5
PfSense 2.2.2 - Lockout nach Aufbau des VPN-Tunnels (seit Upgrade von v2.1.5)
Hallo allerseits,
Seit dem Update einer pfSense auf v2.2.x habe ich das Problem, dass sobald der IPSec-VPN-Tunnel aufgebaut wurde, per Web-Interface nicht mehr auf die pfSense zugegriffen werden kann. Das Downgrade (booten mit v2.1.5er Image) funktioniert dann wieder.
Ich baue zwei Tunnel zu einer Gegenstelle auf, einen in ein 172.29.10.0/24er Netz, einen in ein 192.168.0.0/16er Netz.
IPSec phase1: Verbindung zur Gegenstelle (enthält zwei IPSec phase2-Einträge)
IPSec phase2: Tunnel zu 172.29.10.0/24
IPSec phase2: Tunnel zu 192.168.0.0/16
Die pfSense selbst ist im 192.168.200.0/24er Netz.
Jetzt habe ich irgendwo gelesen, dass mit der neuen IPSec-Lösung (StrongSwan) auf der pfSense, Fehler im korrekten Tunnelaufbau "bestraft" werden. So darf der Tunnel wohl nicht in das eigene Netz gehen - was hier ja aber der Fall wäre (das 192.168.200.0/24er Netz fällt ja in das 192.168.0.0/16er Netz mit rein). Ist diese Aussage so korrekt?
Auf einer komplett neu aufgesetzten pfSense wird wiederum immer nur ein Tunnel in obiger Konfiguration aufgebaut. Nach obiger Konfiguration der ins 172.29.10.0/24er Netz (vorher stand der 192.168.0.0/16er Eintrag oben, da wurde nur dieser Tunnel aufgebaut, anfangs sogar ohne dass ich ausgesperrt wurde).
Hat jemand eine Idee, wie ich das Tunnel-Problem in den Griff bekomme?
Vielen Dank schon mal.
Achja, die pfSense laufen auf ALIX-Boards - falls das von Belang sein sollte.
VG mhard666
Seit dem Update einer pfSense auf v2.2.x habe ich das Problem, dass sobald der IPSec-VPN-Tunnel aufgebaut wurde, per Web-Interface nicht mehr auf die pfSense zugegriffen werden kann. Das Downgrade (booten mit v2.1.5er Image) funktioniert dann wieder.
Ich baue zwei Tunnel zu einer Gegenstelle auf, einen in ein 172.29.10.0/24er Netz, einen in ein 192.168.0.0/16er Netz.
IPSec phase1: Verbindung zur Gegenstelle (enthält zwei IPSec phase2-Einträge)
IPSec phase2: Tunnel zu 172.29.10.0/24
IPSec phase2: Tunnel zu 192.168.0.0/16
Die pfSense selbst ist im 192.168.200.0/24er Netz.
Jetzt habe ich irgendwo gelesen, dass mit der neuen IPSec-Lösung (StrongSwan) auf der pfSense, Fehler im korrekten Tunnelaufbau "bestraft" werden. So darf der Tunnel wohl nicht in das eigene Netz gehen - was hier ja aber der Fall wäre (das 192.168.200.0/24er Netz fällt ja in das 192.168.0.0/16er Netz mit rein). Ist diese Aussage so korrekt?
Auf einer komplett neu aufgesetzten pfSense wird wiederum immer nur ein Tunnel in obiger Konfiguration aufgebaut. Nach obiger Konfiguration der ins 172.29.10.0/24er Netz (vorher stand der 192.168.0.0/16er Eintrag oben, da wurde nur dieser Tunnel aufgebaut, anfangs sogar ohne dass ich ausgesperrt wurde).
Hat jemand eine Idee, wie ich das Tunnel-Problem in den Griff bekomme?
Vielen Dank schon mal.
Achja, die pfSense laufen auf ALIX-Boards - falls das von Belang sein sollte.
VG mhard666
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270011
Url: https://administrator.de/contentid/270011
Printed on: April 25, 2024 at 14:04 o'clock
5 Comments
Latest comment
So darf der Tunnel wohl nicht in das eigene Netz gehen -
Das ist doch aber so oder so klar und eine absolute NoGo Regel in einem VPN Umfeld das die IP Netze dort immer einzigartig sein müssen ?IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Niemals dürfen sich also Netze bzw. ihre Masken überschneiden in so einem Szenario.
das 192.168.200.0/24er Netz fällt ja in das 192.168.0.0/16er Netz mit rein). Ist diese Aussage so korrekt?
