Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec S2S Tunnel - redirect gateway

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

10.11.2019 um 13:13 Uhr, 155 Aufrufe, 3 Kommentare

Hallo Zusammen,

ich habe mal wieder etwas zum basteln dabei. Im groben funktioniert es sogar.
Allerdings nur eine Feinheit , die mich stört.

Also, was will ich :


Bisher habe ich meinen Raspberry dazu genutzt, um mittels einen OpenVPN Tunnel jeglichen Traffic durch den Tunnel über meine Pfsense zu leiten.
Das hat super funktioniert, allerdings ist der nun ... kaputt gegangen. ( also der PI )
Jetzt hab ich nur noch die Fritz Box. Diese kann natürlich kein OpenVPN.
Also habe ich flink einen IPsec Tunnel gebaut. In diesem Fall als S2S Tunnel.
Ich komme von Intern ins VPN Netz und wieder zurück.
Das klappt super.
Das einzige ist, ich möchte auch hier den Traffic durch den Tunnel schieben.
In der Fritz Box gibt es da so einen schönen haken. Gesamten Traffic durch schieben.


In den Firewall Regeln habe ich eine Regel für IPsec erstellt.

Alles was aus * kommt über ipsec darf * hin


In der PFsense habe ich eine neue Outbound NAT Regel erstellt.

bildschirmfoto vom 2019-11-10 13-06-06 - Klicke auf das Bild, um es zu vergrößern
Interface Address ist in diesem Fall die externe Adresse der Firewall.
10.211.19.0/24 ist das lokale Netz hinter der Friz Box.

Im prinzip sollte das ja so funktionieren
Allerdings kommt nix durch.
Im Log erkenne ich erstmal gar ncihts.
Hat jemand eine IDee, woran das liegen kann ?


Vielen Dank.

Christian
Mitglied: aqui
10.11.2019, aktualisiert um 14:47 Uhr
Irgendwie etwas wirr...?! Warum eine zusätzliche Outbound NAT Regel ? Normal ist die überflüssig. Die pfSense würde es alles NATen was von ihr ins Internet geht.
Wichtig ist das die FB jeglichen Traffic in den Tunnel routet sprich also einen Gateway Redirect auf den IPsec Tunnel bekommt. Das macht man indem man der pfSense eine Wildcard Route mit 0.0.0.0 /0 als remotes Netz einträgt.
Problematischer ist es aber der FB das beizubringen, da die immer ein Split Tunneling machen will:
https://www.ip-phone-forum.de/threads/vpn-zwischen-zwei-fb-kompletten-tr ...
https://www.ip-phone-forum.de/threads/mini-howto-kompletten-internetverk ...
https://administrator.de/forum/fritzbox-daten-einenvpn-tunnel-senden-325 ...
http://www.andreas-reiff.de/2015/09/gesamten-internetverkehr-durch-avm- ...
Vieles ist da Client bezogen bei der FB und gut möglich das die FB als einfache Consumer Box sowas bei S2S gar nicht supportet und dort rein nur Split Tunneling kann.
Da ist es dann allemal stressfreier in einen neuen kleinen OVPN Taschenrouter zu investieren der sowas mit 3 Mausklicks im GUI wieder wie früher erledigt:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Außerdem ist er zudem noch preiswerter als der RasPi !
Bitte warten ..
Mitglied: fundave3
10.11.2019 um 17:10 Uhr
HAllo Aqui,

nun ja, da hast du eigentlich recht, ja.
Allerdings habe ich in der Firewall eine NAT Regel für das lokale Netz hinterlegt.
IPsec bzw. das Netz dahinter ( also Mein Heimnetz ) ist ja nicht teil des lokalen Firewall Netzes
.Also brauche ich eine zusätzliche NAT Regel.
So ist es in der Netgate Dokumentation beschrieben.
Interresant wird es allerdings nur, sobald ich den Haken rein setze.

bildschirmfoto vom 2019-11-10 17-07-45 - Klicke auf das Bild, um es zu vergrößern

Dann bricht mir hier die Unitymedia Leitung weg und baut sich dann " auf"
Die Box scheint seine gesamte Einwahl ins Unitymedia Netz durch den Tunnel schieben zu wollen.
Tut mir leid, aber den Sinn muss mir jemand mal erklären.
Schade, das sowas nicht funktioniert. ICh meine die FB kann ja schon sehr viel.
Das wäre super gewesen, wenn das auch noch klappen würde.

Ich denke jedoch, ein neuer RPi 4 wird mal fällig.

Vielen Dank
Bitte warten ..
Mitglied: aqui
11.11.2019 um 09:15 Uhr
Allerdings habe ich in der Firewall eine NAT Regel für das lokale Netz hinterlegt.
Eigentlich ja überflüssiger Unsinn, denn das ist ja immer die default Konfig an der man gemeinhin nix fummeln muss. Das klappt ja auch immer out of the box.
.Also brauche ich eine zusätzliche NAT Regel.
Nein, das ist Unsinn.
Auch wenn du einen Router im lokalen LAN hinter der pfSense hast werden dann dort alle gerouteten IP Netze an der pfSense auch am WAN geNATet. Separate NAT Regeln braucht es da nicht.
So ist es in der Netgate Dokumentation beschrieben.
Wo ?
Wenn das stimmt, dann stimmt es mit den (Default) Einstellungen in der Praxis nicht überein, denn da wird alles geNATet.
Die Box scheint seine gesamte Einwahl ins Unitymedia Netz durch den Tunnel schieben zu wollen.
Terminierst du PPPoE direkt an der FW, sprich nutzt du ein reines Modem am WAN Port, keinen Router ?
Schade, das sowas nicht funktioniert.
Von Seiten der pfSense funktioniert das fehlerfrei ! Die FritzBox kann das nicht. Normalerweise kennt die kein Gateway Redirect sondern rein nur Split Tunneling. Das ist das primäre Problem.
Ich denke jedoch, ein neuer RPi 4 wird mal fällig.
Nimm besser den o.a. GL.inet Router. Wenn du nur damit netzwerken willst ist das die sinnvollere Entscheidung !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

Router & Routing

Cisco IPsec S2S-VPN ohne Routen am default GW oder Client

gelöst Frage von maxmaxRouter & Routing7 Kommentare

Hallo, Ich habe folgende Situation: (Außenstandort Cisco 867) > (Zentrale Cisco C881) (192.168.1.0/24) > (192.168.0.0/24) ich habe einen S2S-VPN ...

Netzwerkprotokolle

IPSec VPN Lancom Split Tunnel verhindern?

Frage von UnbekannterNR1Netzwerkprotokolle4 Kommentare

Hallo, wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind ...

Netzwerke

Ipsec VPN Tunnel RV110W - Bintec Be.IP

Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

Neue Wissensbeiträge
Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 StundeSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 8 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Datenschutz
Im Zweifel ist die Cloud immer unsicher
Information von certifiedit.net vor 1 TagDatenschutz19 Kommentare

Hallo, wie schon mehrmals angesprochen, egal, womit der Dienst wirbt, im Zweifel ist es in der Cloud immer unsicher(er) ...

Heiß diskutierte Inhalte
Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu27 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows Server
AD, Sysprep, Clone, SID . oh weh
Frage von heifumaWindows Server23 Kommentare

Moin, ich versuche es so kurz wie möglich zu halten: Ist-Zustand: - IT Dienstleister hat Monopol für die bei ...

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools22 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...