PfSense IPsec Unitymedia
Hallo,
Ich habe eine pfSense Installation auf einem PC Engines APU1D4 Board laufen.
Internetanbieter ist Unitymedia Business IPv4 (Feste IP)
Unter WAN habe ich diese IPv4 Adresse eingetragen und habe als Gateway die IPv4 Adresse der Fritz!Box 6360 angegeben.
Als Subnet habe ich 255.255.255.252 (30) eingetragen. (Wie Unitymedia mir schriftlich mitteilte)
Die Internetverbindung klappt, lokales Netz läuft auch sauber.
Nun habe ich IPsec VPN für den Mobile Zugriff aktiviert (Wie auch bei fast jeder xDSL PPPoE Installation)
daraufhin habe ich dann noch OpenVPN aktiviert.
Regeln in der Firewall angepasst und dann einen Test vom iPhone aus gestartet (Über das LTE Netz)
OpenVPN klappte sofort und ich bin sowohl im lokalen Netz und komme auch über die Verbindung ins Internet, perfekt.
Dann habe ich die IPsec auf dem iPhone eingerichtet, Verbindung steht, nur ich komme darüber weder auf die pfSense IP noch in ein anderes Netz.
Ich habe daraufhin alles überprüft, keinen Fehler entdeckt.
Ich habe dann die WAN mit einem DSL6000 Anschluss verbunden und die PPPoE Zugangsdaten eingetragen, siehe da IPsec klappt sofort und OpenVPN sowieso.
Kann mir jemand einen Tipp geben, warum es gerade mit dem Unitymedia-Anschluss solch ein Problem geben kann?
Ich habe eine pfSense Installation auf einem PC Engines APU1D4 Board laufen.
Internetanbieter ist Unitymedia Business IPv4 (Feste IP)
Unter WAN habe ich diese IPv4 Adresse eingetragen und habe als Gateway die IPv4 Adresse der Fritz!Box 6360 angegeben.
Als Subnet habe ich 255.255.255.252 (30) eingetragen. (Wie Unitymedia mir schriftlich mitteilte)
Die Internetverbindung klappt, lokales Netz läuft auch sauber.
Nun habe ich IPsec VPN für den Mobile Zugriff aktiviert (Wie auch bei fast jeder xDSL PPPoE Installation)
daraufhin habe ich dann noch OpenVPN aktiviert.
Regeln in der Firewall angepasst und dann einen Test vom iPhone aus gestartet (Über das LTE Netz)
OpenVPN klappte sofort und ich bin sowohl im lokalen Netz und komme auch über die Verbindung ins Internet, perfekt.
Dann habe ich die IPsec auf dem iPhone eingerichtet, Verbindung steht, nur ich komme darüber weder auf die pfSense IP noch in ein anderes Netz.
Ich habe daraufhin alles überprüft, keinen Fehler entdeckt.
Ich habe dann die WAN mit einem DSL6000 Anschluss verbunden und die PPPoE Zugangsdaten eingetragen, siehe da IPsec klappt sofort und OpenVPN sowieso.
Kann mir jemand einen Tipp geben, warum es gerade mit dem Unitymedia-Anschluss solch ein Problem geben kann?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284623
Url: https://administrator.de/forum/pfsense-ipsec-unitymedia-284623.html
Ausgedruckt am: 27.12.2024 um 16:12 Uhr
10 Kommentare
Neuester Kommentar
Unitymedia nutzt wie viele Kabel TV Provider DS-Lite. Sprich also ein IPv6 Netz mit zentralem Provider Tunneling der IPv4 Adressen und zentralem NAT beim Provider.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_.28DS-Lite.29
Damit scheitern dann sofort alle VPN Protokolle die immer ein statisches Port Forwarding erfordern um einen NAT Router zu überwinden.
Da das durch das zentralisierte NAT beim Provider dann nicht mehr möglich ist technsich, scheitern alle VPN Versuche an solchen Anschlüssen.
Ist ein bekanntes Problem !
Es gibt aber ein Workaround:
DS-Lite IPv6 Geräte im Heimnetz über VPN erreichbar machen
Oder eben feste statische IPv4 Adressen vom Provider, was aber in der Regel bei DS-Lite Providern immer kostenpflichtig ist sofern überhaupt möglich.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_.28DS-Lite.29
Damit scheitern dann sofort alle VPN Protokolle die immer ein statisches Port Forwarding erfordern um einen NAT Router zu überwinden.
