gerber
Goto Top

1ne Fritzbox - 2 VLANs - jeweils VPN

Hallo Community,

ich benötige eure Hilfe...
Es geht zunächst um einen Test bei mir Intern soll aber später produktiv eingesetzt werden.

Es geht um eine kleine Firma (5 PC´s) die über eine Fritzbox 7490 eine Internetverbindung herstellt und auch darüber diese Fritzbox den VPN für die Mitarbeiter (HomeOffice) bereitstellt.

Nun kommt in den Räumlichkeiten dieser Firma eine zweite Firma hinzu.

Die Firmen sollen komplett voneinander abgetrennt werden (VLANs).
Beide Firmen sollen jedoch über die Fritzbox 7490 die Internetverbindung herstellen.

Zusätzlich gibt es in jeder Firma Mitarbeiter die Homeoffice nutzen und somit eine Verbindung per VPN benötigen.
Die VPN Verbindung soll End to Site hergestellt werden und jede Firma auch hier nur Zugriff auf ihr Firmennetz.

Nun stellt sich mir die Frage, wie ich diese Anforderung am besten erfüllen kann.

Mit der Fritzbox ist dies ja nicht mehr möglich, da ich dort nicht in das richtige VlAN routen kann.

Ich dachte eventuell an ein Routerboard oder an eine Pfsense Firewall.


Was würdet ihr empfehlen?
Wie würdet ihr das umsetzen ?

Ich habe noch nie eine VPN Verbindung + VLAN eingerichtet.
Ist dies generell möglich eine VPN Verbindung von einem bestimmten Benutzer xy in ein VLAN xy aufzubauen ?

Oder habe ich hier ein Denkfehler und VPN Verbindungen mit VLANs werden/müssen anders eingerichtet werden ??


Sry für dumme Fragen, stehe aber momentan auf dem Schlauch

Danke im voraus

Grüße Philipp

Content-ID: 300265

Url: https://administrator.de/contentid/300265

Ausgedruckt am: 04.12.2024 um 08:12 Uhr

Kuemmel
Kuemmel 28.03.2016 um 15:58:19 Uhr
Goto Top
Ganz einfach:
Fritzbox stellt die WAN-Verbindung her und jede Firma bekommt einen eigenen Router der mit der Fritzbox verbunden ist. Welchen Router du da nimmst ist Geschmackssache, ich persönlich würde einen Cisco 881 oder einen MikroTik verwenden.

Gruß
Kümmel
Gerber
Gerber 28.03.2016 um 16:20:21 Uhr
Goto Top
Hi Kuemmel,

danke für die schnelle Antwort.

D.h. du würdest gar keine Vlans einrichten ??

Die VPNs dann wie folgt auf die einzelnen Router aufbauen?:

VPN1: Benutzer Firma "xxx" -----> Router 1 Firma "xxx"

VPN 2: Benutzer Firma "zzz" -----> Router 2 Firma "zzz" ??

Muss ich in der Fritzbox dann noch irgendwas an die Router weiterleiten zwecks den VPN Verbindungen ??


Grüße Philipp
aqui
aqui 28.03.2016 um 17:16:05 Uhr
Goto Top
Mit der Fritzbox ist dies ja nicht mehr möglich, da ich dort nicht in das richtige VlAN routen kann.
Das ist natürlich Unsinn und nicht richtig zuende gedacht.
Die einfachste Option ist beide Netze mit einem kleinen 40 Euro Router (z.B. Mikrotik) zu koppeln mit entsprechenden Accesslisten.
Zentral bedient dann die FB den Internet Zugang und das VPN.
So ein einfaches Szenario findest du hier beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Du schreibst ja allerdings auch das eine strikte Trennung realisiert werden soll, was technisch gesehen auch richtig ist.
Daran krankt das obige Konzept, denn in dieser Konstellation müssen die Pakete des einen Netzes immer das mit der FB passieren um ins Internet zu kommen und andersrum der VPN Traffic.
Machbar aber nicht eben wasserdicht.
Besser ist es den o.a. Router oder noch besser eine kleine_Firewall zu verwenden die die Netze trennt.
Von diesem Router oder der Firewall bedient man dann mit der FB zentral über ein drittes Interface beide Netze.
So bleibt der Traffic vollkommen getrennt in beiden Netzen.
Sinnvoll ist dann doch wieder VLANs zu verwenden, denn damit kann man beide Firmennetze sinnvoll und kostengünstig auf einer gemeinsame Switch Infrastruktur bei gleichzeitiger Trennung betreiben.
So ein Konzept ist im hiesigen VLAN Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Alles in allem ein recht simples und banales Projekt was in der Größenordnungvon Endgeräten in unter eine Stunde umzusetzen ist.
Gerber
Gerber 28.03.2016 um 17:29:43 Uhr
Goto Top
Hi aqui,

Danke für die Antwort.

Das mit dem nicht zu Ende gedacht stimmt, jetzt wo du das schreibst :D.

D.h. du würdest eine Pfsense Firewall dem Mikrotik Router vorziehen ??

Eines habe ich noch nicht korrekt verstanden:

Du schreibst:

Von diesem Router oder der Firewall bedient man dann mit der FB zentral über ein drittes Interface beide Netze

Wie soll ich dass genau verstehen ?? *sry*
Was meinst du mit drittem Interface ??

Firewall --> Fritzbox --> LAN

Fritzbox --> Firewall --> LAN

Was nimmt dann die VPN entgegen ? und wie komm ich mit dem richtigen VPN in das richtige Netz ??


