12ha34
Goto Top

PfSense 2.2 LT2P IPSec Verbindung wird aufgebaut aber kein Zugriff auf das lokale Netz möglich

Hallo,

ich möchte mein Netzwerk umbauen und anstelle des jetzigen DSL Routers eine pfSense einsetzten, wie es aqui hier
(Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät) im Forum beschrieben hat.Ich habe mir eine kleine Testumgebung aufgebaut siehe Bild und auch einiges testen können. Aus dem LAN habe ich über die pfSense Zugriff auf WAN und Internet. FW-Regel greifen und ich kann vieles so einstellen wie ich es mir vorstelle.

8d823d85f6a531f7d7ffc67cbd3e52c8

Die pfSense ist so konfiguriert
(LAN IP Adressbereiche hinter der pfSense sind für VPN noch nicht optimal und werden produktiv geändert!):
WAN: 192.168.2.38 DHCP
LAN: 192.168.0.10 Static

PC im LAN 192.168.0.10

Zugriff soll über einen PC erfolgen der im "WAN" mit der IP 192.168.2.43 steh und L2TP/IPSec benutzt. Ich möchte später von außen auf das lokale Netz zugreifen oder auch via VPN Tunnel über das interne LAN - Interface (hier 192.168.0.1) die pfSense konfigurieren. Ich habe die L2TP / IPSec Verbindung laut dieser Anleitung konfiguriert https://doc.pfsense.org/index.php/L2TP/IPsec#Outbound_NAT

Die Verbindung stelle ich mit WIN7 Boardmitteln her. Die Einwahl klappt und ich sehe auch in der pfSense das die IPSec Verbindung steht. Ein Zugriff auf das interne Netz oder auf die webConfig der pfSense über das LAN-Interface ist nicht möglich. Ich vermute das noch irgendeine Regel fehlt oder ich noch irgendwelche Routen eintragen muss? Weiß aber hier nicht so recht weiter und brauche an dieser Stelle Eure Hilfe.

folgende Settings habe ich gemacht
pfSens Settings
L2TP:
168f70f54c50e7f0ef76bc2f9815f30b

Ich habe hier auch schon getestet ob man als Remote Adress Range das lokale Subnetz al la 192.168.0.128/25 funktioniert. Einen Ping auf den LAN IP der pfSense habe ich bekommen aber kein Zugriff auf das webInterface. Bin mir an der Stelle auch unsicher ob man das überhaupt so machen darf/muss.

Phase1:
131a0ebee4539e6aa9d46979cddbfc0d

Phase2:
6f34c14e1539e7c0c8e5bbf393d4c4ef

MobilClient (Verbindung von WIN7 funktioniert):
23f9fc710733aa56489e6a6ae447d7ae

Folgende Einstellung habe ich aus lauter Verzweiflung noch getestet die aber keine Verbindung zulässt:
86df9fe52fe0efc78edf13d15ff77a68

Ich hoffe ihr könnt mir helfen und ich habe mich einigermaßen verständlich Ausgedrückt und keine Verwirrung gestiftet.

Grüße

Content-ID: 264505

Url: https://administrator.de/forum/pfsense-2-2-lt2p-ipsec-verbindung-wird-aufgebaut-aber-kein-zugriff-auf-das-lokale-netz-moeglich-264505.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

