FRITZ!OS ab 06.20: Änderungen bei VPNs

In den Release Notes der neuesten AVM FRITZ!Box Version FRITZ!OS 06.20 stand unter anderem: “VPN-Verbindungen unterstützen jetzt zusätzliche Diffie-Hellman-Gruppen 5, 14 und 15”. Coole Sache, ist doch die Sicherheit bei der Perfect Forward Secrecy mit DH-14 deutlich höher und der heutigen Zeit angemessen. Also habe ich das bei einem meiner VPNs direkt mal eingerichtet und entsprechend getestet. Leider hat sich aber mit der neuen Version die Kompatibilität zu diversen Firewalls/VPN-Gateways deutlich verschlechtert. Es ist also nicht nur Gewinn, die Version 06.20 am laufen zu haben.

This is one of many VPN tutorials on my blog. –> Have a look at this full list. <–

Auf das neue AVM FRITZ!Box Update bin ich erst durch die Diskussion in meinem Blogpost über das VPN von der FRITZ!Box zur Juniper SSG gekommen. Dort haben sich einige Leser über Probleme mit der VPN-Verbindung seit dem Update auf FRITZ!OS 06.20 beklagt.

Probleme

(Alle folgenden Aussagen beziehen sich auf VPNs zwischen der FRITZ!Box und anderen Firewalls. Verbindungen zwischen zwei FRITZ!Boxen dürften super funktionieren.)

Auch ich habe folgende Probleme beim Experimentieren festgestellt:

  • Das manuelle Anlegen eines Site-to-Site VPNs über die GUI (ebenfalls neues Feature seit 06.20) hat mangels notwendiger Optionen nicht geklappt.
  • Das Importieren einer vpncfg Datei funktionierte nicht immer. Manchmal wurde nur ein Fehler angezeigt. Ich konnte es aber nicht richtig reproduzieren.
  • Die FRITZ!Box ändert die Optionen für Phase 1 und Phase 2 in ihrer Konfiguration ab. Beispiel: Ich hatte phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; in der importierten vpncfg Datei stehen, aber die FRITZ!Box (“Sicherung” einfach im Notepad++ öffnen und nach “vpncfg” suchen) hat folgendes hinterlegt: phase2ss = "esp-all-all/ah-none/comp-all/pfs"; .
  • Obwohl das VPN funktioniert, tauchen teilweise folgende Fehlermeldungen in der FRITZ!Box auf: VPN-Fehler: fd-wv-fw01, IKE-Error 0x2027 . Ich kann nicht genau sagen, warum. In Summe sieht das denn in etwa so aus:
    FRITZ!Box 06.20 IKE-Error 0x2027
  • Das größte Problem jedoch scheint zu sein, dass die FRITZ!Box keine Verbindungen zu den gängigen VPN-Firewalls mehr herstellen kann. Ich habe es ebenfalls nicht hingekommen, dass die FRITZ!Box ein VPN initiiert. Dies könnte etwas mit der Kompression der Phase 2 zu tun haben, die man nicht mehr explizit deaktivieren kann, da es im Proposal (wie oben bereits erwähnt) immer zu “comp-all” geändert wird. Wenn das VPN allerdings von einer Firewall zur FRITZ!Box aufgebaut wird, dann klappt es weiterhin ohne Probleme. Das Problem ist viel mehr, dass das kaum eine Firewall unterstützt. Schließlich müsste sie dazu ein statisches VPN (Main Mode) zu einer dynamischen IP-Adresse (Dyn DNS) aufbauen. Die Juniper SSG kann es, die Cisco ASA oder Palo Alto aber nicht.

Immerhin: DH-14 funktioniert

Nunja, bei meinem Test zwischen der Juniper ScreenOS Firewall (SSG 5 mit 6.3.0r17) und der FRITZ!Box 7390 mit FRITZ!OS 06.20 hat es ohne Probleme geklappt, da die Juniper zu einem dynamischen DNS Namen ein VPN im Main Mode aufbauen kann (siehe hier).

