IPSEC zw. PfSense und FB
Hallo,
wir haben einen IPSEC Tunnel über das Inet zwischen einer Fritzbox 7490 (06.24) und PfSense 2.1 eingerichtet. Das funktioniert auch soweit
Mein Problem ist das hinter der PfSense VLANs sind die nicht von der Firewall verwaltet werden sondern
von einem Layer 3 Cisco Switch.
Ich kann weder von der Fritzbox über den Tunnel die Vlans erreichen noch kann ich von einem Vlan (vom Grundvlan aus funktionierts) aus
die Fritzbox erreichen.
Ausserdem haben wir an der Firewall 2 DSL Anschlüsse dran. Es ist jedoch so konfiguriert das die Clients immer über den selben
DSL Anschluss ins Inet gelangen. Der Tunnel wird aber nur über die WAN Schnittstelle der PF aufgebaut
Ein Ping von einem Vlan aus Richtung FB endet an der Firewall. Leider bin ich etwas überfordert mit der Situation!
Hab schon versucht über ne Route das Problem zu lösen. Aber ohne Erfolg...
Die Konfig in der Fritzbox sieht so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN zum Haus A"; NAME der Verbindung
always_renew = yes; Verbindung immer herstellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = xxxx; Feste oeffentliche IP der pfSense Firewall
remote_virtualip = 0.0.0.0;
localid {
ipaddr = xxxx;
}
remoteid {
ipaddr = xxxx; Feste oeffentliche IP der pfSense Firewall
}
mode = phase1_mode_aggressive;
phase1ss = "def/3des/sha";
keytype = connkeytype_pre_shared;
key = "blabla";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0; Das interne Netzwerk LAN hinter der pfSense
mask = 255.255.255.0; inklusive Subnetmask
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; wichtig, da sonst kein Datenaustausch
accesslist = "permit ip any 192.168.0.0 255.255.255.0"; Firewall Einstellungen für pfSense Subnetz
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Kann sich jemand in die Situation reindenken bzw mir Tipps geben?
Ich vermute ihr braucht noch mehr Infos über die Konfig der PF...
Mit freundlichen Grüßen
wir haben einen IPSEC Tunnel über das Inet zwischen einer Fritzbox 7490 (06.24) und PfSense 2.1 eingerichtet. Das funktioniert auch soweit
Mein Problem ist das hinter der PfSense VLANs sind die nicht von der Firewall verwaltet werden sondern
von einem Layer 3 Cisco Switch.
Ich kann weder von der Fritzbox über den Tunnel die Vlans erreichen noch kann ich von einem Vlan (vom Grundvlan aus funktionierts) aus
die Fritzbox erreichen.
Ausserdem haben wir an der Firewall 2 DSL Anschlüsse dran. Es ist jedoch so konfiguriert das die Clients immer über den selben
DSL Anschluss ins Inet gelangen. Der Tunnel wird aber nur über die WAN Schnittstelle der PF aufgebaut
Ein Ping von einem Vlan aus Richtung FB endet an der Firewall. Leider bin ich etwas überfordert mit der Situation!
Hab schon versucht über ne Route das Problem zu lösen. Aber ohne Erfolg...
Die Konfig in der Fritzbox sieht so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN zum Haus A"; NAME der Verbindung
always_renew = yes; Verbindung immer herstellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = xxxx; Feste oeffentliche IP der pfSense Firewall
remote_virtualip = 0.0.0.0;
localid {
ipaddr = xxxx;
}
remoteid {
ipaddr = xxxx; Feste oeffentliche IP der pfSense Firewall
}
mode = phase1_mode_aggressive;
phase1ss = "def/3des/sha";
keytype = connkeytype_pre_shared;
key = "blabla";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0; Das interne Netzwerk LAN hinter der pfSense
mask = 255.255.255.0; inklusive Subnetmask
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; wichtig, da sonst kein Datenaustausch
accesslist = "permit ip any 192.168.0.0 255.255.255.0"; Firewall Einstellungen für pfSense Subnetz
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Kann sich jemand in die Situation reindenken bzw mir Tipps geben?
Ich vermute ihr braucht noch mehr Infos über die Konfig der PF...
Mit freundlichen Grüßen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269877
Url: https://administrator.de/forum/ipsec-zw-pfsense-und-fb-269877.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
6 Kommentare
Neuester Kommentar
Mein Problem ist das hinter der PfSense VLANs sind die nicht von der Firewall verwaltet werden sondern von einem Layer 3 Cisco Switch.