Ja, das ist tödlich und ein generelles NoGo im IP Adressdesign ! Auch ganz unabhängig vom VPN.Ist aber auch klar und sagt einem schon der gesunde menschenverstand, denn WIE bitte soll in solch einem Netz dann noch eine eindeutige Wegefindung möglich sein ???
Klassischer Fehler eines Masken Mismatch Errors !
Die FW kann ja niemals mehr solche Pakete routen.... Das ist ein allgemeines Probelm bei dir das aus dem gravierenden IP Adress design Fehler resultiert ! Siehe Design Hinweis oben !
Solange du diesen gravierenden IP Adress Fehler nicht beseitigst wird das nie was. Das ist aber ja einfachste Grundlagen IP Routing und sollte man als Netzwerker eigentlich wissen
Ordne deine IP Adressierung und dann wird alles gut !
Hallo aqui,
besten Dank. Hat funktioniert. Die ursprüngliche Einrichtung hat peinlicherweise ein Systemhaus vorgenommen und diese wurde noch peinlicherweiser vom nächsten SH übernommen... Naja, da hab ich ja jetzt gut zu tun, das zu richten.
VG mhard666.
PS: In der IPSec Phase1 musste ich die Key Exchange version von Auto auf V1 stellen. Bei Auto wird V2 verwendet. Mit V2 werden die Tunnel zwischen unserer Sophos UTM und der pfSense sporadisch nicht aufgebaut oder es gibt Probleme mit dem Tunnel (ein Netz wurde z.B. nicht korrekt geroutet). Auf V1 umgestellt, seit dem läuft die Kiste genauso wie bisher unsere PFS v2.1.5er.
besten Dank. Hat funktioniert. Die ursprüngliche Einrichtung hat peinlicherweise ein Systemhaus vorgenommen und diese wurde noch peinlicherweiser
vom nächsten SH übernommen... Naja, da hab ich ja jetzt gut zu tun, das zu richten.VG mhard666.
PS: In der IPSec Phase1 musste ich die Key Exchange version von Auto auf V1 stellen. Bei Auto wird V2 verwendet. Mit V2 werden die Tunnel zwischen unserer Sophos UTM und der pfSense sporadisch nicht aufgebaut oder es gibt Probleme mit dem Tunnel (ein Netz wurde z.B. nicht korrekt geroutet). Auf V1 umgestellt, seit dem läuft die Kiste genauso wie bisher unsere PFS v2.1.5er.
hat peinlicherweise ein Systemhaus vorgenommen
Oha, oha... von denen hast du dich dann wohl hoffentlich ganz schnell getrennt. Das ist ja geschäftsschädigend was die da verbrochen haben !Naja, da hab ich ja jetzt gut zu tun, das zu richten
Behalten den größeren Teil bei. Checke ob du ggf. etwas mit der Maske "spielen" kannst, will sagen nimm auch krumme Masken wenn dir das das Segmentieren vereinfacht und die die Adressen nicht völlig wild im /16er Kontingent verteilt hast.Damit kann man schon viel erreichen ohne das es aufwendig wird !
Am einzelnen Router ist das kein Problem, nur sind es insgesamt gut 20 Router die umgestellt werden müssen. Erfreulicherweise ist in den meisten Fällen auch nur ein Tunnel in das 192.168.200.0/24er Netz erforderlich. Lediglich drei Kisten (192.168.1.0/24, 192.168.2.0/24 und 192.168.3.0/24er Netz) müssen jeweils untereinander in die Netze kommen. Also die .1 nach .2, .3 und .200; die .2 nach .1, .3 und .200; die .3 nach .1, .2 und .200. Sehe ich aber jetzt nicht als Problem...
Danke nochmal.
Gruß mhard666.
Danke nochmal.
Gruß mhard666.
192.168.1.0/24, 192.168.2.0/24 und 192.168.3.0/24er Netz
Sehr sinnvolle IP Adressen in einem VPN Verbund !IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Die Umstellung ist auch nicht das Problem eher sinnvoll...
