10
Pfsense: IPsec erfolgreicher Verbindungsaufbau aber kein Ping oder dergleichen möglich
Hallo,
ich habe auf meiner PFsense (2.3.2) versucht IPsec nach dieser Anleitung einzurichten.
http://www.thegeekpub.com/5855/pfsense-road-warrior-ipsec-config-works/
Hintergrund ist, dass ich auf die Infrastruktur zugreifen will, aber auch über den VPN ins Netz will.
Jetzt ist es so, dass ich es bisher nur übers Handy testen konnte, dort wird die Verbindung auch scheinbar aufgebaut, was auch die Ansicht in der pfsense bestätigt (Status > IPsec => Overview.
Dem Client (Handy) wird auch eine entsprechende IP zugewiesen, ich erreiche allerdings keine Server innerhalb des Netzes, weder durch ein Ping noch durch Aufruf im Browser.
Hat hier vielleicht noch jemand eine Idee?
Es scheint nur eine Kleinigkeit zu fehlen.
Danke und Gruß
ich habe auf meiner PFsense (2.3.2) versucht IPsec nach dieser Anleitung einzurichten.
http://www.thegeekpub.com/5855/pfsense-road-warrior-ipsec-config-works/
Hintergrund ist, dass ich auf die Infrastruktur zugreifen will, aber auch über den VPN ins Netz will.
Jetzt ist es so, dass ich es bisher nur übers Handy testen konnte, dort wird die Verbindung auch scheinbar aufgebaut, was auch die Ansicht in der pfsense bestätigt (Status > IPsec => Overview.
Dem Client (Handy) wird auch eine entsprechende IP zugewiesen, ich erreiche allerdings keine Server innerhalb des Netzes, weder durch ein Ping noch durch Aufruf im Browser.
Hat hier vielleicht noch jemand eine Idee?
Es scheint nur eine Kleinigkeit zu fehlen.
Danke und Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324907
Url: https://administrator.de/contentid/324907
Ausgedruckt am: 19.11.2024 um 06:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
die IPSec Rules wären interessant
Gruß
die IPSec Rules wären interessant
Gruß
Danke, hab ich gerade ergänzt oben.
Temporär ist da ein allow all drin.
Temporär ist da ein allow all drin.
Hallo Uwe,
danke für den Hinweis, die Systeme dich ich hier versuche anzupingen kann ich aus dem lokalen Netz anpingen oder auch per http/https erreichen. Das ist hier nicht der Fall, obwohl die IPsec Regel es meiner Ansicht nach erlauben sollte.
Bei den Systemen die ich versucht habe handelt es sich um Ubuntu 16.04/14.04 Server bzw. die Firewall.
danke für den Hinweis, die Systeme dich ich hier versuche anzupingen kann ich aus dem lokalen Netz anpingen oder auch per http/https erreichen. Das ist hier nicht der Fall, obwohl die IPsec Regel es meiner Ansicht nach erlauben sollte.
Bei den Systemen die ich versucht habe handelt es sich um Ubuntu 16.04/14.04 Server bzw. die Firewall.
Hi,
der Fehler liegt in Phase 2 (network): 0.0.0.0/24.
CH
der Fehler liegt in Phase 2 (network): 0.0.0.0/24.
CH
Hi CH,
du hast Recht, wenn ich dort mein lan auswähle klappt es, allerdings erreiche ich dann nur die Maschinen im lan, kann aber nicht durch den VPN ins Internet, was mir wichtig ist.
In der Anleitung ist dies auch exakt so beschrieben, dass man so nur ins lan kommt, wenn man dort das lokale Netzwerk auswählt. Aus diesem Grund sollte dort 0.0.0.0 gesetzt werden.
Vielleicht noch jemand eine Idee, wie dieses Ziel noch zu erreichen ist?
du hast Recht, wenn ich dort mein lan auswähle klappt es, allerdings erreiche ich dann nur die Maschinen im lan, kann aber nicht durch den VPN ins Internet, was mir wichtig ist.
In der Anleitung ist dies auch exakt so beschrieben, dass man so nur ins lan kommt, wenn man dort das lokale Netzwerk auswählt. Aus diesem Grund sollte dort 0.0.0.0 gesetzt werden.
Vielleicht noch jemand eine Idee, wie dieses Ziel noch zu erreichen ist?
Zitat von @CarstenKl:
Hi CH,
du hast Recht, wenn ich dort mein lan auswähle klappt es, allerdings erreiche ich dann nur die Maschinen im lan, kann aber nicht durch den VPN ins Internet, was mir wichtig ist.
Hi CH,
du hast Recht, wenn ich dort mein lan auswähle klappt es, allerdings erreiche ich dann nur die Maschinen im lan, kann aber nicht durch den VPN ins Internet, was mir wichtig ist.
Dazu legst du das Default-Gateway des Clients auf den Tunnel.
Und wenn, muss dort 0.0.0.0/0 stehen keine 24er Maske! Oder stelle es auf None, das bewirkt das gleiche.
Stelle ebenfalls sicher das das VPN-Subnetz in der Firewall auf die WAN-Adresse der PFsense geNATet wird (SRC-NAT)! Firewall->NAT. Ohne das werden die VPN-Clients aus Prinzip nicht ins Internet kommen!
Gruß mik
Hi,
nimm mal 0.0.0.0/0 anstelle von 0.0.0.0/24
CH
nimm mal 0.0.0.0/0 anstelle von 0.0.0.0/24
CH
Das sieht jetzt soweit ganz gut (dank der Anpassung der Maske) aus, ich komme ins interne Netz und auch darüber wieder raus (Aufruf von Seiten über IP oder die im DNS-Cache des Handy's vorhanden sind).
Allerdings funktioniert die DNS-Auflösung leider noch nicht, der DNS-Server den ich konfiguriert habe existiert im LAN, laut IPsec FW-Regeln sollte er auch dort hinkommen (siehe oben). Unter DNS-Resolver stehen die Network Interfaces auf "All".
Testweise habe ich auch einen der Google-DNS Server ausprobiert, hier zeigte sich allerdings keine Besserung.
Hat hier vielleicht noch jemand eine Idee?
Vielleicht liegt auch hier das Problem, habe dies so nicht gefunden.
"Stelle ebenfalls sicher das das VPN-Subnetz in der Firewall auf die WAN-Adresse der PFsense geNATet wird (SRC-NAT)! Firewall->NAT. Ohne das werden die VPN-Clients aus Prinzip nicht ins Internet kommen!
"
Allerdings funktioniert die DNS-Auflösung leider noch nicht, der DNS-Server den ich konfiguriert habe existiert im LAN, laut IPsec FW-Regeln sollte er auch dort hinkommen (siehe oben). Unter DNS-Resolver stehen die Network Interfaces auf "All".
Testweise habe ich auch einen der Google-DNS Server ausprobiert, hier zeigte sich allerdings keine Besserung.
Hat hier vielleicht noch jemand eine Idee?
Vielleicht liegt auch hier das Problem, habe dies so nicht gefunden.
"Stelle ebenfalls sicher das das VPN-Subnetz in der Firewall auf die WAN-Adresse der PFsense geNATet wird (SRC-NAT)! Firewall->NAT. Ohne das werden die VPN-Clients aus Prinzip nicht ins Internet kommen!
"
ich habe auf meiner PFsense (2.3.2) versucht IPsec nach dieser Anleitung einzurichten.
Hier findest du auch noch eine:IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Bzw. für ein Client VPN mit der pfSense auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