orcape
orcape 26.02.2015 um 08:41:16 Uhr
Goto Top
Hi,
Ich vermute das noch irgendeine Regel fehlt
Dem wird wohl so sein..face-wink
Hast Du denn für das WAN-Interface und das IPSec-Interface entsprechende Rules erstellt, die einen Zugriff ins LAN erlauben ?
Dann lies Dir das mal durch.....
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
...unter der Rubrik...
Anpassen der pfSense Firewall Regeln f. VPN und spez. Client Parameter
...findest Du, was Du suchst.
Gruß orcape
12ha34
12ha34 26.02.2015 um 19:25:38 Uhr
Goto Top
Hi,
danke für die Antwort. Die Firewallrules hatte ich bereits gesetzt. Die Verbindung kommt ja zustande aber eben kein Zugriff auf das 192.168.0.0/24 Netz. Wenn ich per L2TP/IPSEC verbunden bin kann ich die pfsense auf der VPN Remote Server IP pingen und erhalte eine Antwort von 192.168.195.1. Der VPN Adapter in Win7 erhält auch aus diesem Netz eine IP (192.168.195.128), also die erste aus dem festgelegten Bereich. Nur geht es eben nicht weiter ins andere lokale Netzt, daher meine Vermutung das ich irgendwo eine NAT Regel oder eine Gateway Eintrag vergessen habe.
Ich hab unten noch Bilder mit den Firewallrules WAN, IPSEC und L2TP angehangen.

Danke und Grüße

WAN Rules
0c1d6602d5662e0120d577729f99397d

L2TP Rules
505a46847110f4ddbfcf66d00a534aa7

IPSEC Rules
886a864d9a4b9208c49aebaeef75d29d

IPSEC Staus nach Verbindungsaufbau
d9bdb3e7a061cdb1edb2b5ee219a04fe
aqui
aqui 26.02.2015 um 21:26:59 Uhr
Goto Top
UDP 1701 fehlt bei dir in den L2TP Ports !
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Hier noch ein paar Tips
https://blog.andregasser.net/how-to-configure-ipsec-vpn-on-pfsense-for-u ...
Du solltest aber auch das lesen:
https://redmine.pfsense.org/issues/475
Alle Versionen vor der 2.2 konnten KEIN MS spezifisches L2TP sondern nur das was rein auf ESP basiert und mit den meisten Smartphones und Linux funktionierte aber nicht mit den onboard Windows Clients.
Das mag sich ab 2.2 geändert haben und müsstest du mal sicher recherchieren.
12ha34
12ha34 26.02.2015 um 21:37:22 Uhr
Goto Top
Hi aqui,

Danke, werde die entsprechende Regel für den Port noch dazutun und testen. Beim recherchieren bin ich auch im pfsense Wiki unterwegs gewesen, aber auch da wird von dem Problem gesprochen, Aufbau ja aber kein Zugriff auf das lokale Netz auch mit der Version 2.2.
Wenn die Portregel auch nicht fruchtet steige ich auf openVPN um.

Grüße
aqui
aqui 26.02.2015 um 23:00:54 Uhr
Goto Top
Ist eh der bessere Weg, da ein SSL basierendes VPN face-wink
Alternative wäre noch IPsec mit dem Shrew Client aber OpenVPN ist da einfacher zu managene.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
12ha34
12ha34 26.02.2015 aktualisiert um 23:08:33 Uhr
Goto Top
Eintrag von Port 1701 brachte für mein Problem auch nichts. OpenVPN ging hingegen dem Wizard und dem Package "OpenVPN Client Export" auf Anhieb, ein Zugriff von Windows und Android auf das Webinterfase via VPN klappte ohne Probleme.

Mal sehen wie viel Lust ich noch zu weiteren Tests habe.


Grüße und Danke

@aqui, Deine Antwort hat sich gerade überschnitten, Shrew Soft Client hatte ich schon installiert aber noch nicht konfiguriert. Ich werde mir auf jeden Fall den Link noch einmal zu Gemüte führen. Mal sehen wann ich dazu komme, am WE kommt die Hardware (APU Board) zu pfsense face-wink

Also Danke noch mal
aqui
aqui 26.02.2015 um 23:08:55 Uhr
Goto Top
Bleib bei OVPN...ist das einfachste.
12ha34
12ha34 26.02.2015 um 23:21:46 Uhr
Goto Top
Mache ich... Danke!
michi1983
michi1983 06.03.2015 aktualisiert um 13:34:43 Uhr
Goto Top
Hallo @12ha34,

bist du dir 100% sicher, dass du eine Verbindung mit diesen Einstellungen herstellen kannst?
Also findet ein l2tp Login statt?