Folgende Proposals für Phase 1 (IKE) und Phase 2 (IPsec mit PFS) haben bei meinem VPN mit DH-14, AES-256 und SHA-1 zum Ziel geführt:

  • phase1ss = "dh14/aes/sha";
  • phase2ss = "esp-all-all/ah-none/comp-all/pfs";

(Vorher konnte die FRITZ!Box bei Phase 2 nur 3DES. Jetzt klappt dort auch AES-256. Das ist also ein weiterer Sicherheitsgewinn.) Alle anderen Einstellungen bleiben wie gewohnt.

Natürlich müssen die Proposals auf der Firewall ebenfalls angepasst werden. Steht das VPN erst mal, haben bei mir folgende CLI Befehle auf der Juniper offenbart, dass wirklich Diffie-Hellman Gruppe 14 für Phase 1 und Phase 2 (PFS) verwendet wurden:

Phase 1:

Phase 2:

Phase 1 Lifetime 3600

In diesem Zuge habe ich noch festgestellt, dass die FRITZ!Box auch für Phase 1 eine Lifetime von 3600 s vorgibt. Ich kenne standardmäßig eigentlich eine Lifetime von 8 h für Phase 1 und dann 1 h für Phase 2. Aber gut, sei’s drum. Diese Einstellung habe ich Firewallseitig bei mir jetzt noch korrigiert, so dass es jetzt so aussieht:

 

Soll ich mich jetzt freuen?

So ganz weiß ich ja noch nicht, ob das Update auf 06.20 jetzt gut ist oder nicht. Das Mehr an Sicherheit durch Diffie-Hellman Gruppe 14 ist zwar super, bringt aber nichts, wenn gefühlte 90 % der VPNs nicht mehr funktionieren dürften. Immerhin baut der Otto-Normalverbraucher sein VPN ja von der FRITZ!Box zur Firewall in der Firma auf. Hm. Mal schauen, ob AVM da etwas tut.

[Update] AVM hat geantwortet

Sehr cool. Dann warten wir mal auf das nächste finale Update…

Featured image “Hamburg alter Elbtunnel 20141222_164046” by Uwe is licensed under CC BY-NC-ND 2.0.

15 thoughts on “FRITZ!OS ab 06.20: Änderungen bei VPNs

  1. Hallo Johannes,
    ja wir können uns wirklich freuen. Auch ich hatte eine Mail von AVM und es ist tatsächlich so, dass folgende Strategien in der 6.04 und 6.21beta (hat AVM mit zur Verfügung gestellt) einwandfrei funktionieren:
    phase1ss = “alt/all/all”;
    phase2ss = “esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs”;

    Getestet mit Juniper SSG-5 und Sonicwall NSA-3500. Auf Juniper- und Sonikwallseite ist in beiden Phasen nur 3DES auf AES256 mit sha-1 umgestellt worden. Jetzt wird alles wieder gut.

    Gruß
    Guido S

  2. Hallo,

    ich habe beim Wechsel von der Firmware 6.03 auf 6.20 festgestellt, daß alle VPN gegen Watchuard Router einmal pro Stunde komplett unterbrochen und nur wieder aufgebaut werden, wenn die Gegenstelle dies veranlasst. Der gleiche Fehler tritt auch mit der neuen Labor-Version 6.21 auf. Der Sachverhalt wurde mit dem Support von AVM ausgiebig behandelt ud als Lösung wurde emphohlen, die alte Firmware 6.03 zu verwenden.

