Isso me incomoda há 2 anos e só descobri recentemente como conectar sem o modo agressivo. Estou postando minha resposta aqui, caso alguém tenha a mesma dúvida. Quase todos os guias que encontrei usam o modo agressivo, que não é necessário se configurado corretamente.

Os seguintes parâmetros se aplicam:

• FritzBox tem um endereço IP dinâmico e está registrado em myFritz.net. Você obterá um DynDNS-Name atualizado com o endereço IP mais recente.
• O pfsense tem um endereço IP público estático. Caso contrário, você precisará usar outro serviço DynDNS para transmitir o IP pfsense
• Sugiro atualizar o pfsense e o FritzBox para o firmware mais recente, como um meio de oferecer suporte ao hash criptográfico moderno
• Para facilitar o teste do túnel IPSEC com dois locais remotos, primeiro configure seu pfsense com OpenVPN para poder configurar o pfsense de outro local
• FritzBox LAN está configurado com 192.168.178.0e pfsense LAN está configurado com 192.168.10.0. Isso pode ser alterado, mas ambas as LANs não podem ser iguais.

A chave para desabilitar o modo agressivo é carregar a configuração VPN via importação. A interface do FritzBox esconde a maioria das coisas importantes, e é por isso que o Modo Agressivo só pode ser desabilitado ao usar a função de importação.

Configuração do FritzBox

Este é o meu ipsec-fritzbox.cfg, vou explicar os parâmetros e configuração do pfsense abaixo:

vpncfg {
connections {
  enabled = yes;
  conn_type = conntype_lan;
  name = "FritzBox-pfsense IPSEC"; // Name of Connection
  always_renew = yes; // Always connect
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remoteip = xxx.xxx.xxx.xxx; // Static IP of pfsense
  remote_virtualip = 0.0.0.0;
  localid {
    fqdn = "xxx.myfritz.net"; // dyndns name of FritzBox
    }
  remoteid {
    ipaddr = xxx.xxx.xxx.xxx; // Static IP of pfsense
    }
  mode = phase1_mode_idp;
  phase1ss = "dh14/aes/sha"; //phase one hashing algorithms to use
  keytype = connkeytype_pre_shared;
  key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; //strong pre-shared key
  cert_do_server_auth = no;
  use_nat_t = no;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = 192.168.178.0; //Local network of FritzBox
      mask = 255.255.255.0; //Local subnet FritzBox
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = 192.168.10.0; //Remote network of Pfsense
      mask = 255.255.255.0; //Remote subnet Pfsense
      }
    }
  phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; //phase two hashing algorithms to use
  accesslist = "permit ip any 192.168.10.0 255.255.255.0"; //firewall settings for pfsense lan
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}

configuração pfsense

Na interface da web do pfsense, vá para VPN > IPsec e clique em Adicionar

Fase 1

Informações gerais

Gateway Remoto: Digite o nome DynDNS do FritzBox

Proposta da Fase 1 (Autenticação)

Identificador de mesmo nível: Insira o nome DynDNS do FritzBox. Chave pré-compartilhada: Insira uma chave estática forte. Modo de Negociação: Principal (não agressivo) Meu identificador: no caso de DynDNS, use Distinguished Name; caso contrário, o IP público estático do pfsense

Proposta da Fase 1 (Algoritmo de Criptografia)

Você vai querer usar algoritmos de criptografia modernos. Abaixo usei AES com 256 bits e SHA1 (Hash) e DH Group 14 (2048 bits). DH14 só funcionou para mim com um Lifetime de 3600 (não 28800).

Isso resulta na seguinte entrada phase2ss de ipsec-fritzbox.cfg:

mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";

Opções avançadas

Eu não mudei nada aqui.

Fase 2

Salve as configurações e adicione uma entrada de fase 2 com a seguinte configuração.

Informações gerais

Proposta da Fase 2 (SA/Troca de Chaves)

Eu usei ESP com AES (256 bits) e 3DES (Criptografia) e SHA1 (Hash) com um Lifetime de 3600 segundos. Isso resulta na seguinte entrada phase2ss de ipsec-fritzbox.cfg:

phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

Configuração avançada

Adicione o IP local do FritzBox aqui.

Verifique a conexão

Depois de configurado, você verá o status em Status > IPsec no pfsense:

No FritzBox, dê uma olhada em Log Enties em System. As conexões iniciais podem falhar devido ao FritzBox se reconectar a um novo IP, que precisa ser transmitido para o serviço DynDNS. Após alguns minutos, o Status da conexão no Painel principal deve ficar verde.

Isso funcionou para mim por um tempo agora. Quaisquer comentários ou melhorias apreciadas!

Problemas:

Para qualquer problema, verifique Status > System Logs > IPsec , que fornece o registro ao vivo do pfsense ipsec.

For example, I had problems with getting dh14 to work (instead of dh1 or dh2). I could solve this by using Sha1 as hashing (instead of sha512), checking 3des (in addition to aes) and reducing the lifetime to 3600 (instead of 28800).

Also note that this setup gets increasingly complicated if both sites work on DynDNS. In fact, mode = phase1_mode_idp; entry is only possible with a static remote site.

Caveats:

If anyone gets dh14 to work with Sha512 hashing (instead of sha1), and without 3des, please add a comment. According to the FritzBox docs, Sha512 or Sha256 should be possible, but no combination for using a sha other than sha1 in phase 1 or 2 worked for me. Also, I had to leave 3des for encryption enabled (proposal 2), otherwise I would not be able to use dh14 (without 3des worked only when using dh1 or dh2).

Tanto quanto eu sei, o FritzBox ainda suporta apenas IKEv1.

Leia os documentos :

As duas entradas de documentos a seguir devem fornecer algum conhecimento adicional:

• FritzBox IPsec
• Solução de problemas do Pfsense IPsec