicht weiter.

Eigentlich seit Monaten, seit Oktober ist mein FTTH aktiv, aber ich bekomme das VPN nicht auf die UDM, daher läuft auch noch der 100/40 DSL, den ich dann auf 16/2 als backup runter drehen möchte

Als noch alles AVM war, war das zwar nervtötend einzurichten und langsam, aber es funktionierte.

Jetzt nicht so sehr: Ich hab irgendwie nen Brett vorm kopf und alle meine Suchen und Support anfragen ware nicht erfolgreich.

Fritze 7590 mit OS 8.03 dynIPv4 und FQDN
UDM Pro mit 4.1.22 und Network 9.1.120 fixIPv4 und ebenfalls FQND

beide haben akteull einen Wireguard Tunnel zu meinem root server (host) mit ner pfSense laufem.

Und ich kann machen was ich will, bekomme den tunnel zwischen den beiden einfach nicht zum laufen.

Habs mit IPsec probiert, gefühlt jede kombination aus IKEv2 settings verwendet, habs mit WireGuard probiert, da will die Fritze normalerweise das ich den Tunnel zum Host lösche... aber das ist ja nicht zielführend, wenn dann der andere stehen würde und ich will den host dann wieder dazu nehme, geht das ganz sicher von vorne los. Zirkelschluss.

daher lag mein augenmerk primär auf dem ipsec. aber ich bin da völlig offen.

Ich muss halt nen VPN 3eck mit pfsense, UDM und fritzbox hinbekommen. (und die UDM sollte noch mit einigen anderen Fitzen sprechen. Ist also sozusagen die Zentrale, aber die eine Fritze muss halt auch mit dem host sprechen.

Zentrale spricht mit Host, Fitze 1,2,3,4
host spricht mit Zentrale und Fritze 1
Fritze 1 spricht mit Zentrale und Host
Fritze 2-3-4 sprechen nur mit zentrale

Wer hier weiß was für IKEv2 Settings das OS8.03 erwartet? Der AVM Support zeigt immer auf die Wissendatenbank, da steht die Fritze kann nur IKEv1, ich weiß aber das das seit 7.50 falsch ist und seit 7.90 labor ist die schlüsselauswahl usw. auch nochmal ausgedünnt worden. AES192, MD5 und SHA 1, und auch beim DH gehn nicht alle. bzw eigentlich will die aktuelle fb wohl dh14 fällt aber zurück auf mehr optionen wenn das nicht klappt.

im pfsense forum bin ich über "schau mal in die logs" gestolpert.

Die fritze hat bekanntlich quasi kein log, und die UDM ist in der weboberfläche auch nicht besser.

Ideen? Denn mir gehn sie echt aus.

 

[PeterPawn]

Die fritze hat bekanntlich quasi kein log

In den Supportdaten ist sehr wohl eine - mittlerweile auch deutlich ausgebaute - Protokolldatei für das VPN zu finden.

 

[chrsto]

Wer hier weiß was für IKEv2 Settings das OS8.03 erwartet?

Man möge mich korrigieren, aber soweit ich weiß, setzt eine Fritz!Box für IPSec Site-to-Site VPN weiterhin IKEv1 voraus. IKEv2 ist nur Client-to-Site. Die Artikel in der Wissensdatenbank sind daher nach wie vor korrekt.

 

[mannebk]

Kurz vorweg: geht halt net so einfach, das is die AVM typische Lösung wenns um VPN geht. Hab den Titel ensprechend auf erledigt gesetzt.

@PeterPawn danke für den Hinweis.

@chrsto du hast recht, ich hab inzwischen, nach Tagen, eine Aussage von AVM.

Zu Fremdprodukten geht nix, also nix mit Lan-Lan weder in IKEv1 noch v2 wenn auf der anderen Seite keine FB sitzt. IKE zu Firmennetzwerken ist IKEv1 und IKEv2 gibts ausschließlich für Mobile Endgeräte, vermutlich weil der Leidensdruck der aufgebrachten Kunden im Support mit "Aber mein Android-Handy sagt das sei nicht sicher, und das ist ja eine ganz neuze 7590...!" und so, zu groß geworden ist...