Danke

Grüße
108012
Lösung 108012 28.03.2016 um 17:44:03 Uhr
Goto Top
Hallo,

DrayTek Vigor 130 als Modem und dann einen Router oder eine Firewall dahinter die
recht stark in Sachen VPN ist und VLAN fähigkeit mitbringt. Fertig.

Gruß
Dobby
Gerber
Gerber 28.03.2016 um 17:56:43 Uhr
Goto Top
Danke euch...

Jetzte habe ich den Schritt vom Schlauch geschafft :D :D

Ich nutze ein Modem --> Firewall oder Router ( Pfsense oder Mikrotik ) ---> LAN

Der Router oder die Firewall nimmt die VPN entgegen und leitet diese dann in das richtige LAN weiter.

Ich kann anstelle eines reinem Modems auch die Fritzbox weiterbetreiben oder ??

Es hängt nämlich noch eine Telefonanlage hinter der Fritzbox.


Grüße Philipp.
Kuemmel
Kuemmel 28.03.2016 um 18:03:08 Uhr
Goto Top
Sollte funktionieren.
Mit einer pfSense-Lösung wirst du wahrscheinlich am glücklichsten.
Gerber
Gerber 28.03.2016 aktualisiert um 18:32:06 Uhr
Goto Top
Super danke euch allen...

Jetzt habe ich währen dem ganzen Thread nochmal mein Lager durchstöbert, irgendwas ist in meinem Hinterkopf gewesen.

Ich habe noch einen "Draytek Vigor 2925 VPN-Router" gefunden.


Mit diesem könnte ich doch alles verwirklichen oder ??
Dieser kann VPNs verwalten und kann VLANs erstellen (daumenhoch).

Eine Frage ist eben noch offen:

wenn ich die Fritzbox nicht nur als Modem nutze und z.b. den Draytek VPN Router die VPN Verbindung annehmen lasse, muss ich dann in der Fritbox irgendwelche Einstellungen vornehmen ? Damit der Draytek alles verwalten kann ??

Grüße
108012
108012 28.03.2016 um 18:41:42 Uhr
Goto Top
Alles kommt auf einige Faktoren an, wie;
- Wie viele VPN Verbindungen sind das denn nun wirklich? (5, 10 oder 100)
- Wie stark oder schnell ist denn nun die Internetanbindung? (MBit/s)
- Wie viele IP Adressen hat man denn für die VPN Anbindung bzw. Verbindungen?


Gruß
Dobby
Gerber
Gerber 28.03.2016 um 18:44:35 Uhr
Goto Top
- Es sind höchstens 4 Verbindungen, wobei nur 2 unter dem Tag genutzt werden.

- es ist eine 16 000 Leitung

- es wird über einen Dyndns Account konfiguriert.

Grüße
aqui
Lösung aqui 28.03.2016 um 19:02:26 Uhr
Goto Top
Ein Bild sagt mehr als 1000 Worte....

2firmen

Das siehst du die beisen Option und es wird sicher klar was mit dem "dritten Interface" gemint ist face-wink
Ob du die lokalen LANs per VLAN tagged Uplink oder einzeln ankoppelst ist eher einen kosmetische Frage.
Gerber
Gerber 28.03.2016 um 19:24:37 Uhr
Goto Top
Danke für die Hilfe...


Ohja da hast du verdammt nochmal Recht :D :D

Bilder sind immer verständlicher, womit hast du denn die schönen Schaubilder erstellt ?? xD

Ich denke, dass ich die zweite Variante einrichten werde ...

Als Firewall werde ich entweder die Pfsense benutzen oder eben den Traytek Vigor 2905 VPN Router (muss mich in beide einarbeiten :D).

Da ich leider kein reines Modem installieren kann (VoIP Anschluss -> Telefonanlage) muss ich sehen, dass ich die VPN Verbindung zur Firewall oder dem Router hinbekomme.

Bin mir nicht sicher ob die Pfsense Firewall NAT-Traversal unterstützt.
Ansonste muss ich ja die IPSec Ports in der Fritzbox an die Firewall weiterleiten oder ?
Oder eventuell die Fierwall als Exposted Host in der FritzBox konfigurieren

Grüße Philipp
aqui
aqui 28.03.2016 um 20:15:16 Uhr
Goto Top
womit hast du denn die schönen Schaubilder erstellt ?? xD
Visio (Winblows) bzw. Omnigraffle (Mac), dia (Linux)
Der Vigor ist keine Firewall und macht in deinem Umfeld ja auch keinen Sinn weil du mit der FB ja schon einen VPN Router hast...wozu also ein weiterer Router. Das Geld kannst du besser in die pfSense investieren, denn bei 16Mbit reicht ein einfaches ALIX 2D13 Board dafür:
http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-ALIX-2D13 ...
Da ich leider kein reines Modem installieren kann
Ist auch technisch falsch, denn dafür gibt es Adapter:
http://www.telekom.de/is-bin/INTERSHOP.enfinity/WFS/EKI-GK-Site/de_DE/- ...
bzw. analog
https://www.reichelt.de/Telefone-VoIP/CISCO-SPA112/3/index.html?ACTION=3 ...
die einen VoIP Router dann obsolet machen !
Behalte aber die FB wenn du sie eh schon hast !
Bin mir nicht sicher ob die Pfsense Firewall NAT-Traversal unterstützt.
Natürlich !! Wir sind nicht mehr im vorigen IT Jahrhundert !
Ansonste muss ich ja die IPSec Ports in der Fritzbox an die Firewall weiterleiten oder ?
Kommt drauf an WO du letztlich die IPsec Tunnel terminierst.
Bei der FB musst du nix machen, bei der FW musst du IPsec weiterleiten.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder eventuell die Fierwall als Exposted Host in der FritzBox konfigurieren
Das wäre auch eine Option natürlich...
Gerber
Gerber 28.03.2016 um 20:26:59 Uhr
Goto Top
Hi,

Okay dann wird es wohl eine Pfsense Firewall werden.


