4
PFSENSE IPSEC mobile Client kann nicht in anderen VPN-Tunnel routen
Hallo,
ich habe folgendes Problem auf meiner Pfsense 2.4.5.:
LAN Network: 192.168.200.0/24
IPSEC-Tunnel: 192.168.132.0/28
IPSEC-Mobile-Client: 192.168.222.1
Alles habe ich soweit konfiguriert und funktioniert, ich erreiche alle Clients mit aktiver VPN-Verbindung im LAN-Network.
ich kann aber leider nicht das Netzwerk im hinter dem 2. VPN-Tunnel 192.168.132.10/28 erreichen.
Ich finde auch keine Firewall-Logs dazu.
Es wirkt als kämen die Pakete erst gar nicht dort an.
Ich hoffe mir kann hier jemand weiterhelfen. Danke schon mal im Voraus
Firewall-Setting:
IPSEC Phase 2 vom Tunnel zu 192.168.132.0/28:
IPSEC Phase 2 Mobile Client:
IPSEC-Status:
Routing mit aktivem Wiondows VPN-Client:
ich habe folgendes Problem auf meiner Pfsense 2.4.5.:
LAN Network: 192.168.200.0/24
IPSEC-Tunnel: 192.168.132.0/28
IPSEC-Mobile-Client: 192.168.222.1
Alles habe ich soweit konfiguriert und funktioniert, ich erreiche alle Clients mit aktiver VPN-Verbindung im LAN-Network.
ich kann aber leider nicht das Netzwerk im hinter dem 2. VPN-Tunnel 192.168.132.10/28 erreichen.
Ich finde auch keine Firewall-Logs dazu.
Es wirkt als kämen die Pakete erst gar nicht dort an.
Ich hoffe mir kann hier jemand weiterhelfen. Danke schon mal im Voraus
Firewall-Setting:
IPSEC Phase 2 vom Tunnel zu 192.168.132.0/28:
IPSEC Phase 2 Mobile Client:
IPSEC-Status:
Routing mit aktivem Wiondows VPN-Client:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618693
Url: https://administrator.de/contentid/618693
Printed on: April 27, 2024 at 00:04 o'clock
4 Comments
Latest comment
Die einfachste Lösung ist den VPN Client in den Gateway Redirect Mode zu setzen, sprich sämtlichen Client Traffic in den Tunnel zu routen bei aktivem VPN.
Damit erreichst du dann immer generell ALLE Netzwerke auf der remoten Seite.
Willst du das nicht und nur die dedizierten VPN Netze in den Tunnel routen musst du dem Client auch für das 2te netz natürlich eine Pahse 2 und eine Route konfigurieren.
Wie du ja oben selber sehen kannst fehlt deine Tunnel Route auf dem VPN Client ins .132.0er Subnetz ! Damit geht Traffic dahin ins Nirwana.
Alternativ könntest du auch einen erweiterten Prefix (Subnetzmaske) im Phase 2 verwenden die beide lokalen Netze an den Client propagiert. Ein /19er Subnetz (255.255.224.0) würde das bewerkstelligen was dann alle IP Netze von 192.168.192.1 bis 192.168.223.254 inkludiert.
Daszu müsste man aber etwas geschickt und effizient subnetten im VPN.
Das hiesige IPsec VPN Tutorial erklärt dir beide Optionen das zu fixen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Damit erreichst du dann immer generell ALLE Netzwerke auf der remoten Seite.
Willst du das nicht und nur die dedizierten VPN Netze in den Tunnel routen musst du dem Client auch für das 2te netz natürlich eine Pahse 2 und eine Route konfigurieren.
Wie du ja oben selber sehen kannst fehlt deine Tunnel Route auf dem VPN Client ins .132.0er Subnetz ! Damit geht Traffic dahin ins Nirwana.
Alternativ könntest du auch einen erweiterten Prefix (Subnetzmaske) im Phase 2 verwenden die beide lokalen Netze an den Client propagiert. Ein /19er Subnetz (255.255.224.0) würde das bewerkstelligen was dann alle IP Netze von 192.168.192.1 bis 192.168.223.254 inkludiert.
Daszu müsste man aber etwas geschickt und effizient subnetten im VPN.
Das hiesige IPsec VPN Tutorial erklärt dir beide Optionen das zu fixen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hallo aqui,
vielen Dank für deine Antwort.
die variante im Client 0.0.0.0 als Route zu verwenden, um den gesamten Netzwerktraffic ins VPN-Interface zu routen habe ich bereits erfolglos probiert.
Die Phase 2 in der Ist-Konfiguration hat ja bereits den Eintrag 192.168.0.0/16, somit werden alle Netzte 192.168.1.0 - 192.168.254.254 in den Tunnel geroutet.
Die Route oben schickt den gesamten traffic 192.168.0.0 an das VPN-Interface 192.168.222.1.
Den Tutorial auf dem Link bin ich bereits gefolgt, das löst das Problem leider nicht.
vielen Dank für deine Antwort.
die variante im Client 0.0.0.0 als Route zu verwenden, um den gesamten Netzwerktraffic ins VPN-Interface zu routen habe ich bereits erfolglos probiert.
Die Phase 2 in der Ist-Konfiguration hat ja bereits den Eintrag 192.168.0.0/16, somit werden alle Netzte 192.168.1.0 - 192.168.254.254 in den Tunnel geroutet.
Die Route oben schickt den gesamten traffic 192.168.0.0 an das VPN-Interface 192.168.222.1.
Den Tutorial auf dem Link bin ich bereits gefolgt, das löst das Problem leider nicht.
Hallo,
ich habe irgendwo gelesen dass ich NAT nutzen muss um das zu lösen.
Weiß jemand wie das für einen IPSEC Tunnel zu konfigurieren ist?
LG
ich habe irgendwo gelesen dass ich NAT nutzen muss um das zu lösen.
Weiß jemand wie das für einen IPSEC Tunnel zu konfigurieren ist?
LG
um den gesamten Netzwerktraffic ins VPN-Interface zu routen habe ich bereits erfolglos probiert.
Muss natürlich auch am Client aktiviert sein (Powershell) !somit werden alle Netzte 192.168.1.0 - 192.168.254.254 in den Tunnel geroutet.
Nein, nicht ganz !Korrekt wäre die Range: 192.168.0.0 bis 192.168.255.0 !
Die Route oben schickt den gesamten traffic 192.168.0.0 an das VPN-Interface 192.168.222.1.
Eine statische Route benötigt man gar nicht, denn die Route Credentials werden immer in der Phase 2 dynamisch übertragen wenn man den Haken an richtiger Stelle setzt:
ich habe irgendwo gelesen dass ich NAT nutzen muss um das zu lösen.
Das ist Unsinn, denn was sollte NAT lösen ?? Im Gegenteil: Es verschlimmert das alles nur, weil du dann durch die NAT Firewall im VPN nicht mehr transparent routen kannst. NAT im VPN Tunnel ist wie immer ein absolutes NoGo.Mach einfach einen Redirect und route ALLES vom Client in den Tunnel. Das löst dein Problem in 2 Minuten am elegantesten !
Add-VpnConnectionRoute -ConnectionName "pfSense" -DestinationPrefix 192.168.0.0/16 -PassThru
Oder setze den Haken für die dynamische Übertragung an die Clients oben.
Ein Testaufbau mit deinen Credentials und entsprechenden Settings funktioniert hier absolut fehlerlos !