Was ist denn da dein Problem ?? Ein eigentlich simples, klassisches Szenario !Ich kann weder von der Fritzbox über den Tunnel die Vlans erreichen
Das musst du auch zwingend auf der Fritzbox im VPN Setup einrichten wenn sich weitere geroutete Netze HINTER der FB bzw. dem VPN Tunnel befinden !Guckst du hier:
http://at.avm.de/service/vpn/praxis-tipps/ueber-eine-vpn-verbindung-auf ...
bzw.
http://bingo.avm.de/de/Service/FAQs/FAQ_Sammlung/15144.php3
Analog musst du natürlich eine statische Route auf der pfSense über den Tunnel legen für alle diese IP Netze oder alternativ dynmaisch routen über den Tunnel mit OSPF, RIPv2 zw. Cisco und pfSense, dann musst du gar nichts statisch konfigurieren !
Ausserdem haben wir an der Firewall 2 DSL Anschlüsse dran. Es ist jedoch so konfiguriert das die Clients immer über den selben
DSL Anschluss ins Inet gelangen. Der Tunnel wird aber nur über die WAN Schnittstelle der PF aufgebautDas ist ja erstmal für dein eigentliches internes VPN Routing Problem vollkommen irrelevant !
Ein Ping von einem Vlan aus Richtung FB endet an der Firewall.
Klar, weil dort die Routen zu den Netzen hinter dem VPN Tunnel vermutlich fehlen !Leider bin ich etwas überfordert mit der Situation!
Was, jetzt schon bei solch einer Kleinigkeit ?! Ping hilft dir auch nicht ! Traceroute (tracert) und Pathping sind hier immer deine Freunde Kann sich jemand in die Situation reindenken bzw mir Tipps geben?
Jeder netzwerker sollte das können, denn es ist ein simples Routing Problem was du hast !Grundlegende Hilfe findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hochachtungsvoll, mit freundlichen Grüßen
Ihr Administrator.de Forum
und ich komm von den Netzen bis zur PF. Da ist dann Schluss...
Klar, denn da fehlen die Routen zu den Netzen am Cisco !!Sieh dir die Routing Tabelle an der pfSense an Diagnostics --> Routes dort "siehst" du garantiert nicht die am Cisco angeschlossenen Zielnetze, oder ??
Ebenso vermutlich am Cisco ! Wenn du dort mal ein show ip route auf der Konsole eingibst siehst du dort die Zielnetze an den pfSense ?
Zusätzlich MÜSSEN beide Router also pfSense UND Cisco das IP Netzwerk an der Fritzbox anzeigen bzw. in ihrer Tabelle haben. Gut beim Cisco erledigt das die Default Route.
Leider enthälst du uns ja diesen wichtigen Output vor so das wir das nicht eindeutig troubleshooten können
Sorry aber bei uns ist es so das man alles bisschen machen muss. Ich kann mich nicht den ganzen Tag mit Netzwerken beschäftigen, deswegen mein Unwissen
Du musst dich hier nicht rechtfertigen, denn das trägt nichts zur Fehlerlösung bei. Hole dir im Zweifel jemand an deine Seite der wenigstens die Grundlagen vom IP Routing versteht oder poste hier die Routing Tabellen bzw. deine statischen Routen die du gesetzt hast !Im Switch ist ne Defaultroute zur PF eingetragen. In der PF sind Routen zu den einzelnen Netzen drin. Diese Kommunikation funktioniert ja soweit seit längerem.
Das ist ja schon mal sehr gut !!Dann wird die Routing Tabelle vermutlich NICHT in deinen VPN Tunnel propagiert bzw. nicht den VPN Clients sprich der Fritzbox bekannt gemacht, richtig ?
Ganz wichtig ist das diese Routen in der Fritzbox bekannt sind !!
Hast du das gemäß dem oben geposteten Setup dort auch gemacht ???
http://bingo.avm.de/de/Service/FAQs/FAQ_Sammlung/15144.php3
Essentell ist hier der Eintrag accesslist in der FB Konfig !
Dort müssen alle lokalen IP Netze an der pfSense und am Cisco stehen:
accesslist =
"permit ip any 192.168.200.0 255.255.255.0",
"permit ip any 172.16.250.0 255.255.255.0";
"permit ip any 10.1.20.0 255.255.255.0";
usw. usw.
Was passiert denn wenn du von der FB Seite traceroutest auf ein Ziel auf der pfSense Seite am Cisco ?