Ansonste muss ich ja die IPSec Ports in der Fritzbox an die Firewall weiterleiten oder ?
Kommt drauf an WO du letztlich die IPsec Tunnel terminierst.
Bei der FB musst du nix machen, bei der FW musst du IPsec weiterleiten.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

Ich werde den IP Sec Tunnel dann auf die Pfsene Firewall terminieren, weil ich eben die VPN Verbindungen in die verschiedenen Netze bringen muss.

D.h. wenn sich Benutzer X anmeldet dann route in das VLAN1
Wenn sich Benutzer Y anmeldet route in das VLAN2

Grüße

Philipp
aqui
aqui 28.03.2016 aktualisiert um 20:37:13 Uhr
Goto Top
Ich werde den IP Sec Tunnel dann auf die Pfsene Firewall terminieren, weil ich eben die VPN Verbindungen in die verschiedenen Netze bringen muss.
Das ginge auch einfach mit der FritzBox:
http://at.avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/public ...

Die pfSense hat aber den kleinen Vorteil das du die VPN User in 2 Gruppen teilen kannst mit dedizierten Zugriffsrechten.
Es ist mit beiden Maschinen lösbar.
Die FW ist aber erheblich skalierbarer in puncto VPN und hat als unschätzbaren Vorteil einen dedizierten Krypto Chip an Bord der das VPN in HW abhandelt. (2D13 Board).
Dadurch ist sie vom VPN Durchsatz erheblich besser als die FB.
Gerber
Gerber 28.03.2016 um 20:46:53 Uhr
Goto Top
Wow Danke aqui und das am Ostermontag :D

Ich werde den Pfsense Bausatz bestellen.

Falls weiter Fragen auftreten werde ich mich gerne nochmals melden face-wink

Grüße Philpp
Gerber
Gerber 01.04.2016 um 16:24:34 Uhr
Goto Top
Hallo Liebe Community,

ich habe heut den Kollegen um den es sich handelt nochmal besucht.
Wie es so oft vorkommt stellt sich dann alles etwas anders heraus wie man es vorne weg besprochen hat.


Ich habe zur Verdeutlichung ein kleines Schaubild gezeichnet wozu ich noch 2 Fragen hätte, bei denen ihr mir sicherlich weiterhelfen könnt.

Zum Einsatz kommt wie oben im Thread bereits Perfekt mit euch geklärt eine Pfsense zum Einsatz, die schon bestellt ist.

Im Anhang das Schaubild wie das Netz aufgebaut ist.

Sry ist etwas klein musste aber schnelle gehen :D


Nun zu den zwei Fragen:

1.) Wie auf dem Schaubild zu sehen stellen 2 Clients und ein Site to Site VPN Verbindung zur Pfsense her.

Domani VPN soll nur in das Netz Domani kommen = 172.31.20.xxx /24
und die anderen Dominik und Steffen VPN sollen nur in das Netz vom Server01 kommen = 172.31.17.xxx /24.

Soweit ich weis geht das mit der Pfsense oder, dass ich den eigehenden VPN Traffic von bestimmten Clients in ein bestimmtes Netz routen kann ???


2.) Das etwas größere Problem:

Im Schaubild ist zu sehen, dass die Netze getrennt sind.
Nun soll der Chef z.B. Steffen PC mit der 172.31.17.51 /24 auf den "Domani Server" im Netz 172.31.20.xxx zugreifen können.

Er greift auf den DomaniServer mit einem Client der Brachen Software zu, die auf dem Domani Server installiert ist um Aufträge von der Firma einzusehen.
Der vom Brachen Client zum Server erfolgt über IP Adresse.

Kann ich die PFsense Fierwall so einstellen, dass nur der Client 172.31.17.51 von LAN 2 in das LAN 1 auf den Server 172.31.20.xxx kommunizieren kann.

Und keine anderen Clients in andere Netze kommen ??



Sry ich bin noch nicht so vertraut mit der Pfsense.

Danke im voraus.