Da das durch das zentralisierte NAT beim Provider dann nicht mehr möglich ist technsich, scheitern alle VPN Versuche an solchen Anschlüssen.
Ist ein bekanntes Problem !
Es gibt aber ein Workaround:
DS-Lite IPv6 Geräte im Heimnetz über VPN erreichbar machen
Oder eben feste statische IPv4 Adressen vom Provider, was aber in der Regel bei DS-Lite Providern immer kostenpflichtig ist sofern überhaupt möglich.
Dann ist ja alles gut ! Wo ist denn jetzt noch das Problem ?
Klar ist wenn an einem anderen Provider Anschluss IPsec fehlerlos funktioniert, das dein Provider dann zu 98% ESP filtert. Nicht unüblich bei Providern die das nur etwas teureren Business Anschlüssen vorbehalten.
Du kannst das ja auch ganz schnell verifizieren wenn du über die Packet Sniffer Funktion unter "Diagnostics" einmal ESP und oder UDP 500 und 4500 mittraced. Kommt das bei DSL an aber bei identischer Konfig bei Unitymedia nicht ist die Sache klar !
Möglich wäre auch noch das das vermeintliche Modem vor der pfSense beim KabelTV Anbieter kein Modem ist sondern ein NAT Router und du die IPsec Ports UDP 500, 4500 und das ESP protokoll dort noch explizit forwarden musst ?!
Da die pfSense ja kein Modem hat muss ja noch irgendwas "davor" sein zu dem du ja recht wenig Infos lieferst
Die o.a. FritzBox ist ja de facto KEIN reines Modem sondern ein vollständiger Router !! Ohne ein Port Forwarding von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die lokale IP Adresse des pfSense WAN Ports geht da dann gar nichts. Logisch, denn ohne PFW kann die NAT Firewall der FB nicht überwunden werden.
Guckst du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Klar ist wenn an einem anderen Provider Anschluss IPsec fehlerlos funktioniert, das dein Provider dann zu 98% ESP filtert. Nicht unüblich bei Providern die das nur etwas teureren Business Anschlüssen vorbehalten.
Du kannst das ja auch ganz schnell verifizieren wenn du über die Packet Sniffer Funktion unter "Diagnostics" einmal ESP und oder UDP 500 und 4500 mittraced. Kommt das bei DSL an aber bei identischer Konfig bei Unitymedia nicht ist die Sache klar !
Möglich wäre auch noch das das vermeintliche Modem vor der pfSense beim KabelTV Anbieter kein Modem ist sondern ein NAT Router und du die IPsec Ports UDP 500, 4500 und das ESP protokoll dort noch explizit forwarden musst ?!
Da die pfSense ja kein Modem hat muss ja noch irgendwas "davor" sein zu dem du ja recht wenig Infos lieferst
Die o.a. FritzBox ist ja de facto KEIN reines Modem sondern ein vollständiger Router !! Ohne ein Port Forwarding von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die lokale IP Adresse des pfSense WAN Ports geht da dann gar nichts. Logisch, denn ohne PFW kann die NAT Firewall der FB nicht überwunden werden.
Guckst du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Danke für die Links!
Das ist ja ein spannendes Thema und ich kann wohl von Glück reden, dass meine Unitymedia Kunden keine mobilen Apples hatten...
Kann jemand erklären, was der Hintergrund sein könnte, dass Unitymedia ALLE Pakete mit ECN Flag 0x3 ausstattet?
Soweit ich mich eben kurz eingelesen habe, sollte das standardmässig auf 0x0 stehen und nur bei Verstopfung ("congestion") vom jeweiligen Router auf 0x3 gesetzt werden um zeitaufwendigere retransmits zu vermeiden (?)
Alles war mir einfällt, wäre ein Trick seitens Unitymedia um bei hohen Latenzzeiten schnellere Verbindungen zu bekommen, da ECM die Retransmits vermeiden kann.
@aqui: Du bist doch da der Fachmann.
Das Problem besteht seit min. 2008!
Das Problem wird sich wohl nur lösen lassen, wenn einer von beiden sich bewegt. Entweder impementiert UM das Protokoll wie vorgesehen (aber hallo!) oder Apple bietet die Möglichkeit das zu ignorieren.
Ich befürchte, dass alle IPSEC-VPN Verbindungen mit Unitymedia nur funktionieren, weil beide Endpunkte die nicht vorhandene aber grunsätzlich gesetzte Verstopfung des Unitymedia Netzes ignorieren.
