Installation von pfSense im Firmennetzwerk

Wenn du ein Firewall Management Interface von außen, also aus dem WAN, erreichen möchtest, musst du das in der PFSense am WAN Interface entsprechend erlauben.

Regel erstellen, welche vom WAN an die WAN Interface Adresse der PFSense den entsprechenden Port erlaubt.

Gleiches mit ICMP/Ping. Wenn du von außen nach innen Echos haben möchtest, muss das am WAN Interface in Richtung des gewünschten Netzwerks geregelt werden.

Ohne eine Skizze kapiere ich die Konstellation an der Stelle leider nicht. Ist zu warm und ich habe keine Vorstellungskraft mehr über

Eine Beispielkonfiguration einer Router-Kaskade findest du hier über die Suchfunktion.

Diese kommt bei dir ja anscheinend zum Einsatz.

Generell ist so eine Verschachtelung schwer zu überdenken und wenn möglich zu vermeiden.

Am besten ist immer:

Modem > Firewall > Switch(es).

Ist nicht immer zu erreichen. Wenn du dein Firmennetzwerk von deinem privaten Netzwerk trennen möchtest, dann ist die Kaskade absolut notwendig.
Auf deiner privaten PFSense konfigurierst du am sinnigsten eine dedizierte Schnittstelle oder ein VLAN auf dem dahinterliegenden Switch und setzt dann die WAN IP deiner geschäftlichen PFSense auf eine aus dem Kreis dieses Netzes.

Das wird dann das klassische Transfernetz.

Ohne Skizze ist es leider nur Stochern.

Gruß
Marc

Punkt 4 lässt schliessen (geraten) das du die Firewall in einer Routerkaskade betreibst.
Welche Ports du dann bei IPsec im davor kaskadierten Router für die pfSense freigeben musst beschreibt dir das VPN Forenturorial in einem extra Kapitel:
pfSense Firewall mit Routerkaskade

Das gleiche (oder ein zweites) Tutorial erklärt dir vermutlich auch wie man den VPS Server an die pfSense anbindet?!

Ja und nein. Leider ist deine Beschreibung recht oberflächlich, denn keiner weiss ob du mit "Port" die Applikation oder den Netzwerk Port meinst? 🤔

Ein paar Infos die ggf. helfen:

• Telnet Zugriff auf die Firewall ist generell nicht supportet aus Sicherheitsgründen!
• Shell Zugang ist einzig nur per SSH Zugriff (PuTTY, TeraTerm etc.) supportet aber auch dies ist im Default generell deaktiviert und muss in den "Advanced Settings" erst mit einem entsprechenden Haken aktiviert werden.

• Im Default Setup ist der FW Zugang aus dem lokalen LAN Segment generell für alle Dienste erlaubt, es sei denn der "Vorkonfigurator" hat hier ein dediziertes Regelwerk gesetzt. Leider fehlt diese Info.
• Der Firewall WAN Port blockt generell im Default jeglichen Zugang von außen wie es FW üblich ist. Wenn du hier mit bestimmten Protokollen/Diensten zugreifen willst muss man das explizit im WAN Port Regelwerk erlauben. Firewall eigene Dienste wie das IPsec VPN erzeugen in der Regel automatisch entsprechende WAN Regeln um diese Dienste passieren zu lassen. Je nachdem ob der Vorgänger Admin das erlaubt oder unterbunden hat. Auch zum WAN Port leider keine zielführenden Infos diesbezüglich.

Halte dich an das o.a. pfSense Tutorial. Das erklärt alle Feinheiten im Detail und hat in den weiterführenden Links jede Menge Zusatzinformationen und laufende u. abtippfertige Praxiskonfigurationen.
Eine grobe Skizze wäre in der Tat hilfreich.
Die VLAN Integration der pfSense mit entspr. Switches findest du, wie immer, HIER.

Für mich stellt sich die Frage, wo die zweite PFSense steht / im Netzwerk zu verorten ist?

Oder ist diese an einem anderen Standort, wo auch der VPS steht?

Routerkaskaden sind genau für solche Konstrukte hakelig.

Der TP Link fungiert als Firewall/Router für das Firmennetzwerk, richtig?

Deine PFSense hat auf dem WAN Interface eine IP aus dem "Firmennetzwerk deiner Freunde" bekommen?

Wenn du Ports für IPSec vom TP-Link an deine PFSense weiterleitest, wird es für das vorgeschaltete "Firmennetzwerk deiner Freunde" schwierig werden selbst eine IPSec Verbindung aufzubauen.