Ich probier jetezt seit Stunden mit den als "funktioniert" gelisteten Einstellungen von IKEv1 was zum laufen zu bekommen, aber will halt nicht. Schwätzt halt nur mit ner anderern Fritte. Schnippisches Ding.

Das gilt für:

FritzBox 7590 mit OS 8.03
UDM Pro mit 4.1.22 und Network 9.1.120

Ich kann also bestätigen, der uralte Artikel im AVM WIKI ist IMMER noch gültig, auch in OS 8.03!

Mxxx Kxxx (AVM)

14. Mai 2025, 09:06 MESZ

Guten Tag xxxxx,

ich komme mir folgenden Informationen auf Ihre Anfrage zurück:

Die IPSec zu fremden Routern supporten wird nicht, wofür ich nur um Verständnis bitten kann.
In der Anleitung für die Verbindungen zu Firmen VPNs gibt es Informationen zu den verwendeten Algorithmen.

Das füge ich Ihnen gerne mit an:

• FRITZ!Box mit einem Firmen-VPN (IPSec) verbinden

Ich wünsche Ihnen einen schönen Tag.

Freundliche Grüße aus Berlin
Mxxx Kxxx (FRITZ!-Support)

Ich hab noch meine ersten Fritten hier in ner Vitriene mit zwei Post Aparaten, und ner Agffeo Telefonanlage und Teledat ISDN zu Analgo-Umsetzern und dem ersten "Server" stehen...

Ne SL, und die tut sogar noch... lol. Und dann kam ne 5012, und dann alle 1-2 Jahre das upgrade zum nächsten Flaggschiff, immer schön gemodded, bis sies dann unterbunden haben. Hab mich Jahre gegen das Update gewehrt, wer erinnert sich noch an die Least-Cost-Routing extension? Man waren das Zeiten. Und dann gabs den großen Fritten hack. Und auch ich hab mich von all den tollen Funktionen und Open-WRT auf AVM verabschiedet. (Hab immer noch Open-WRT als Freifunk-Hotspot hier laufen), und viele der in den 10er Jahren verfügbaren Funktionen über Mods hat AVM nie realisiert. Wirklich ausgesprochen schade. So viele verpasste Möglichkeiten aus nem grundsätzlich guten Produkt nen echten Star zu machen.

Seit 13 Jahren reg ich mich jetzt übres AVM VPN auf. Seit ich 2012 weitere Standorte aufgemacht hab. Und die 5 7590 die ich aktuell habe, das sind meine letzten, das ist inzwischen sicher.

Was bin ich froh das wir an dem Anschluss in bälde auch auf FTTH umgestellt werden (sofern die Telekom und deren Subs das endlich installiert bekommt, denn die Rohre liegen schon seit 8 Monaten im Boden) und dann gibts da auch ne UDM mit Zyxel SPF ONT, und die fritze wird zum LTE backup degradiert. Dann kann die da brav ihre VPNs zu den anderen LTE backup Fritzen bauen, ohe das da viel läuft, außer FTTH fällt auf die Nase.

Und das geht dann auch für die noch nicht umgestellten 3 Standorte.

Nicht das das UI von pfSense oder UDM stellar wäre, ganz konträr, es ist wirklich Linux.

Was meine anderen UDM-pfSense-Fritze Tunnel Probleme angeht.

Also auf der UDM muss man ne Firewall Regel anlegen für den Tunneltraffic. Ausgehend kein ding, aber eingehend blockt die UDM alles was nicht ausdrücklich freigegeben ist.

Sprich in der UDM für Zugang zur UDM eine von Internet-local und dann eine für die Tunnel von Internet-in. Beide Regeln sollte man tunlichst auf die IPs der Quellnetze vom VPN beschränken! Idealerweise eine Regel für jedes Protokoll und direkt auf das Ziel. Denn sonst is die Box und das Netz zum Internet offen. Da liebe ich ne pfSense, die kann Regeln die nur für den VPN-Adapter gelten, die UDM kann das scheinbar nicht.

Und in der Fritte weiß ich nicht mal wie ich die config biegen muss, das die den traffic druch lässt mit wire guard, no mehr research in nicht oder nur halb dokumentierten Funktionen... hab ich sowas von bock drauf.