Ich versuche seit tagen eine Verbindung mit IPSec/L2TP auf der PfSense mit was auch immer (OSx, Android, Windows 8.1) her zu bekommen, aber nichts funktioniert.

Die IPSec Verbindung findet zwar statt (laut ipsec log auf der pfsense.) Aber wenn ich die mit dem Beispiellog von der pfsense Seite hier vergleiche, wird das L2TP Interface einfach nicht aktiviert.

charon: 12[NET] received packet: from 77.119.133.116[25361] to 212.108.44.53[4500] (348 bytes)
charon: 12[ENC] parsed QUICK_MODE request 3030104493 [ HASH SA No ID ID ]
charon: 12[IKE] <con1|2> received 28800s lifetime, configured 3600s
charon: 12[IKE] received 28800s lifetime, configured 3600s
charon: 12[ENC] generating QUICK_MODE response 3030104493 [ HASH SA No ID ID NAT-OA NAT-OA ]
charon: 12[NET] sending packet: from 212.108.44.53[4500] to 77.119.133.116[25361] (204 bytes)
charon: 12[NET] received packet: from 77.119.133.116[25361] to 212.108.44.53[4500] (76 bytes)
charon: 12[ENC] parsed QUICK_MODE request 3030104493 [ HASH ]
charon: 12[IKE] <con1|2> CHILD_SA con1{1} established with SPIs c54db5d1_i 01bf6250_o and TS 212.108.44.53/32|/0[udp/l2f] === 77.119.133.116/32|/0[udp]
charon: 12[IKE] CHILD_SA con1{1} established with SPIs c54db5d1_i 01bf6250_o and TS 212.108.44.53/32|/0[udp/l2f] === 77.119.133.116/32|/0[udp]

aber die Logs auf vpn Seite -> l2tp raw bleiben bei

l2tps: Label 'startup' not found  
l2tps: [l2tp0] using interface l2tp0
l2tps: [l2tp1] using interface l2tp1
l2tps: [l2tp2] using interface l2tp2
l2tps: [l2tp3] using interface l2tp3
l2tps: [l2tp4] using interface l2tp4
l2tps: [l2tp5] using interface l2tp5
l2tps: L2TP: waiting for connection on 0.0.0.0 1701

stehen und die Verbindung wird nicht zu Ende aufgebaut.

Ich habe OpenVPN bereits zum laufen gebracht aber hätte aus komfortechnischen (Onboard Mittel) Gründen gerne eine IPSec/L2TP Verbindung zum laufen gebracht.

Was mich auch irritiert ist, dass ich es bei einem Ubuntu 14.04 Server bereits am laufen habe, da war das auch kein Problem.
Ich kenne mich leider mit der Materie zu wenig aus um rausfinden zu können an welchem Punkt genau die Verbindung scheitert.

Beste Grüße
aqui
aqui 06.03.2015 um 19:00:33 Uhr
Goto Top
her zu bekommen, aber nichts funktioniert.
Bis zur Version 2.1 war das auch klar und erwartbar, da pfSense nur RAW L2TP supportet nicht aber die Variante mit IPsec und ESP !
https://redmine.pfsense.org/issues/475
Ob das nun wirklich in der aktuellen 2.2 möglich ist die kein racoon mehr verwendet ist aus den pfSense Dokus nicht ganz klar....jedenfalls hab ich nix eindeutiges dazu gefunden ?!
Vielleicht mal eine Forumsfrage dort wert ?!
orcape
orcape 06.03.2015 um 19:25:08 Uhr
Goto Top
Ich habe OpenVPN bereits zum laufen gebracht aber hätte aus komfortechnischen (Onboard Mittel) Gründen gerne eine
IPSec/L2TP Verbindung zum laufen gebracht.
...OpenVPN ist absolut kein Thema.
Bei IPSec/L2TP scheint es nach dem Upgrade auf 2.2 massiv Probleme zu geben, was auch einigen Threads im pfSense -Forum zu entnehmen ist.