Grüße Philipp
0001
aqui
Lösung aqui 01.04.2016 um 19:14:53 Uhr
Goto Top
Wie auf dem Schaubild zu sehen stellen 2 Clients und ein Site to Site VPN Verbindung zur Pfsense her.
Dort steht aber das nur einer das macht (Domani) die andern sind normale Client Dialins.. ??
Domani VPN soll nur in das Netz Domani kommen = 172.31.20.xxx /24
Firewall Regel auf dem VPN Interface einrichten.
Nun soll der Chef z.B. Steffen PC mit der 172.31.17.51 /24 auf den "Domani Server" im Netz 172.31.20.xxx zugreifen können.
Auch hier ganz einfach eine entsprechende Firewall Regel auf den beiden Netzsegmenten .17.0 oder .20.0 erstellen die nur diesen PC mit oder ohne den entsprechenden Ports (Anwendungen) durchlässt und alles andere blockt.
Kann ich die PFsense Fierwall so einstellen, dass nur der Client 172.31.17.51 von LAN 2 in das LAN 1 auf den Server 172.31.20.xxx kommunizieren kann.
Ja, natürlich ! Eine Steilvorlage für einen Firewall. Die Frage ist so wie "Kann ich mit meinem Auto auf der Autobahn fahren wenn es rot lackiert ist...?"
Sieh dir ganz einfach des Regelwerk an, dann wir dir das ganz schnell klar.
Immer dran denken:
  • Die Regeln gelten nur inbound also auf Traffic der IN das FW Interface geht
  • "First Match wins" ! Bedeutet nach der ersten Regel die matcht werden die folgenen NICHT mehr abgearbeitet !
Wenn du das verinnerlichst ist der Rest ein Kinderspiel.
Tip:
Erstmal alles offen zum Fliegen bringen, damit die Grundfunktionen sicher laufen und dann langsam das Tor zumachen (Regeln implementieren)
So kannst du dir keinen Stolperfallen legen und weisst immer wenn was nicht geht das es an deiner FW Regel liegt face-wink
Gerber
Gerber 02.04.2016 aktualisiert um 08:20:30 Uhr
Goto Top
Dort steht aber das nur einer das macht (Domani) die andern sind normale Client Dialins.. ??

Ja ist richtig.
Domani VPN stellt eine Verbindung per Site to Site VPN her.

Und die anderen beiden, stellen eine Client to Site Verbindung her.
Einmal mit einem MAC und einmal mit Shrew Soft über Windows.

Domani VPN soll nur in das Netz Domani kommen = 172.31.20.xxx /24
Firewall Regel auf dem VPN Interface einrichten.

Ok, dann kann ich das logischerweise auch mit den Client to Site VPNs machen.

Nun soll der Chef z.B. Steffen PC mit der 172.31.17.51 /24 auf den "Domani Server" im Netz 172.31.20.xxx zugreifen können.

Auch hier ganz einfach eine entsprechende Firewall Regel auf den beiden Netzsegmenten .17.0 oder .20.0 erstellen die nur diesen PC mit oder ohne den entsprechenden Ports (Anwendungen) durchlässt und alles andere blockt.

Perfekt.

Okay das mit dem Auto war nicht schlecht :D :D :D.

Dann weis ich erstmal bescheid, dass es so funktioniert.

Danke nochmal an alle die mich hierbei unterstützt haben und eventuell auch weiterhin :D :D

Grüße und eine schönes WE

Philipp
aqui
aqui 02.04.2016 aktualisiert um 08:24:56 Uhr
Goto Top
Detailfragen (nicht solche wie mit dem Auto !!) einfach posten hier.... face-wink
Gerber
Gerber 09.04.2016 um 14:35:11 Uhr
Goto Top
Hallo zusammen,

ich habe nun mein Netz nochmal komplett zum Test aufgebaut.

Die Internet Verbindung von den Clients hinter der Pfsense funktionieren.

anbei habe ich euch noch zwei Screenshots gepackt von meinen LAN Interfaces und den zugehörigen Rules.
[

Wenn ich die Allow Regel mit dem Alias konfiguriere kann ich den Client und das Gateway von LAN1 nicht anpingen.

Wenn ich anstelle des Alias die IP Adresse des Clients aus LAN2 eintrage (172.31.17.51) und diesen mit PASS auf das LAN1 Net setzte kann ich nur das Gateway von LAN 1 anpingen = 172.31.20.1 aber nicht den Client im LAN1.
Auch auf Dateifreigaben von diesem Client in LAN1 kann ich nicht zugreifen.
fw_lan1_ph
fw_lan2_philipp


Wieso kann ich nicht den Client in LAN1 anpingen ??? 172.31.20.150 ??


Als DNS Server habe ich den einzelnen Interfaces jweils die Fritzbox 192.168.2.1 mitgegeben.
Ist das korrekt oder muss der DNS Server immer das eigene Interface der PFsense sein ? z.B. LAN2=172.31.17.1 ?

Wenn ich nun intern ein NSlookup auf meine Fritzbox mache kommt diese schöne Meldung.
nslookup_fritzboxintern
??


Als letzten Punkt habe ich die IPSec VPN Verbindung versucht wie in dem Tutorial von dir (aqui)
Titel eingerichtet.

Jedoch ohne Erfolg. Von dem Android Handy wie von einem Client mit Shrew Soft bekomme ich kein VPN Tunnel zur Pfsense hinter der Fritzbox zustande.

Die Fritzbox ist an der Fritzbox als Exposted Host eingetragen.

In der Pfsense sind die Firewall Regeln auf dem WAN Interface eingerichtet ebenso eine Firewall Regel im IPSec Interface der den Traffic in das LAN2 zulässt.

fw_wan_philipp
fw_ipsec_philipp

Der Virtuelle Adress Pool unter dem Punkt -> Mobile Clients muss ja nicht existieren oder ? das ist nur der AdressPool für die Verbindung ?
Oder sollte ich dort die Adresse der Fritzbox benutzen ?
mobile_clients_philipp

Wo liegt mein Fehler ? *krübel* :D

Wo muss ich Dynamic DNS machen ? in der Fritzbox vor der Pfsense oder in der PFsense ?


