Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec S2S Tunnel - redirect gateway

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

10.11.2019 um 13:13 Uhr, 804 Aufrufe, 3 Kommentare

Hallo Zusammen,

ich habe mal wieder etwas zum basteln dabei. Im groben funktioniert es sogar.
Allerdings nur eine Feinheit , die mich stört.

Also, was will ich :


Bisher habe ich meinen Raspberry dazu genutzt, um mittels einen OpenVPN Tunnel jeglichen Traffic durch den Tunnel über meine Pfsense zu leiten.
Das hat super funktioniert, allerdings ist der nun ... kaputt gegangen. ( also der PI )
Jetzt hab ich nur noch die Fritz Box. Diese kann natürlich kein OpenVPN.
Also habe ich flink einen IPsec Tunnel gebaut. In diesem Fall als S2S Tunnel.
Ich komme von Intern ins VPN Netz und wieder zurück.
Das klappt super.
Das einzige ist, ich möchte auch hier den Traffic durch den Tunnel schieben.
In der Fritz Box gibt es da so einen schönen haken. Gesamten Traffic durch schieben.


In den Firewall Regeln habe ich eine Regel für IPsec erstellt.

Alles was aus * kommt über ipsec darf * hin


In der PFsense habe ich eine neue Outbound NAT Regel erstellt.

bildschirmfoto vom 2019-11-10 13-06-06 - Klicke auf das Bild, um es zu vergrößern
Interface Address ist in diesem Fall die externe Adresse der Firewall.
10.211.19.0/24 ist das lokale Netz hinter der Friz Box.

Im prinzip sollte das ja so funktionieren
Allerdings kommt nix durch.
Im Log erkenne ich erstmal gar ncihts.
Hat jemand eine IDee, woran das liegen kann ?


Vielen Dank.

Christian
Mitglied: aqui
10.11.2019, aktualisiert um 14:47 Uhr
Irgendwie etwas wirr...?! Warum eine zusätzliche Outbound NAT Regel ? Normal ist die überflüssig. Die pfSense würde es alles NATen was von ihr ins Internet geht.
Wichtig ist das die FB jeglichen Traffic in den Tunnel routet sprich also einen Gateway Redirect auf den IPsec Tunnel bekommt. Das macht man indem man der pfSense eine Wildcard Route mit 0.0.0.0 /0 als remotes Netz einträgt.
Problematischer ist es aber der FB das beizubringen, da die immer ein Split Tunneling machen will:
https://www.ip-phone-forum.de/threads/vpn-zwischen-zwei-fb-kompletten-tr ...
https://www.ip-phone-forum.de/threads/mini-howto-kompletten-internetverk ...
https://administrator.de/forum/fritzbox-daten-einenvpn-tunnel-senden-325 ...
http://www.andreas-reiff.de/2015/09/gesamten-internetverkehr-durch-avm- ...
Vieles ist da Client bezogen bei der FB und gut möglich das die FB als einfache Consumer Box sowas bei S2S gar nicht supportet und dort rein nur Split Tunneling kann.
Da ist es dann allemal stressfreier in einen neuen kleinen OVPN Taschenrouter zu investieren der sowas mit 3 Mausklicks im GUI wieder wie früher erledigt:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Außerdem ist er zudem noch preiswerter als der RasPi !
Bitte warten ..
Mitglied: fundave3
10.11.2019 um 17:10 Uhr
HAllo Aqui,

nun ja, da hast du eigentlich recht, ja.
Allerdings habe ich in der Firewall eine NAT Regel für das lokale Netz hinterlegt.
IPsec bzw. das Netz dahinter ( also Mein Heimnetz ) ist ja nicht teil des lokalen Firewall Netzes
.Also brauche ich eine zusätzliche NAT Regel.
So ist es in der Netgate Dokumentation beschrieben.
Interresant wird es allerdings nur, sobald ich den Haken rein setze.

bildschirmfoto vom 2019-11-10 17-07-45 - Klicke auf das Bild, um es zu vergrößern

Dann bricht mir hier die Unitymedia Leitung weg und baut sich dann " auf"
Die Box scheint seine gesamte Einwahl ins Unitymedia Netz durch den Tunnel schieben zu wollen.
Tut mir leid, aber den Sinn muss mir jemand mal erklären.
Schade, das sowas nicht funktioniert. ICh meine die FB kann ja schon sehr viel.
Das wäre super gewesen, wenn das auch noch klappen würde.

