frosch2
Goto Top

IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten - es funktioniert bei mir nicht - vielleicht sehe ich den Wald vor lauter Bäumen nicht mehr

Hallo

Ich beziehe mich auf: IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

es ist mir peinlich zugeben zu müssen das bei mir das nicht geht , bestimmt ist es nur eine Kleinigkeit (sagen alle erstmal) die ich nicht beachtet habe.Bestimmt sehe ich den Wald vor lauter Bäumen nicht.

Ich habe dies tutorial bestimmt jetzt 10-20 mal gelesen, aber anscheinend hat meine Fritte die den Internetzugang bereitstellt zu der pfsense ein Problem. Das System ist eine Kaskade.

Ich versuche mal den Aufbau darzustellen.

  • Telekom kommt mit DSL rein
  • dann kommt meine FB7590, diese macht VOIP deswegen kaskade
  • dann die pfsense (Rechner Corei3 3xxx 8GB RAM) version 2.4.4 64bit
  • Internetzugang funktioniert einwandfrei am Netz

Jetzt will ich eine VPN installieren, damit ich Mobil auf den Rechner dahinter zugreifen kann. Aber anscheinend bin ich zu blöd das zum fliegen zu bringen face-wink

Ich bekomme immer wieder die Fehlermeldung per strongswan Fehler beim aufsetzen des VPN. Benutzer authenfizierung fehlgeschlagen.

Hier noch ein Auszug aus der pfsense (oben der letzte eintrag)

Content-Key: 395046

Url: https://administrator.de/contentid/395046

Printed on: February 8, 2023 at 21:02 o'clock

Member: aqui
Solution aqui Dec 07, 2018 updated at 16:18:24 (UTC)
Goto Top
Du hast Recht !!
Wie hier (leider) immer: Das Tutorial nicht richtig gelesen !!!
received 1 cert requests for an unknown ca

Zeigt klar das du einen Fehler bei der Generierung und Portierung des Zertifikats gemacht hast !!
Fazit:
Lies dir also bitte diesne Teil nochmal ganz genau durch und halte dich genau an die dort angegebenen Schritte !!
Dann klappt das auch sofort !

Firewall auf Werksreset und sauber nochmal von vorne anfangen face-wink
Member: frosch2
frosch2 Dec 07, 2018 updated at 17:19:48 (UTC)
Goto Top
Dann nochmal,


danke aqui, manchmal ist ein tritt am ende des Rueckens richtig gut und wirkt Wunder.
Member: frosch2
frosch2 Dec 07, 2018 at 17:44:54 (UTC)
Goto Top
face-sad Jetzt aufeinmal bleibt die Anmeldung an der Webgui einfach stehen. Konfigurieren nicht möglich.
Die Konsole sagt das ich successfull eingeloggt bin.
Bisher habe ich ein reboot durchgefuehrt, über die Konsole und auch die Webgui neugestartet über die Konsole, nichts hat geholfen.
Ich melde mich an , es macht piep , laut konsole bin ich eingeloggt
was ist das jetzt ? wie komme ich daraus?

frosch
Member: aqui
Solution aqui Dec 08, 2018 updated at 11:33:49 (UTC)
Goto Top
Jetzt aufeinmal bleibt die Anmeldung an der Webgui einfach stehen
Nach der Neuinstallation oder dem Werksreset ??
Ggf. den Browsercache mal VORHER löschen !!

Nachdem Reset oder Neuinstallation spielst du erstmal den Setup Wizzard komplett durch.
Dann setzt du gemäß Tutorial das Zertifikat neu auf und danach löschst das alte Default Zert komplett weg.
ACHTUNG: Denk dran nach dem Löschen des Default Zertifikats unter System --> Advanced das HTTPS Zertifikat auf dein neu generiertes zu setzen !

zert

Dann saven und die FW einmal rebooten lassen.
Ab dann sollte alles sauber funktionieren.
Jetzt bist du wieder dran !
Member: frosch2
frosch2 Dec 08, 2018 at 14:55:17 (UTC)
Goto Top
Das passierte nachdem ich

1. ein Werksresett machte
- danach die VPN neuinstalliert
- mit Strongswan vom Smartphone getestet habe
- dann habe ich die anliegende dhcp adresse der pfsense wlan auf statisch angepasst.
- dann nochmals getestet, alles gut
- wollte dann wieder über die Gui in die Firewall und nichts tat sich , auf der Konsole zeigte sich zwar das ich richtig eingeloggt war aber nichts tat sich an der Weboberfläche.
- danach führte ich zuallerst ein neustart per Konsole der webgui durch, ohne erfo.lg
- also fuehrte ich ein reboot durch auch ohne erfolg
- danach schrieb ich
- Internet funktioniert, Die VPN auch nur die Webgui funktionierte nicht
als puren Aktionismus fuehrte ich Option 0 (Logout SSH only) an der Konsole aus, und danach war alles wieder gut. Kann ich nicht nachvollziehen, aber naja wenn es geht face-wink


Danke dir, es funktioniert so wie es sein soll. Nun kommt der Härtetest und das muss sich dann im Einsatz bewähren. Wird es auch.
Ich frage mich wieso eine Hardwarefirewall zertifiziert vom BSI besser sein soll laut externer EDV Firma (Anschaffungs- und Installtions-kosten ca. 1000€ netto und dann jeden Monat 69€ fuer Monitoring und Lizenzen) ?