Grüße Philipp.
aqui
aqui 10.04.2016 um 16:39:34 Uhr
Goto Top
Wenn ich die Allow Regel mit dem Alias konfiguriere kann ich den Client und das Gateway von LAN1 nicht anpingen.
Den Client von wo zu wem ??
Mit 99,9% Sicherheit hast du dich beim ALIAS Eintrag vertippt !
Deine Regeln stimmen zwar grundsätzlich, sind aber für den Client 172.31.17.150 in LAN2 inkonsitent und scheitern damit.
Auf der einen Seite blockierst du von LAN1 sämtlichen Traffic auf LAN2. Das inkludiert auch Reply Traffic auf den o.a. Host, den du ja eigentlich erlauben müsstest, denn der darf ja von LAN2 aus zugreifen.
Das wäre schon mal der erste Fehler !
Auch auf Dateifreigaben von diesem Client in LAN1 kann ich nicht zugreifen.
Wieso kann ich nicht den Client in LAN1 anpingen ??? 172.31.20.150 ??
Klar gleiches Problem..!!
Immer daran denken wie die IP Pakete sich bewegen oder den FW internen Sniffer dafür nutzen unter Diagnosis. Eine Kommunikation zwischen 2 Geräten ist logischerweise immer bidirektional.
Passe die Regel an dann klappt das sofort !
Als DNS Server habe ich den einzelnen Interfaces jweils die Fritzbox 192.168.2.1 mitgegeben.
Das ist falsch ! Normal ist die FW Proxy und das ist nicht nötig. Der DHCP Server vergibt immer die FW IP und die Proxied auf die FB wenn das entsprechend im DNS Setup eingetragen ist !
Das ist der bessere Weg, denn anderweiting müsstest du logischerweise immer wieder die FW Regeln anpassen damit DNS Traffic die FW passieren darf. Das Problem hast du nicht wenn du wie im Default die FW als DNS Proxy benutzt.
Änder das, dann löst sich auch das Problem !
Themal VPN:
Du musst auf der FB zwingend das VPN deaktivieren andernfalls lässt die FB kein IPsec passieren und IPsec Pakete kommen an der FW nicht an. Damit scheitert dann logischerweise auch dein VPN.
Die Fritzbox kann ja selber IPsec VPN server sein in so fern "denkt" sie alles IPsec mässige ist für sie und forwardet das nicht.
Deaktivier das also, dann kommt das sofort zum Fliegen.
Gerber
Gerber 10.04.2016 aktualisiert um 20:00:03 Uhr
Goto Top
Servus aqui,

danke dir für deine ausführlichen Antworten.


Mein Client mit dem ich aus "LAN2" auf "LAN1" Client (172.31.20.150) zugreifen will hat die IP Adresse 172.31.17.150 (vom DHCP Server) bekommen.


Ich habe nun nochmal einen neuen Alias mit der IP Adresse 172.31.17.150 angelegt und nochmals versucht.

Ergebniss:

Mit dem Alias funktioniert es nun.
Ich kann aber nur wie vorher das Gateway von LAN1 anpingen und nicht den PC dahinter.

Ich dachte, wie auch in mehreren Threads geschrieben wurde, dass die PFsense eine SPI Firewall ist und somit die Rückrouten automatisch erlaubt sind.
Nach dem Motto: wenn ich dem Host aus LAN 2 erlaube auf LAN1 zuzugreifen, dann ist auch automatisch klar, dass dieser eine Rückantwort bekommen muss.
Wenn ich nun eine passende Regel auf LAN1 vor der Deny Regel erstelle um den Traffic von source= LAN1 net / auf Destination= Alias(172.31.17.150) zuzulassen sollte doch die Rückantwort somit offen sein und ein Ping möglich.
Warum geht das nicht ???

fw_lan1_ph

Ich habe zum Test auch mal die Deny Regel komplett deaktiviert auch dann ist kein Ping möglich, komisch oder ????


Das ist falsch ! Normal ist die FW Proxy und das ist nicht nötig.

DNS Resolver ist aktiviert.
Wenn ich nun aber die Fritzbox von LAN2 aus per nslooku auflösen will bekomme ich die Meldung, dass diese nicht gefunden wird.

IP-Adresse kann in Namen aufgelöst werden nur Namen nicht in IP.

Du musst auf der FB zwingend das VPN deaktivieren andernfalls lässt die FB kein IPsec passieren und IPsec Pakete kommen an der FW nicht an.

Das mit dem deaktivieren der VPN Verbindung habe ich meine ich schon versucht, ich werde es aber nochmals testen.

Du meinst damit komplett den Dynamic DNS dienst bei der Fritzbox zu deaktiviern und alles bei der Pfsense konfigurieren oder ?


Grüße Philipp
aqui
aqui 10.04.2016 aktualisiert um 21:43:36 Uhr
Goto Top
Wie sieht deine Struktur aus ??
(Internet)===FritzBox----pfSense----Lokales LAN----PC
Lokales LAN dann mit LAN1 und 2 zweimal...
Gerber
Gerber 11.04.2016 um 05:54:07 Uhr
Goto Top
Morgen,

Vollkommen korrekt.

(Internet)===FritzBox----pfSense----Lokales LAN----PC
Lokales LAN dann mit LAN1 und 2 zweimal...

Genau so schaut meine Struktur aus.
Ich werde heute Abend nochmal alles zurücksetzen und nochmals die Regeln neu einrichten.
aqui
aqui 11.04.2016 aktualisiert um 12:26:44 Uhr
Goto Top
Wichtige Frage noch:
Die FritzBox arbeitet in dem Design als NAT Router oder als einfaches Modem (PPPoE Passthrough) ??