Ich würde hier empfehlen, eine etwas größere Firewall mit PFSense installiert mit ausreichend Netzwerkanschlüssen anzuschaffen. Einen ordentlichen managed Layer 2 Switch dahinterstellen und die Firmennetzwerke entsprechend in VLANs trennen und mit Port Security auf MAC Basis oder/und Radius absichern.

Das reduziert die Komplexität für dich als Admin und du hast bessere Kontrolle über das ganze Konstrukt.

Am allerbesten wäre es natürlich wenn jedes Netzwerk einen eigenen Internetanschluss hätte.

Es liegt Glasfaser im Haus, nehme ich mal aufgrund der Skizze an.

Dann sollte das relativ schnell und ohne größeren Aufwand möglich sein eine weitere Leotung dorthin legen zu lassen.

Leider fehlt in der Skizze ein Hinweis auf die räumliche Situation.

Ist das ein Großraumbüro oder ein Gebäude mit mehreren Etagen?

Gruß
Marc

Oha, wie gruselig! Mehr will man besser gar nicht wissen. Deine Anschlussweise ist die deutlich bessere, da sicherere Lösung. Sollten "die Anderen" als Beispiel nehmen!
Dann genau wie im o.a. Tutorial im Kapitel Router Kaskade verfahren.

• Port Forwarding von UDP 500, 4500 und ESP auf die WAN Port IP deiner pfSense wie beim Router Kaskaden Betrieb beschrieben.
• Blocking der RFC1918 IP Netze am WAN Port deaktivieren
• Client VPN einrichten wie in den beiden Foren Tutorials beschrieben. Welchens VPN Protokoll du verwendest ist Geschmackssache. Vorzuziehen wäre IKEv2. Beide verwenden die bei allen OS und Geräten vorhandenen, systemeigenen VPN Clients.

IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

• Fertisch

Eine Sache von 30 Minuten! 😉

Das was @aqui sagt machen, dann passt das.

Die anderen müssen dann bei einer eigenen IPSec Konfiguration nur darauf achten, dass die der Verbindungs-Aufbauende sind und nicht die Gegenstelle. Diese würde sich dann mit deiner PFSense unterhalten wollen, welche davon ja nichts versteht.

Wenn bei deinem VPS Hoster möglich, würde ich Wireguard als Tunnel anstelle von IPSec empfehlen. Ist ähnlich schlank und performant und da ja auf beiden Seiten eine PFSense stehen, schnell einzurichten.

Dann musst du im TP Link das IPSec Portforwarding-, NAT- (falls überhaupt gesetzt) und die Firewall-Regeln wieder entfernen und entsprechend durch UDP Port von Wireguard ersetzen.

Gruß
Marc

Was soll man auch von so einer Chinesen Billo Gurke erwarten...?! 🙄
Belasse es so ohne, die meisten dieser Billo Teile forwarden ESP automatisch wenn sie UDP 4500 im Forward "sehen".

Dann vergiss bitte was oben steht. Die dir dort geposteten VPN Tutorials sind Client VPN Tutorials also wenn du dich mit mobilen Endgeräten auf deine pfSense bzw. das lokale LAN dort verbinden willst. Es ist keine Site-to-Site VPN Anleitung wie du sie anstrebst wenn man deiner fortlaufenden Beschreibung richtig folgen kann?! Die sehen bekanntlich geringfügig anders aus wie z.B. hier:
PfSense IPsec hub and spoke
Wichtig ist hier dann wer VPN Client ist (Initiator, also der der die Tunnelverbindung initiiert) und wer VPN Responder (der, der die VPN Connection empfängt) ist.
Ggf. ob du mit DynDNS oder mit wechselnden WAN IPs auf einer Seite arbeiten musst.

Richtig! 👍 Damit ist dann deine remote pfSense der Initiator und die hinter dem TP-Link der Responder. Ein simpler Site-to-Site Klassiker also.
Dies Tunnel Zieladresse ist immer die WAN Port IP Adresse des TP-Links.

• Kläre vorab wasserdicht ob der TP eine feste WAN IP Adresse hat.
• Und...kläre ob deine remote FW (Initiator) mit einer wechselnden IP (Zwangstrennung etc.) oder auch mit einer festen WAN IP daher kommt.

Diese Frage ist irgendwie sinnfrei, denn du hast oben doch selber schon kundgetan das du am Router ein Port Forwarding von UDP 500 und 4500 auf deine pfSense WAN IP eingetragen hast. 🤔
Folglich "weiss" doch dieser Router nun das alles was an UDP 500 und 4500 bei ihm landet an die WAN IP deiner pfSense geht. Komische Frage also die du schon vorab selber beantwortet hast...

