IPsec-Clients der pfSense sehen sich nicht
Ein neuer Thread für meine Frage in IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten.
Wir arbeiten hier mit einer pfSense 2.4.5 und haben unsere Mitarbeiter über IPsec-Tunnel an das Firmen-LAN angebunden.
Klappt eigentlich prima, die Clients können auf unsere Netzwerkressourcen zugreifen, können sich allerdings nicht gegenseitig "sehen" - das heißt, sie reagieren nicht auf Ping oder andere Kommunikationsversuche.
Den VPN-Clienten ist der Netzwerkbereich 192.168.143.0/24 zugewiesen. Aus dem Office kann ich alle Kollegen anpingen, also beispielsweise die 192.168.143.1, 192.168.143.2 (...).
Pingt aber die 192.168.143.1 die 192.168.143.2 an, herrscht Funkstille.
Unsere Firewall-Regeln sind sehr überschaubar: Block private networks, Block bogon networks, fünf Allow-Regeln für VPN, Telefonanlage und CRM-System.
Die Firewalls auf den Client-Rechnern sind deaktiviert. Woran könnte das liegen?
Dann noch die Frage ob es möglich ist, dass die Clients immer die gleiche IP-Adresse zugewiesen bekommen - momentan werden die Adressen bei jeder Verbindung neu gewürfelt, d.h. die 192.168.143.1 ist beim nächsten mal die 192.168.143.4, was die Kommunikation dann ebenfalls erschwert.
Wir arbeiten hier mit einer pfSense 2.4.5 und haben unsere Mitarbeiter über IPsec-Tunnel an das Firmen-LAN angebunden.
Klappt eigentlich prima, die Clients können auf unsere Netzwerkressourcen zugreifen, können sich allerdings nicht gegenseitig "sehen" - das heißt, sie reagieren nicht auf Ping oder andere Kommunikationsversuche.
Den VPN-Clienten ist der Netzwerkbereich 192.168.143.0/24 zugewiesen. Aus dem Office kann ich alle Kollegen anpingen, also beispielsweise die 192.168.143.1, 192.168.143.2 (...).
Pingt aber die 192.168.143.1 die 192.168.143.2 an, herrscht Funkstille.
Unsere Firewall-Regeln sind sehr überschaubar: Block private networks, Block bogon networks, fünf Allow-Regeln für VPN, Telefonanlage und CRM-System.
Die Firewalls auf den Client-Rechnern sind deaktiviert. Woran könnte das liegen?
Dann noch die Frage ob es möglich ist, dass die Clients immer die gleiche IP-Adresse zugewiesen bekommen - momentan werden die Adressen bei jeder Verbindung neu gewürfelt, d.h. die 192.168.143.1 ist beim nächsten mal die 192.168.143.4, was die Kommunikation dann ebenfalls erschwert.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3152884650
Url: https://administrator.de/contentid/3152884650
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Hi.
Zitat von @HanDoku:
Das Zauberwort lautet FreeRadius. Ist ein Paket für die PFSense.
Dort kannst du dann Benutzern eine IP zuweisen.
Mit der Erreichbarkeit hätte ich auf die Windows Firewall getippt, aber du kannst die Clients ja von hinter der PFSense erreichen.
EDIT: Sind denn ICMP Pakete erlaubt auf dem Reiter IPSec in den Regeln?
Gruß
Marc
Zitat von @HanDoku:
Dann noch die Frage ob es möglich ist, dass die Clients immer die gleiche IP-Adresse zugewiesen bekommen - momentan werden die Adressen bei jeder Verbindung neu gewürfelt, d.h. die 192.168.143.1 ist beim nächsten mal die 192.168.143.4, was die Kommunikation dann ebenfalls erschwert.
Das Zauberwort lautet FreeRadius. Ist ein Paket für die PFSense.
Dort kannst du dann Benutzern eine IP zuweisen.
Mit der Erreichbarkeit hätte ich auf die Windows Firewall getippt, aber du kannst die Clients ja von hinter der PFSense erreichen.
EDIT: Sind denn ICMP Pakete erlaubt auf dem Reiter IPSec in den Regeln?
Gruß
Marc
Wir arbeiten hier mit einer pfSense 2.4.5
Warum kein Update auf das aktuelle Release?haben unsere Mitarbeiter über IPsec-Tunnel
- Welches IPsec denn?? IKEv2 oder L2TP?
- Was sagt ein Wireshark Trace oder tcpdump? Kannst du eingehenden Traffic am Client "sehen"?
Zitat von @HanDoku:
@148523
Bin ich einfach noch nicht zu gekommen, da ich das nicht einfach so zwischendurch machen wollte. Gibt es bei der Umstellung bekannte Probleme?
@148523
Wir arbeiten hier mit einer pfSense 2.4.5
Warum kein Update auf das aktuelle Release?Bin ich einfach noch nicht zu gekommen, da ich das nicht einfach so zwischendurch machen wollte. Gibt es bei der Umstellung bekannte Probleme?
Bei mir zerpflückt es immer die IPSec Site 2 Site Tunnel. War bei den Upgrade von 2.4 auf 2.5 und von 2.5 auf 2.6 so.
Gibt aber auch genügend Stimmen, bei denen es gar keine Querelen gab.
* Was sagt ein Wireshark Trace oder tcpdump? Kannst du eingehenden Traffic am Client "sehen"?
Konnte ich noch nicht prüfen.
Bei Gelegenheit auf jeden Fall nachholen.
Dann wüsste man, wo die ICMP Pakete "aufhören" zu fließen.
Gruß
Marc