Wenn die Frage hier nicht richtig ist dann wäre es gut das sie an die richtige Stelle im Forum verschoben wird , oder ist es besser einen neuen Thred dazu zu starten.



- an der
Member: aqui
aqui Dec 08, 2018 updated at 15:32:54 (UTC)
Goto Top
Kann es sein das du per Zufall unfreiwillig die AntiLockout Rule des GUI deaktiviert hast ?? (Haken entfernt)

antilo

Dann musst du den Zugang über Firewall Regeln entsprechend regeln. Sowas sollte man wasserdicht testen bevor man das aktiviert weil man sich dabei leicht selber den Ast absägt auf dem man logintechnisch sitzt face-wink
Auf alle Fälle VORHER die Konfig sichern OHNE deaktivierte Antilogout Rule um alles schnell wieder rücksichern zu können sollte man die Box resetten müssen !
wieso eine Hardwarefirewall zertifiziert vom BSI besser sein soll
Ist sie natürlich auch nicht aus technischer Sicht. Das ist Blödsinn.
Was man damit macht ist das man sich über einen Vertrag das Recht erkauft auf jemanden zeigen zu können wenn die Firewall mal nicht das tut was sie soll.
Der Knackpunkt da ist aber immer der Administrator der die Firewall konfiguriert, also der Faktor Mensch. Technisch gesehen ist so eine FW natürlich niemals besser. Zumal unter allen heute ja irgendwie immer was Unixoides werkelt.
Man könnte sogar behaupten das ein Bugfixing durch die sehr große weltweite Community schneller und umfassender ist als mit einem langwierigen Lizenzvertrag. Kühn gesagt also letztendlich sicherer.
Mit der pfSense machst du nichts falsch. Zumal du sie mit einem Wartungsvertrag ja auch genauso kommerzialisieren kannst !
Dann viel Erfolg beim Härtetest ! face-wink
Member: frosch2
frosch2 Dec 08, 2018 at 15:46:30 (UTC)
Goto Top
Ja sicher kann es sein. Dann eher zufällig, gerade wenn man etwas viele macht mit dem gleichen ergebnis das es nicht geht , schleichen sich auch noch andere Flüchtigkeitsfehler ein.

Eine vielleicht blöde Frage ( sieh sie mir bitte nach da das Thema VPN Neuland für mich ist) Diese VPN wird auf die pfsense geroutet. Diese entscheidet dann wer durch die Firewallregel IPsec Regel darf oder auch nicht.? Durch die entsprechende Port- und Portokollfreigabe freigabe in der Regel mit angabe wohin die Pakete geroutet werden sollen.

Ich werde deine Tipp beherzigen. face-smile
Member: aqui
Solution aqui Dec 09, 2018 updated at 11:25:19 (UTC)
Goto Top
Eine vielleicht blöde Frage
Gibts ja nicht, nur blöde Antworten face-wink
Dieses VPN wird auf die pfSense geroutet.
Richtig !
Dessen IP Adresse als VPN Ziel gibst du ja auch in deinen VPN Clients an !
Diese entscheidet dann wer durch die Firewallregel IPsec Regel darf oder auch nicht.?
Auch richtig !
Bzw. die Firewall Regeln machst DU ja, d.h. du entscheidest letztendlich. face-wink
Durch die entsprechende Port- und Portokollfreigabe Freigabe in der Regel
Auch das ist richtig !
Übrigens nicht nur die Freigabe sondern auch das Verbot. Mit der Regel kannst du ja explizit was erlauben und explizit was verbieten.
Default Regel auf einer Firewall ist immer: "Es ist alles verboten was nicht ausdrücklich erlaubt ist !"
Auf einem neuen Interface ist also erstmal alles blockiert !
Und im Regelwerk selber gilt: "First match wins !"
Also beim ersten positiven Hit wird der Rest des Regelwerks NICHT mehr abgearbeitet.
Gerade letzteres sollte man bei der Regelwerk Logik immer auf dem Radar haben.
Auch das Regeln nur Inbound auf dem Interface wirken.
Member: frosch2
frosch2 Dec 09, 2018 at 12:15:02 (UTC)
Goto Top
Hallo Aqui,

danke für das Feedback. Das mit dem "First match wins !" war auch etwas , andem ich leidvolle erfahrung gesammelt habe, aber schon einige Zeit her. face-wink
das die Regeln nur Inbound auf dem Interface wirken ist für mich eine sehr gute Info, ich habe mir zwar soetwas gedacht, aber mein Denken und die Realität differieren manchesmal face-wink

Danke dir
Member: aqui
Solution aqui Dec 10, 2018 at 12:50:22 (UTC)
Goto Top
Das ist übrigens generell bei Firewalls so und auch IP Accesslisten bei Routern und L3 Switches face-wink
Reihenfolge und Logik der Regel sollte man also immer genau prüfen ! face-wink