    Da abedr der WLan Durchsatz bei 6.03 extrem schlechter ist als mit der aktuellen Labor-Firmware hoffe ich, daß sich AVM nochmals des VPN-Problems annimmt. Beim Vergleich zwischen 6.03 und 6.20 müsste doch herauszufinden sein, was dieses Problem verursacht. Des weiteren glaubeich nicht, daß ich mit dem Problem alleine stehe.
    Viele Grüße Robert

    1. Hallo Robert,

      nein, du bist nicht der einzige. Exakt das gleiche Problem habe ich auch mit einem VPN der 06.20 zu einer Cisco ASA. Jede Stunde ist die Schose ein mal weg. Sehr nervig!
      Ich vermute stark, dass es mit der Lifetime von Phase 2 (IPsec) zu tun hat, die bei der FRITZ!Box anscheinend hart auf 60 Minuten kodiert ist. Zumindest habe ich es nicht geschafft, eine längere Lifetime einzustellen. Man kann zwar ein Proposal für Phase 1 als auch Phase 2 mit “LT8h” wählen, um 8 Stunden zu haben. Bei diesen Proposals hätte man dann aber wieder nur DH-Gruppe 2, was ich schade finde.
      Schade halt, dass man die ganzen Parameter nicht einzelnd einstellen kann. Naja, hoffentlich scheint AVM aufgrund der vielen Support-Anfragen zu merken, dass die FRITZ!Box tatsächlich als VPN-Gateway eingesetzt wird. ;)

  3. Hallo Johannes,

    habe jetzt für beide Phasen LT8h eingestellt, ich wollte noch mehr aber LT24h oder LT1d gehen nicht. Bei mir wird komischerweise schon nach exakt 3/4 der Zeit getrennt, bei 3600 sec nach 45 Minuten und bei LT8h nach 6 Stunden (andere Seite ist Cisco ASA-5505 Software Version 8.2(5)), ansonsten läuft es so.

    Gruss Marcus

  4. Hallo,

    ich habe seit dem Update das Problem, dass ich gar keine Config mehr einspielen kann, da ich immer die Fehlermeldung bekommen, dass der Import fehlgeschlagen ist. Eine Idee? Habe als Vorlage die Config von dieser Seite genommen. (VPN von FritzBox zu SSG 5.

    1. Hm, es *könnte* sein, dass die Proposals nicht akzeptiert werden. Ich hatte solche Probleme ja auch (siehe oben).
      Ich habe in einem Punkt ja beschrieben, dass bei mir die phase2 Proposals einfach geändert wurden. Versuch es doch mal mit diesem Proposal:
      phase2ss = “esp-all-all/ah-none/comp-all/pfs”;
      Vielleicht hilft das? Ansonsten noch mal kontrollieren, ob wirklich alle Zeilen meines Templates richtig übernommen wurden. Ist dein PSK noch im Klartext in der Konfig drin, oder hast du bereits eine von der FRITZ!Box verschleierte Version des PSKs in deiner Datei? In jedem Fall würde ich es noch mal mit dem Klartext PSK probieren.

  5. Hallo,

    also ich habe auch das Problem, dass die VPN-Verbindung der Fritz!Box mit einem Netgear SRX5308 alle ~53 Minuten getrennt wird. Laut AVM Support passiert das Aufgrund von Inaktivität. Die werden das Verhalten ggf. prüfen/zukünftig ändern.

    Mit der 6.03 Firmware habe ich allerdings im Log die gleichen Symptome. Habe ich da etwas verpasst?

  6. die FritzBox (7490) ist nicht für VPN geeignet, habe jetzt Windows 10 mit RealTek LAN und kann die Box durch Robocopy (4GB) abschiessen. Habe auch schon früher gemerkt dass die Box bei Heavy VPN kaum noch reagiert, ich denke mal die CPU ist dafür nicht gedacht. Habe jetzt einen VPN-Router gekauft und werde ihn bei Gelegenheit in Betrieb nehmen.

    1. Hm, also geht es dir konkret um die 7490? Das ist doch meines Wissens nach die leistungsfähigste Kiste. Komisch.
      Was meinst du denn mit VPN-Router? Für vernünftige VPNs würde ich ja eine Firewall und nicht einen Router nehmen. ;) Was hast du denn gekauft?