In der NAT Router Konfig musst du dann aufpassen das du im Global Firewall Setting an der pfSense (WAN Port) den Haken bei (Block RFC 1918 private networks) entfernst, denn die FB routet ja lokal auf ein privates 192.168.178er Netz.
Am besten der pfSense dann eine statische WAN Port IP außerhalb des FB DHCP Bereichs geben z.B. 192.168.178.254.
Zusaätzlich die FB LAN IP .1 als DNS Server in der pfSense eintragen und die pfSense WAN IP als exposed Host setzen.
Proxy DNS ist dann immer die pfSense zu den lokalen LAN Segmenten.
Trotzdem musst du aber auch die IPsec Dienste (UDP 500, 4500 und ESP) forwarden auf die pfsense WAN IP, so das IPsec sicher auf der pfSense landet und nicht vorher schon in der FB geblockt wird, was vermutlich dein jetziger fehler ist in Bezug auf VPN.
Den DynDNS Client solltest du dann auf der FB einrichten, denn das ist ja die aktive IP zum Provider.
Das zu den Grobeinstellungen wenn die FB NAT Router davor ist.
Wenn sie reines Passthrough Modem ist entfällt das natürlich alles, klar.
Das Einzige was du dann machen musst ist PPPoE auf dem pfSense WAN Port zu aktivieren und die ISP Zugangsdaten dann auf der pfSense zu setzen.
Gerber
Gerber 11.04.2016 um 12:54:39 Uhr
Goto Top
Hi,

danke dir.

Die Fritzbox arbeitet als NAT Router.
Aus dem Grund weil dahinter noch die Telefonanlage angeschlossen ist.

Die Einstellungen wie du oben geschrieben hast sind alle korrekt eingestellt.

- Ports sind weitergeleitet.
- Exposted Host ist eingerichtet.
- WAN Port der PFsense hat mit 192.168.2.2 eine IP Adresse außerhalb des DHCP Bereiches.
- und unter General Setup in der PFSense ist als DNS Server die Fritzbox eingetragen.

Ich kann aus den einzelnen LAN Netzen jeweils per Nslookup die IP Adresse auflösen, aber wie gesagt nicht de Namen.
Wenn ich per NSlookup den Hostname fritz.box auflösen will bekomme ich ständig einen Fehler, dass dieser Host nicht bekannt ist.

Wie gesagt ich werde heut die PFsense nochmals komplett neu aufsetzen und alles nochmals korrekt konfigurieren.

Vllt habe ich mich ja irgendwo verkonfiguriert.
Nur zur Übung nicht zur Strafe :D :D.


Grüße Philipp
aqui
aqui 11.04.2016 aktualisiert um 13:09:00 Uhr
Goto Top
ch kann aus den einzelnen LAN Netzen jeweils per Nslookup die IP Adresse auflösen, aber wie gesagt nicht de Namen.
Was genau meinst du damit ??
Wenn du dort auf einem LAN Client nslookup www.heise.de eingibts dann funktioniert das nicht ??
Der LAN Client hat die lokale pfSense IP als DNS wie es sein soll ?? (ipconfig -all)
Dann hast du ganz sicher einen Fehler gemacht !
Unter System -> General Setup muss unter DNS Servers dann DNS Server die LAN IP Adresse der FB eingetragen sein !
Das solltest du dann unter Diagnostics -> DNS Lookup wasserdicht testen indem du mal www.heise.de eingibst.
Klappt es da, dann klappt es auch für die Clients, es sei denn du blockierst in den FW Regeln am lokalen LAN Port DNS Traffic !!!
Am Default LAN Port hast du ja eine Default Regel (sofern du diese nicht entfernt oder angepasst hast ?!) die alles erlaubt bei allen anderen Ports (dort blockt die FW per Default alles wie es sich für eine FW ja gehört !) musst du das logischerweise erlauben das DNS durchdarf indem du vom xyz net alles an Destination any oder die FB LAN IP mit den Destination Ports UDP und TCP 53 (DNS) erlaubst...!
Nachdenken....! face-wink

bildschirmfoto 2016-04-11 um 13.05.57
Gerber
Gerber 11.04.2016 um 14:13:55 Uhr
Goto Top
Was genau meinst du damit ??

Ganz einfach.

Fritzbox steht vor der Pfsense und wird am WAN Anschluss der Pfsense angeschlossen.
Wenn ich nun ein Nslookup von einem Client in LAN2 ausführe (nicht nslookup inst Internet sonder nslookup im LAN) bekomme ich den Namen nicht aufgelöst.

D.h. ich mache z.B. von dem angelegten Alias (172.31.17.150) einen nslookup auf fritz.box.
Dann bekomme ich die Meldung, dass der Namen nicht gefunden wird.
Mache ich von dort aber einen nslookup auf die IP Adresse der Fritzbox 192.168.2.1 bekomme ich den Hostname zurück.

Der LAN Client hat die lokale pfSense IP als DNS wie es sein soll ?? (ipconfig -all)

Jap habe ich

Unter System -> General Setup muss unter DNS Servers dann DNS Server die LAN IP Adresse der FB eingetragen sein !

Auch das habe ich eingetragen, wie oben geschrieben.


Ich werde wie gesagt heute Abend nochmal alles Resetten und nochmals neu aufsetzen.
Es ging bei dem Problem eher um die Namensauflösung im LAN nicht ins WAN.