Ich denke jedoch, ein neuer RPi 4 wird mal fällig.

Vielen Dank
Bitte warten ..
Mitglied: aqui
11.11.2019 um 09:15 Uhr
Allerdings habe ich in der Firewall eine NAT Regel für das lokale Netz hinterlegt.
Eigentlich ja überflüssiger Unsinn, denn das ist ja immer die default Konfig an der man gemeinhin nix fummeln muss. Das klappt ja auch immer out of the box.
.Also brauche ich eine zusätzliche NAT Regel.
Nein, das ist Unsinn.
Auch wenn du einen Router im lokalen LAN hinter der pfSense hast werden dann dort alle gerouteten IP Netze an der pfSense auch am WAN geNATet. Separate NAT Regeln braucht es da nicht.
So ist es in der Netgate Dokumentation beschrieben.
Wo ?
Wenn das stimmt, dann stimmt es mit den (Default) Einstellungen in der Praxis nicht überein, denn da wird alles geNATet.
Die Box scheint seine gesamte Einwahl ins Unitymedia Netz durch den Tunnel schieben zu wollen.
Terminierst du PPPoE direkt an der FW, sprich nutzt du ein reines Modem am WAN Port, keinen Router ?
Schade, das sowas nicht funktioniert.
Von Seiten der pfSense funktioniert das fehlerfrei ! Die FritzBox kann das nicht. Normalerweise kennt die kein Gateway Redirect sondern rein nur Split Tunneling. Das ist das primäre Problem.
Ich denke jedoch, ein neuer RPi 4 wird mal fällig.
Nimm besser den o.a. GL.inet Router. Wenn du nur damit netzwerken willst ist das die sinnvollere Entscheidung !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zyxel IPsec S2S Tunnel
gelöst Frage von fundave3Router & Routing6 Kommentare

Hallo Zusammen, ich habe aktuell wieder etwas sehr merkwürdiges. Ein Kunde hat zwei Standorte. An jedem Standort eine Zywall ...

Netzwerkprotokolle

IPSec VPN Lancom Split Tunnel verhindern?

Frage von UnbekannterNR1Netzwerkprotokolle4 Kommentare

Hallo, wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind ...

Router & Routing

Cisco S2S IPSec-VPN funktioniert erst nach Anlegen einer statischen Route

Frage von tikayeventRouter & Routing5 Kommentare

Hallo zusammen, momentan beschäftige ich mich vermehrt mit Cisco und bastele gerade im Lab an einer Site-to-Site-VPN-Verbindung über IPSec ...

Netzwerke

Ipsec VPN Tunnel RV110W - Bintec Be.IP

Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 14 StundenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 16 StundenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 3 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 5 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Heiß diskutierte Inhalte
Windows 10
Windows "Home" Version im Unternehmen legal?
gelöst Frage von BosnigelWindows 1024 Kommentare

Hallo, ich habe hier einen Kleinstunternehmer der überall sparen muss. Die Frage: Ist Windows 10 (also nicht Pro) für ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V20 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Doppelte If Anweisung - check if file exist
Frage von chkdskBatch & Shell12 Kommentare

Hello Again :-) Ich habe hier ein Skript, welches zu zu Beginn überprüft ob eine Datei vorhanden ist. Falls ...

Windows Server
Frage an alle Powershell Profis
Frage von toddehbWindows Server10 Kommentare

Hi, also ich steh auf Kriegsfuss mit der Powershell, um das mal gleich vorwegzunehmen ;-) Ich muss auf allen ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...