Das geht natürlich nicht. Zu mindestens nicht bei IPsec. Port Forwarding Regeln greifen bekanntlich immer nur einzigartig pro Port, sprich können bei IPsec mit festen Ports logischerweise nur einmal gesetzt sein. Wie sollte das PFW Device sonst entscheiden können??
Sollen mehrere IPsec VPN Tunnel mit unterschiedlichen Zielnetzen bedient werden musst du die TP-Link Billo Gurke gegen einen VPN fähigen Router oder eben auch eine Firewall wie die pfSense ersetzen.
Mit einer entsprechenden VLAN Segmentierung wie HIER beschrieben könnte man dann zusätzlich auch das mehr als gruselige Katastrophensetup von oben elegant lösen wo mehrere Firmen sich in einem gemeinsamen IP Netz tummeln.

Mit einem besseren Router als dem TP könnte man ein Policy basiertes Forwarding machen was dann nach Absender IP selektiert statt Port. Damit wären wieder selektive Port Forwardings möglich, fällt aber flach weil die TP Gurke so ein Feature nicht supportet.

Eine andere Möglichkeit wäre, wenn man denn unbedingt bei diesem unglücklichen Kaskaden Setup bleiben will, statt IPsec ein SSL basiertes VPN zu nutzen was erlaubt den UDP Port des Tunnels frei zu definieren wie z.B. bei Wireguard oder OpenVPN.
Hier kannst du jedem Tunnel dann individuell einen UDP Port zuweisen und diesen dann per individuellem Port Forwarding an die entsprechenden Endgeräte weiterleiten.
Es führen bekanntlich mehrere Wege nach Rom...
Entgegen der o.a. Empfehlung ist die WG Einrichtung auf der pfSense etwas sperrig zumal pfSense das auch über ein externes Package macht. Wenn möglich also besser immer das onboard IPsec vorziehen.

In der Tat! 2 pfSenses per IPsec Site-to-Site koppeln ist ne simple Lachnummer und in 15 Minuten erledigt.

2 Regelwerke sind essentiell

• Die Regel am WAN Port die eingehend mit Source "any" und Destination WAN IP Adress die Ports UDP 500 und 4500 und das ESP Protokoll erlaubt.
• Das Regelwerk im IPsec Tunnelinterface! Hier solltest du für erste Tests immer eine "Scheunentorregel" Source = any Destination = any erstellen. Sie betrifft eh erstmal nur den rein internen Traffic ist also erstmal nicht sicherheitsrelevant.

⚠️ Wichtig noch bei bei der kaskadierten pfSense das dort das RFC 1918 Blocking am WAN Port entfernt wird!!

Ohne deine Phase 1 und Phase 2 Konfigs beider Seiten zu kennen (Screenshots) endet alles in Kristallkugelei!
Nur mal vorsichtig nach der Fehlermeldung geraten.... Deine Peer IDs stimmen sehr wahscheinlich nicht in den gegenüberliegenden Seiten, deshalb scheitert die Authentication.
Wie authentisierst du also die Peers?? Per IP, Per FQDN?? 🤔
Ersteres würde bei wechselnden IPs scheitern.

Nein, das wäre Unsinn, denn der ändert sich ja bekanntlich durch einen Umzug nicht!
Was sich aber ändert ist sehr wahrscheinlich die Peer IP Adressse am neuen Standort. Leider kamen dazu von dir keinerlei Informationen.
Deshalb auch hier wieder die oben schon mehrfach gestellte Frage ob die remote pfSense, also der Initiator am Umzugsstandort, mit wechselnden IPs oder auch mit einer festen IP arbeitet?!
Dies ist für die Konfiguration des Responders (der kaskadierten pfSense in der "Firma") essentiell wichtig.

👏 👍

Benutzt du IKEv1 oder das schnellere IKEv2 ?
Checke auch einmal ob du in ein MTU bzw. MSS Problem gelaufen bist was häufig ist in solchen Kaskaden Setups ganz besonders wenn der davorliegende Router einen PPPoE Anschluss hat. Bei zu großer Tunnel MTU muss dann jedes Paket fragmentiert werden was die Performance in den Orkus reisst. Immer das MSS Clamping im pfSense setup bei VPN aktivieren!
https://blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
https://kb.netgear.com/de/19863/Ping-Test-zur-Ermittlung-der-optimalen-M ...
https://gprivate.com/6by7b

Zum Thema OVPN sagt ein Bild mehr als 1000 Worte... Löst ein ggf. vorhandenes MTU Problem auch nicht.
Das ist also ganz sicher keine Option sondern eher Regen und Traufe...