      1. Gekauft habe ich Netgear FVS318N ProSafe 8-Port Gigabit VPN Router.
        Allerdings habe ich einfach “drauflos” gekauft, ich hoffe dass ich das VPN, was bisher über Fritz lief, darüber laufen lassen kann.
        Dass die FritzBox CPU-mässig schwach ist kann man während Kopieren von so 4GB über VPN sehen, ruf dann mal parallel die FritzBox im Browser auf. Ich habe auch den Eindruck dass DHCP der FritzBox durch Massenkopieren gestört wird. Und wie gesagt, einmal hat die FritzBox auch resettet während Massenkopieren.
        Wenn mein Eindruck nicht täuscht dann kann man die FritzBox nicht für stabiles VPN einsetzen.

  7. Hallo,

    vielen Dank für diesen Post.

    Würdest Du noch
    phase1ss = “dh14/aes/sha”;
    phase2ss = “esp-all-all/ah-none/comp-all/pfs”;
    empfehlen oder gibt es mittlerweile etwas besseres?

    Bringt XAUTH etwas an der Sicherheit?

    Eine “Best Case”-Config (in Bezug auf Sicherheit) wäre natürlich super.

    1. Hi,

      ich habe leider in den letzten Monaten keine weiteren Tests gemacht, daher weiß ich nichts zu den aktuellen Neuerungen.
      Die von dir erwähnten Proposals sind auf jeden Fall weiterhin ok.
      XAUTH bringt nichts, da es nur für Remote Access VPNs (und nicht Site-to-Site) gedacht ist.

      -> Generell aber mal wieder der Hinweis: Die FRITZ!Box ist ein Heimandwender Produkt! Wer wirklich *richtige* Sicherheit braucht (im Sinne einer Firewall, etc.), der muss auch eine *richtige* Firewall kaufen. Die FRITZ!Box hat zum Beispiel auch den großen Nachteil, dass die VPN Ver- und Entschlüsselung sehr langsam von statten geht, siehe meine Speedtests Versuche:
      https://weberblog.net/2016/03/23/fritzbox-vpn-speedtests/

      Ciao,
      Johannes

  8. Hallo Johnnes,
    vielen Dank für die hilfreichen Infos in deinem blog. supi!

    Ich habe jetzt ne 7490 mit OS 6.80 mit ner CISCO ASA am laufen.
    zumindest fritzbox ist grün, an die CISCO komme ich nicht ran.

    von dort kommt wohl folgender Fehler:
    IPSEC: Received an ESP packet: The decapsulated inner packet doesn’t match the negotiated policy in the SA.

    du scheinst dich auf beiden seiten auszukennen. hättest du ne idee, was ich probieren könnte.
    hier mal n auszug aus meiner vpn.cfg:
    ——–

    mode = phase1_mode_idp;
    phase1ss = “alt/aes-3des/sha”;
    keytype = connkeytype_pre_shared;
    key = “**********”;
    cert_do_server_auth = no;
    use_nat_t = yes;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 87.119.19.152;
    mask = 255.255.255.255;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 19.0.0.0;
    mask = 255.0.0.0;
    }
    }
    phase2ss = “esp-des|3des-all/ah-all/comp-all/no-pfs”;
    accesslist = “permit ip any 19.0.0.0 255.0.0.0”,
    “permit ip any 136.8.0.0 255.248.0.0”,
    “permit ip any 136.1.16.0 255.255.240.0”,
    “permit ip any 136.1.32.0 255.255.224.0”,
    “permit ip any 136.1.64.0 255.255.224.0”,
    “permit ip any 136.1.104.0 255.255.248.0”;
    }
    ike_forward_rules = “udp 0.0.0.0:500 0.0.0.0:500”,
    “udp 0.0.0.0:4500 0.0.0.0:4500”;
    }

    1. Ich glaube bei CISCO braucht man meistens xauth. Aber evtl. ist das bei dir anders eingerichtet.

Leave a Reply to olaf Cancel reply

Your email address will not be published. Required fields are marked *