Also danke für die Rückmeldung @chrsto lagst gold richtig.
Manne

 

[chrsto]

Zu Fremdprodukten geht nix, also nix mit Lan-Lan weder in IKEv1 noch v2

Das ist nicht korrekt. Du hast wahrscheinlich das "supporten wir nicht" aus der Mail von AVM falsch interpretiert.

 

[PeterPawn]

Am Ende des ganzen Textes habe ich nun aber immer noch nicht (richtig) verstanden, woran die Standortvernetzung mit IPSec (IKEv1) jetzt wirklich scheitert.

Gerade dann, wenn da mehrere MIPS-basierte Boxen (mit Chipsets aus der GRX-Reihe) im Spiel sind, ist ja damit - dank mittlerweile implementierter Nutzung der schon länger vorhandenen Hardware-Unterstützung für AES - ohnehin eine performantere VPN-Verbindung zu erwarten.

Deren Umsetzung (also die Nutzung der DEU (Data Encryption Unit) für die Verschlüsselung) dürfte es auch gewesen sein, die - neben dem Ausmustern uralter und ohnehin mittlerweile bekanntermaßen unsicherer Verfahren - für die Änderung bei den angebotenen Algorithmen verantwortlich zeichnet. Welche Verfahren angeboten und konfiguriert werden können (auch bei "handgemachten" Konfigurationsdateien) dürfte auch immer noch in der Datei ipsec.cfg (für IKEv1) festgelegt sein.

Jedenfalls läßt sich m.W. auch mit Peers von fremden Herstellern immer noch eine (auch ziemlich stabile) IPSec-Verbindung als LAN-LAN-Kopplung einrichten, wenn es denn nur irgendwelche Gemeinsamkeiten bei den angebotenen "proposals" gibt und sich die Peers irgendwie erreichen können (beim "aggressive mode" mit dynamischen Adressen geht AVM halt eigene Wege, sonst wäre das komplette IPSec-VPN mit IKEv1 von AVM an Customer-Anschlüssen ja nicht zu realisieren).

Die Verwendung mit anderen VPN-Lösungen wurde aber m.W. noch nie (aktiv!) von AVM unterstützt und auch alte KB-Artikel sind mittlerweile wohl entsorgt - man muß also schon selbst tätig werden (und sich ggf. auch etwas mit IPSec auskennen), was mir aber bei der Formulierung "seit Stunden" auch etwas unklar bleibt.

Wenn sich in dieser Zeit nichts hinsichtlich verwendeter Konfigurations- und Protokolldateien ergeben hat, womit man hier die Leute für sein Problem interessieren könnte, macht man (nach meiner - zugegebenermaßen unmaßgeblichen - Meinung) irgendetwas falsch und wenn man diese Daten lieber "verschweigt", dann muß man sich eben selbst helfen (sofern man das weiterhin will).

 

[mannebk]

ich hab in der UDM jede der hier gelisteten combos ausprobiert.

• Die FRITZ!Box unterstützt VPN-Verbindungen nach dem IPSec-Standard mit ESP, IKEv1 und Pre-Shared Keys. Authentication Header (AH) und Perfect Forward Security (PFS) werden nicht unterstützt.
• Unterstützte IPSec-Algorithmen für IKE-Phase 1:
  • Verschlüsselungsverfahren: AES mit 256, 192, 128 Bit
  • Hash-Algorithmus: SHA2-512, SHA2-384, SHA2-256 oder SHA1
  • Die FRITZ!Box nutzt beim Schlüsselaustausch über Diffie-Hellman initial 2048 Bit (DH-Gruppe 14). Falls damit keine Verbindung hergestellt werden kann, nutzt sie danach 1024 Bit (DH-Gruppe 2).
• Unterstützte IPSec-Algorithmen für IKE-Phase 2:
  • Verschlüsselungsverfahren: AES mit 256, 192, 128 Bit
  • Hash-Algorithmus: SHA2-512, SHA2-384, SHA2-256 oder SHA1
  • Die Diffie-Hellman-Gruppe wird durch IKE-Phase 1 bestimmt
  • Kompression: Keine

die UDM unterstützt alles was da aufgelistet ist und mehr.

