philippe27
Goto Top

PfSense IPsec VPN Routing

Hallo zusammen

Benötige eure Hilfe.

Gegeben:

Standort A
pfSense
LAN 172.16.200.0/24
VPN nach Standort B 192.168.5.0/24
VPN nach Standort C 192.168.52.0/24

Standort B
Fortigate
LAN 192.168.5.0/24
VPN nach Standort A

Zusätzliche LAN:
LAN2 172.20.10.0/24
LAN3 172.20.100.0/24

Standort C
Fortigate
LAN 192.168.52.0/24
VPN nach Standort A
Standort C ist nebensächlich!

Vom Standort A komme ich auf das Netz 192.168.5.0/24 des Standort B.

Wie kann ich aber auf die Netze LAN2 und LAN3 von A nach B kommen?

Möglichkeit 1:
Zusätzliche Phase 2 VPN mit Subnet LAN2 und LAN3 einrichten.
Ist etwas schwierig da die Fortigate nicht von mir gemanagt wird.

Möglichkeit 2:
Statisches Routing:
Alles was nach 172.20.10.0/24 soll, muss via VPN "A zu B"
Doch wie einrichten?


Besten Dank für eure Hilfe.
zeichnung1

Content-ID: 388238

Url: https://administrator.de/forum/pfsense-ipsec-vpn-routing-388238.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

Philippe27
Philippe27 01.10.2018 um 19:11:22 Uhr
Goto Top
pfSense IPsec VPN:
phase 2
ChriBo
ChriBo 01.10.2018 um 19:13:28 Uhr
Goto Top
Hi,
geht nur über zusätzliche Phase 2 Einträge.

CH
Philippe27
Philippe27 01.10.2018 um 19:19:57 Uhr
Goto Top
Danke, aber gibt es ernsthaft keine Möglichkeit via Routing?
ChriBo
Lösung ChriBo 01.10.2018 um 20:17:00 Uhr
Goto Top
Überleg doch mal wie IPsec VPN funktioniert.
ganz grob:
Phase 1 = sichere Verbindung zwischen zwei Endpunkten (= Tunnel).
Phase 2 = Definition der durch den Tunnel zu verbindenden Netze ( = Routing).
Egal was du machst, du mußt alle zu verbindenden Netze in Phase 2 Einträgen haben.
-
Eine komplizierte Möglichkeit wäre einen Tunnel durch den Tunnel zu erstellen.
Dann benötigst du keine Phase 2 Einträge für 172.20.10.0/24 und 172.20.100.0/24, aber ggf. eine Menge an Routeneinträge auf alle beteiligten Geräten.
Was spricht gegen die zusätzlichen Phase 2 Einträge auf der Fortigate, ist ein simples Copy und Paste; die vorhandenen Parameter für Phase1 und 2 passen ja schon, so sollte es ein Task von wenige Minuten sein.

CH
Spirit-of-Eli
Spirit-of-Eli 01.10.2018 aktualisiert um 22:36:52 Uhr
Goto Top
Zitat von @ChriBo:

Hi,
geht nur über zusätzliche Phase 2 Einträge.

CH

Moin,

das stimmt so nicht mehr.
Die Sense kann mit Version 2.4.4 Policy Based Routing über ein VTI Interface auf beiden Seiten.
Das bedeutet, dass ein Träger Netz auf der IPSec Strecke genutzt wird und man über statische Routen auf das jeweils andere GW auf die dahinter liegenden Subnetze zugreifen kann.

Steuern lässt sich der Traffic zudem dann auf dem IPSec Tab der Rules.

Dies funktioniert auch sehr gut, bis auf den Punkt wenn der WAN outbreak auf der Gegenseite für bestimmten Traffic nach Extern genutzt werden soll. Hier wird noch nachgebessert da es Probleme mit dem NAT gibt obwohl die passenden Outbound Rules durch die Statischen Routen angelegt werden.

Dies ist alles genau so in den Realese Notes zu Version 2.4.4 nachzulesen.
Wer einen Guide hierzu sucht wird meine ich im PfSense Book fündig, welches nun kostenlos herunter geladen werden kann.
Ansonsten gibt es auf jeden Fall einen entsprechenden Wiki Eintrag.

Gruß
Spirit
ChriBo
ChriBo 01.10.2018 um 22:06:44 Uhr
Goto Top
Oha,
klingt gut.
Ich wußte nicht, daß es auf der pfSense implementiert ist.
Hast du es schon im Einsatz ?
Weißt du ob es stabil läuft ?
Mit welchen Gegenstellen außer pfSense ist es einrichtbar ?

CH
Spirit-of-Eli
Spirit-of-Eli 01.10.2018 aktualisiert um 22:37:38 Uhr
Goto Top
Zitat von @ChriBo:

Oha,
klingt gut.
Ich wußte nicht, das es auf der pfSense implementiert ist.
Hast du es schon im Einsatz ?
Weißt du ob es stabil läuft ?
Mit welchen Gegenstellen außer pfSense ist es einrichtbar ?

CH

Ich habe das stabil am laufen.
Von Sense zu Sense ist dies kein Thema. Laut Doku geht das auch zu Gegenstellen die dies nicht unterstützen, allerdings fehlen dann essentielle Features. (Zumindest laut Doku). Was geht wird allerdings nicht nähere beschrieben.
Da es IPSec ist, kann ich mir vorstelle, das es z.B. mit einer Whatguard funktioniert.
aqui
aqui 02.10.2018 aktualisiert um 13:19:05 Uhr
Goto Top
Wie kann ich aber auf die Netze LAN2 und LAN3 von A nach B kommen?
Indem du in den IPsec SA Credentials (Phase 2, Remote Subnet) der pfSense als remote Networks für diesen Standort dort zusätzlich die 172.20.0.0 255.255.128.0 einträgst !
Das routet dann alle IP Netze von 172.20.0.1 bis 172.20.127.254 in den Tunnel zum Standort B. Woanders sollten dann diese Netze nicht auftauchen logischerweise !
Analog musst du das auf der Standort B Fortinet auch machen damit die SAs matchen.
Das über die Phase 2 zu machen ist der übliche und standartisierte Weg.
Das mit Policy Routing zu machen ist eher Frickelei. Die Fortinet sollte die Phase 2 Option in jedem Falle auch supporten !
Philippe27
Philippe27 02.10.2018 um 22:01:58 Uhr
Goto Top
Danke für die Antworten.

Ich hab das ganze via zusätzliche Phase 2 gelöst.
Zumindest dies funktioniert.
aqui
aqui 03.10.2018 um 09:46:07 Uhr
Goto Top
Ist auch so der gängige Weg !