Grüße Philipp
aqui
aqui 11.04.2016 um 14:52:56 Uhr
Goto Top
Wenn ich nun ein Nslookup von einem Client in LAN2 ausführe (nicht nslookup inst Internet sonder nslookup im LAN) bekomme ich den Namen nicht aufgelöst.
OK, davon ist die obige Beschreibung von mir auch schon ausgegangen. Da hast du zu 98% einen Konfig Fehler begangen bzw. die FW Regel vergessen.
Du sollst auch keinen nslookup auf den DNS Server selber machen (FB) !
Ein Labor Testsetup funktioniert hier fehlerlos mit diese einfachen Grundkonfig !
Teste das erstmal direkt auf der pfSense aus im Diagnostics Menü !!
Wenn du der pfSense wie oben beschrieben die FB als DNS IP angegeben hast MUSS einen Auflösung in den Diagnostics sauber funktionieren !!

bildschirmfoto 2016-04-11 um 14.50.49

Klappt das nicht hast du irgendwo noch einen Konfig Fehler drin !!
Es ging bei dem Problem eher um die Namensauflösung im LAN nicht ins WAN.
Genau um das und NUR um das geht es hier auch !
Gerber
Gerber 11.04.2016 um 15:21:41 Uhr
Goto Top
Alles klar danke dir.


ich werde nochmals alles resetten und testen.
Wie gesagt in deinem Beispiel löst du ja selbst auch die ADresse von www.heise.de auf und nicht aus einem Client aus deinem LAN oder ?
Dies geht ja einwandfrei.


Aber auch der DNS Server selbst sollte per nSlookup auflösbar sein warum auch nicht ??
Sonst könnte ich ja nie einen Server auf dem ein DNS Server läuft auflösen und somit nciht per Hostname ansprechen.


Was ich allerdings noch nicht gefunden habe, was muss den an der Pfsense von DNS Funktionen korrekt aktiviert sein?

Muss der Forwarder oder der Resolver aktiviert werden und mit welchen Funktionen ?
Ich denke der Resolver oder?

Grüße Philipp
aqui
aqui 11.04.2016 aktualisiert um 19:10:23 Uhr
Goto Top
Wie gesagt in deinem Beispiel löst du ja selbst auch die ADresse von www.heise.de auf und nicht aus einem Client aus
Ja, wie bereits mehrfach gesagt geht man immer sinnvoll strategisch vor beim Troubleshooting und testet es zuerst auf der Firewall selber und dann am Client.
Wenn die es kann, dann sollte es der Client im nachfolgenden Test zu 99,9% auch schaffen.
Wenn nicht weiss man das der Fehler zu 99,9% am Client liegt....oder an fehlenden Firewall Regeln face-wink
was muss den an der Pfsense von DNS Funktionen korrekt aktiviert sein?
Gar nichts. Alles was wichtig ist ist von sich aus per Default aktiviert. Du musst lediglich den DNS Server IP eintragen mehr nicht.
Regeln sollten natürlich passen, damit UDP/TCP 53 Pakete passieren können.
Dazu ist immer ein Blick ins Firewall Log hilfreich (ggf. vorher löschen) dort steht nämlich immer alles was geblockt wird face-wink
Im Zweifel nutze immer den eingebauten Paket Sniffer unter Diagnostics !!
Gerber
Gerber 11.04.2016 aktualisiert um 20:48:22 Uhr
Goto Top
Servus,

so habe wie versprochen nochmals die Firewall komplett neu aufgesetzt und alles nochmals genau wie vorher eingerichtet.
Und siehe da es funktioniert.

Ich kann nun den Client aus dem anderen Netz anpingen und auch auf die CIFS/SMB Freigaben zugreifen. *daumenhoch*

Wenn ich nun aber die Regeln weiter eingrenzen will und konkret nur auf SMB Freigabe zugreifen will welche Ports werden dann benötigt ??
Ich habe zum Test UDP 137, 138 / TCP 139, TCP 445 freigegeben --> ohne Erfolg.
Wenn ich aber dann die Regel wieder auf Port any umschalte komme ich auf die Freigabe drauf.

Leider bekomme ich in keinem Log anzeigt an welcher Stelle und was er Blockt zwecks SMB Freigabe *mhh*


Kurz als Info:

Ich habe keine Rückroute eingerichtet, d.h. also wie ich oben geschrieben habe ist das wohl nicht notwendig da es eine SPI Firewall ist.


So IPSec VPN läuft nun auch über den Shrew Soft Client.
Ist den Generell ÍP Sec mit Mutual PSK ausreichend ? oder sollte man lieber Mutual PSK + XAuth benutzen ??


Grüße Philipp
aqui
aqui 12.04.2016 um 11:08:51 Uhr
Goto Top
Und siehe da es funktioniert.
Dann glauben wir dir aber nicht das es "genau wie vorher eingerichtet." war ! Kann nicht sein aber weisst du ja selber....
Gut wenns nun klappt wie es soll !