Der tunnel wir in der FB als aufgebaut markiert, gleichzeitig sagt se aber 2026 no proposal chosen im log...

und es geht auch nix durch den tunnel

in der FB hab ich den web assistant für den tunnel verwendet... weiß nicht mehr so richtig weiter. eine 7590 hab ich schon mitm Hammer platt gehaun, weils mich jetzt seit 6 Monaten beschäftig. (hatte ja eine übrig von da wo die UDM jetzt als Router arbeitet)

mit meinem aktuellen VPN frust level bin ich schwer versucht die nächsten 4 7590 genau so zu behandeln, einfach damits mir wieder besser geht ;-)

-- Zusammenführung Doppelpost by stoney

##

-- Zusammenführung Doppelpost by stoney



Bild(er) als Vorschaubild(er) (siehe https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ ) eingebunden by stoney

 

[PeterPawn]

Für meinen Geschmack klingt das nach einer zu geringen Frusttoleranz und ich habe den Eindruck, auch mit dem Lesen ist es etwas problematisch.

Was bitte soll man mit diesen drei Bildern anfangen? Steht da IRGENDETWAS, was darauf schließen lässt, WARUM sich die 7590 keines der angebotenen Proposals aussuchen möchte?

Wenn Du das jetzt schon seit 6 Monaten auf DIESEM Niveau betreibst und eben KEINEN Blick in die passenden Protokolle wirfst bzw. diese offenbar nicht zur Verfügung stellen WILLST, dann werden die anderen Boxen wohl auch eines gewaltsamen Todes sterben müssen.

Ansonsten finde ich es beim Blick auf die UDM-Konfiguration merkwürdig, warum man sich da FREIWILLIG auf eine manuelle Festlegung für die Algorithmen einläßt und damit im Endeffekt nur noch eine einzige Möglichkeit für P1 und P2 offeriert - die wohl die 7590 in DIESER Kombination nicht mag. Ob der Fehlercode jetzt für P1 oder P2 gilt, kann man eben im Event-Log auch NICHT erkennen - auf das PASSENDE Log in der Box habe ich schon verwiesen.

Zusätzlich finde ich beim zitierten Teil in #7 keine Quellenangabe - vermutlich wird das so irgendwo bei AVM stehen, aber da steht (und stand in der Vergangenheit) auch viel (teilweise auch falsches). Es mag sein, daß tatsächlich mit der DEU-Unterstützung auch PFS generell entfallen ist (was für mich schon ein K.O.-Kriterium wäre), aber das wäre für mich überraschend (bei LAN-LAN-Verbindungen). Anhand der geöffneten Browser-Tabs würde ich aber darauf wetten, daß Du hier beim falschen Typ von VPN-Verbindung bei AVM nachgelesen hast - bei Verbindungen mit einem Firmennetzwerk agiert das FRITZ!OS als IPSec-Client und das ist KEINE LAN-LAN-Kopplung. Also hast Du vermutlich schon per se mit falschen Einstellungen "herumgespielt" - wie gesagt, ohne systematisches Vorgehen (und ein Grundverständnis für IPSec) wird das wohl nur mit sehr viel Glück jemals funktionieren.

Die Bilder sind jedenfalls (fast) komplett witzlos (wenn man mal von den sichtbaren Browser-Tabs absieht, die aber wohl nicht der Sinn der Bilder waren) - erst recht dann, wenn da sogar die "Namen" von IPSec-Verbindungen so geheim sind, daß man sie übertünchen muß. Beim Konfigurieren einer LAN-LAN-Kopplung (sogar bei einer zwischen zwei AVM-Geräten) kommt es eben auch auf die Konfiguration der zu verbindenden Netzwerk-Segmente an und da ist es recht kontraproduktiv, wenn man auch die Daten "geheimhält", die unkritisch sind und dazu gehören im Allgemeinen auch die jeweiligen lokalen Netzwerk-Adressen. Klar sollte man nicht zu offenherzig mit solchen Informationen umgehen - aber wer Hilfe erwartet, sollte den potentiellen Helfern nicht per se die Hände auf den Rücken binden und zumindest PROTOKOLLE bereitstellen und auch diese (selbst wenn es größeren Aufwand für einen selbst bedeutet) so "maskieren", daß die Helfer die ursprünglichen Daten und Zusammenhänge noch zweifelsfrei erkennen können (sprich: eine "Legende" sollte Ersetzungen erläutern).