handoku
Goto Top

IPsec-Clients der pfSense sehen sich nicht

Ein neuer Thread für meine Frage in IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten.

Wir arbeiten hier mit einer pfSense 2.4.5 und haben unsere Mitarbeiter über IPsec-Tunnel an das Firmen-LAN angebunden.

Klappt eigentlich prima, die Clients können auf unsere Netzwerkressourcen zugreifen, können sich allerdings nicht gegenseitig "sehen" - das heißt, sie reagieren nicht auf Ping oder andere Kommunikationsversuche.

Den VPN-Clienten ist der Netzwerkbereich 192.168.143.0/24 zugewiesen. Aus dem Office kann ich alle Kollegen anpingen, also beispielsweise die 192.168.143.1, 192.168.143.2 (...).

Pingt aber die 192.168.143.1 die 192.168.143.2 an, herrscht Funkstille.

Unsere Firewall-Regeln sind sehr überschaubar: Block private networks, Block bogon networks, fünf Allow-Regeln für VPN, Telefonanlage und CRM-System.

Die Firewalls auf den Client-Rechnern sind deaktiviert. Woran könnte das liegen?

Dann noch die Frage ob es möglich ist, dass die Clients immer die gleiche IP-Adresse zugewiesen bekommen - momentan werden die Adressen bei jeder Verbindung neu gewürfelt, d.h. die 192.168.143.1 ist beim nächsten mal die 192.168.143.4, was die Kommunikation dann ebenfalls erschwert.

Content-ID: 3152884650

Url: https://administrator.de/contentid/3152884650

Ausgedruckt am: 26.11.2024 um 01:11 Uhr

radiogugu
radiogugu 23.06.2022 aktualisiert um 12:23:32 Uhr
Goto Top
Hi.

Zitat von @HanDoku:
Dann noch die Frage ob es möglich ist, dass die Clients immer die gleiche IP-Adresse zugewiesen bekommen - momentan werden die Adressen bei jeder Verbindung neu gewürfelt, d.h. die 192.168.143.1 ist beim nächsten mal die 192.168.143.4, was die Kommunikation dann ebenfalls erschwert.

Das Zauberwort lautet FreeRadius. Ist ein Paket für die PFSense.

Dort kannst du dann Benutzern eine IP zuweisen.

Mit der Erreichbarkeit hätte ich auf die Windows Firewall getippt, aber du kannst die Clients ja von hinter der PFSense erreichen.

EDIT: Sind denn ICMP Pakete erlaubt auf dem Reiter IPSec in den Regeln?

Gruß
Marc
HanDoku
HanDoku 23.06.2022 um 13:29:30 Uhr
Goto Top
Hallo Marc, FreeRadius hört sich gut an, probiere ich aus!

Bei den IPSec Regeln habe ich nur eine allow-any-Regel, die dann ja auch ICMP erlaubt.
ipsec
148523
148523 23.06.2022 aktualisiert um 14:13:15 Uhr
Goto Top
Wir arbeiten hier mit einer pfSense 2.4.5
Warum kein Update auf das aktuelle Release?
haben unsere Mitarbeiter über IPsec-Tunnel
  • Welches IPsec denn?? IKEv2 oder L2TP?
  • Was sagt ein Wireshark Trace oder tcpdump? Kannst du eingehenden Traffic am Client "sehen"?
HanDoku
HanDoku 23.06.2022 um 14:27:50 Uhr
Goto Top
@148523

Wir arbeiten hier mit einer pfSense 2.4.5
Warum kein Update auf das aktuelle Release?

Bin ich einfach noch nicht zu gekommen, da ich das nicht einfach so zwischendurch machen wollte. Gibt es bei der Umstellung bekannte Probleme?

haben unsere Mitarbeiter über IPsec-Tunnel
* Welches IPsec denn?? IKEv2 oder L2TP?

IKEc2

* Was sagt ein Wireshark Trace oder tcpdump? Kannst du eingehenden Traffic am Client "sehen"?

Konnte ich noch nicht prüfen.
radiogugu
radiogugu 23.06.2022 um 14:47:41 Uhr
Goto Top
Zitat von @HanDoku:

@148523

Wir arbeiten hier mit einer pfSense 2.4.5
Warum kein Update auf das aktuelle Release?

Bin ich einfach noch nicht zu gekommen, da ich das nicht einfach so zwischendurch machen wollte. Gibt es bei der Umstellung bekannte Probleme?

Bei mir zerpflückt es immer die IPSec Site 2 Site Tunnel. War bei den Upgrade von 2.4 auf 2.5 und von 2.5 auf 2.6 so.

Gibt aber auch genügend Stimmen, bei denen es gar keine Querelen gab.

* Was sagt ein Wireshark Trace oder tcpdump? Kannst du eingehenden Traffic am Client "sehen"?

Konnte ich noch nicht prüfen.

Bei Gelegenheit auf jeden Fall nachholen.

Dann wüsste man, wo die ICMP Pakete "aufhören" zu fließen.

Gruß
Marc