Aktuelle SMB/CIFS Protokolle nutzen heutzutage nur noch TCP 445 !
https://de.wikipedia.org/wiki/Server_Message_Block
Du hast also vermutlich wie immer die Firewall Regel falsch definiert.
Bedenke das TCP 445 der Destination Port ist und bedenke auch den Reply Traffic !!
Wenn ich aber dann die Regel wieder auf Port any umschalte komme ich auf die Freigabe drauf.
Was sagt das Firewall Log in dem Falle wo es nicht klappt ???
Was sagt ein Sniffer Trace unter Diagnostics ???
Es ist klar das deine Regel falsch ist hier !
Ich habe keine Rückroute eingerichtet, d.h.
Was hat eine Route mit einer Firewall zu tun ??
So oder so ist das Quatsch da du keinerlei Routen brauchst. Deine lokalen IP Segmente sind ja direkt angeschlossen und die FW braucht deshalb keinerlei Routen da sie alle IP Netze "kennt".
Einzig die Default Route ins Internet...die braucht sie. Ist aber auch die Einzige...
Ist den Generell ÍP Sec mit Mutual PSK ausreichend ?
Diese Frage kann dir kein Forum der Welt beantworten, da es von deinen eigenen Sicherheitsanforderungen abhängt.
PSKs haben immer den Faktor Mensch. Teilst du das PSK irgendjemandem mit weiss es die ganze Welt. Davon muss man immer ausgehen. Das kannst aber letztlich nur du beantowrten oder bestimmen.
Das Extrem in die andere Richtung ist dann Radius und Zertifikate.
Die Balance zwischen Aufwand und Usability oder was für dich und deinen Anforderung an Sicherheit passt musst du selber für dich klären
Gerber
Gerber 12.04.2016 um 14:05:44 Uhr
Goto Top
Servus,

Gut wenns nun klappt wie es soll !

Genau so schauts aus, dass ist das wichtigste.

Bedenke das TCP 445 der Destination Port ist und bedenke auch den Reply Traffic !!

Das es etwas mit der Firewall Regel zu tun hat ist richtig :D
Warum kann ich aber von dem Client aus LAN2 auf LAN1 zugreifen wenn ich folgende Regel auf dem LAN2 INterface erstelle:

Source LAN2 Netz / Protokoll: any / Destination: LAn1 Net /Protokoll:any.

-> Hier habe ich ja als Destination Ziel auch nicht direkt auf den 445 Port angegeben.

Wenn ich nun die Regel umändere auf:

Source LAN2 Netz / Protokoll: TCP/445 / Destination: LAn1 Net /Protokoll:any.

Dann ist kein Zugriff mehr möglich, wieso ich ändere ja nichts am Destination Port wie du gescrieben hast woran es liegen soll.

Was hat eine Route mit einer Firewall zu tun ??

Sry sry sry ich habe mich mit Route falsch ausgedrückt.
Ich meinte natürlich den Reply Traffic.

PSKs haben immer den Faktor Mensch

Perfektes Argument ---- Danke dir.
Grüße Philipp
aqui
aqui 12.04.2016 um 16:18:52 Uhr
Goto Top
Warum kann ich aber von dem Client aus LAN2 auf LAN1 zugreifen wenn ich folgende Regel auf dem LAN2 INterface erstelle:
Source LAN2 Netz / Protokoll: any / Destination: LAn1 Net /Protokoll:any.
Ist das einen ALLOW oder einen BLOCK Regel ???
Bei einer Allow Regel (PASS) ist logo das es klappt...muss man nicht weiter erklären, denn das erlaubt alles vom LAN2 ins LAN1.
Bei einer BLOCK Regel geht nichts mehr durch.
Wenn dennoch was durchgeht kann es nur sein das du DAVOR also in der Reihenfolge VOR dieser Regel eine ALLOW Regel hast. Die macht dann durch das globale "First match wins" diese Regel dann obsolet !
Wenn ich nun die Regel umändere auf:
Source LAN2 Netz / Protokoll: TCP/445 / Destination: LAn1 Net /Protokoll:any.
Das ist ja aus TCP Sicht auch Schwachsinn (sorry), denn dein Source Port ist immer Random (Zufallsport) aber niemals TCP 445.
Die Ports die bei einem Protokoll angegeben sind sind immer Destination Ports !!!
Ist ja auch logisch, denn die Destination IP muss diesen Port lesen und daran entscheiden für welchen Dienst es ist.
Sieht die Destination IP also ein Paket mit dem Port TCP 445 weiss es gleich das das an die Windows Sharing Dienste geht.
Den Absender Port den du fälschlicherweise angegeben hast, interessiert das Destination System nicht die Bohne für den Dienst (nur für die Antwort).
Richtig lautet das also:
Source LAN2 Netz / Protokoll: any / Destination: LAn1 Net /Protokoll: TCP 445

(Man beachte das "Destination" !!)
Sorry, aber wenn du schon an solchen TCP/IP Banalitäten und Grundlagen scheiterst kann das ein steiniger Weg werden hier !
Vielleicht solltest du nochmal etwas IP Grundlagen lesen...??
Nimm dir auch mal einen Wireshark Sniffer zur Hand und sniffer mal ein paar TCP Pakete mit, dann erkennst du sofort den Aufbau und auch die Logik die dahintersteckt und damit auch die Logik der FW Regeln.
Gerber
Gerber 12.04.2016 um 18:28:55 Uhr
Goto Top
Servus,

Sry aber es ist noch kein Profi vom Himmel gefallen.

Die Antworten mussten leider auch immer zwischen Tür und Angel gegeben werden.

Ich habe nun nochmals die Regel mit Destination Port 445 getestet -> geht.

Danke dir aqui.
Hatte einfach ein Denkfehler.
Passiert den besten.

Grüße Philipp
aqui
aqui 13.04.2016 um 09:43:51 Uhr
Goto Top
Sry aber es ist noch kein Profi vom Himmel gefallen.
Das ist wohl wahr !!
Gut das es nun klappt wie es soll...die Erfahrungen mit dem FW Regelwerk sollten dir auch helfen fürs nächste Mal... face-wink