Da das ein Businessanschluss ist, würde ich versuchen, Kontakt zum zuständigen Regionalbetreuer von UM aufzunehmen, da das deine einzige Verbindung nach "weiter oben" ist. Die wollen sehr gerne die Business-Kunden aber ich befürchte, dass deren Netz zusammenbricht, wenn die das Flag nicht mehr setzen. Aber wer weiss. Evtl. gibt es eine Info ob und wie daran gearbeitet wird.
Ich habe in der Richtung noch nie etwas unternommen, könnte mir aber auch vorstellen, dass die Bundesnetzagentur ein Interesse daran hat, dass Protokolle von den ISP's halbwegs standardkonform eingesetzt werden... Das scheint hier nicht der Fall zu sein.
Ansonsten: Mein ehrliches herzliches Beileid, Da macht der Job so richtig Spass. (siehe mein ewiges "VPN-mit der-Fritzbox-Leid" bei KD)
Buc
Das ist ja ein spannendes Thema und ich kann wohl von Glück reden, dass meine Unitymedia Kunden keine mobilen Apples hatten...
Kann jemand erklären, was der Hintergrund sein könnte, dass Unitymedia ALLE Pakete mit ECN Flag 0x3 ausstattet?
Soweit ich mich eben kurz eingelesen habe, sollte das standardmässig auf 0x0 stehen und nur bei Verstopfung ("congestion") vom jeweiligen Router auf 0x3 gesetzt werden um zeitaufwendigere retransmits zu vermeiden (?)
Alles war mir einfällt, wäre ein Trick seitens Unitymedia um bei hohen Latenzzeiten schnellere Verbindungen zu bekommen, da ECM die Retransmits vermeiden kann.
@aqui: Du bist doch da der Fachmann.
Das Problem besteht seit min. 2008!
Das Problem wird sich wohl nur lösen lassen, wenn einer von beiden sich bewegt. Entweder impementiert UM das Protokoll wie vorgesehen (aber hallo!) oder Apple bietet die Möglichkeit das zu ignorieren.
Ich befürchte, dass alle IPSEC-VPN Verbindungen mit Unitymedia nur funktionieren, weil beide Endpunkte die nicht vorhandene aber grunsätzlich gesetzte Verstopfung des Unitymedia Netzes ignorieren.
Da das ein Businessanschluss ist, würde ich versuchen, Kontakt zum zuständigen Regionalbetreuer von UM aufzunehmen, da das deine einzige Verbindung nach "weiter oben" ist. Die wollen sehr gerne die Business-Kunden aber ich befürchte, dass deren Netz zusammenbricht, wenn die das Flag nicht mehr setzen. Aber wer weiss. Evtl. gibt es eine Info ob und wie daran gearbeitet wird.
Ich habe in der Richtung noch nie etwas unternommen, könnte mir aber auch vorstellen, dass die Bundesnetzagentur ein Interesse daran hat, dass Protokolle von den ISP's halbwegs standardkonform eingesetzt werden... Das scheint hier nicht der Fall zu sein.
Ansonsten: Mein ehrliches herzliches Beileid, Da macht der Job so richtig Spass. (siehe mein ewiges "VPN-mit der-Fritzbox-Leid" bei KD)
Buc
Warum Unitymedia das macht weis wohl nur der Wind. Völlig unsinnig ist es ja ECN auf 0x03 zu setzen was ja eine de facto Congestion signalisiert auch wenn keine vorhanden ist. Sinniger wäre da 01 oder 02 so das es negotatable ist.
Ist so oder so sinnfrei da keiner das wirklich ausnutzt im Endkundebereich. Dort hätte man es auf alle Fälle wieder löschen sollen.
Na ja egal..wird man wohl nie erfahren was die geritten hat.
Aber das Apple iOS (und auch andere wie Cisco) da dann auch mit einem Forwarding Stop antwortet ist verwunderlich.
Na ja bleibt wohl für gebeutelete Unitymedia Kunden nur warten...oder den provider wechseln um das final zu lösen
Ist so oder so sinnfrei da keiner das wirklich ausnutzt im Endkundebereich. Dort hätte man es auf alle Fälle wieder löschen sollen.
Na ja egal..wird man wohl nie erfahren was die geritten hat.
Aber das Apple iOS (und auch andere wie Cisco) da dann auch mit einem Forwarding Stop antwortet ist verwunderlich.
Na ja bleibt wohl für gebeutelete Unitymedia Kunden nur warten...oder den provider wechseln um das final zu lösen