PFSense IPSec VPN - Tunnel enabled jedoch kein Ping ins Netzwerk
Sehr geehrte Administratoren und Administratorinnen,
ich versuche zur Zeit eine VPN-Verbindung auf mein Arbeitsplatznetzwerk zu konfigurieren. Ausgangsbasis ist dabei eine PFSense V2.1.4 sowie der Shrewsoft VPN-Client.
Ich habe mich an diese Anleitung gehalten um zunächst einen funktionierenden Tunnel zu erhalten:
doc.pfsense.org
Dies funktioniert soweit auch, dass der Tunnel erfolgreich etabliert wird und ich meinen Client sogar von der PFSense aus anpingen kann.
Allerdings kann ich keinen erfolgreichen Ping in mein Netzwerk ausführen, obwohl ich auch in den Firewallrules eingetragen habe, dass der IPSec Bereich Zugriff hat.
Die Adressvergabe funkioniert soweit auf den Client (wie gesagt anpingbar) und der Rest sollte ja eigentlich von NAT übernommen werden (Automatic Outbound NAT Rule generation (including IPSec passthrough)).
In der IPconfig wird die Adresse richtig angezeigt, allerdings gibt es kein Gateway. Ich glaube aber, das war bei IPSec normal.
Mein Router (Fritz.Box) hat IPSec passthrough und PPTP passthrough standardmässig aktiviert:
Über die Internetverbindung der FRITZ!Box können Sie auch mit einer VPN-Software eines anderen Herstellers VPN-Verbindungen zu einem entfernten VPN-Server herstellen. Da in der FRITZ!Box standardmäßig VPN-Passthrough für die VPN-Protokolle IPSec und PPTP aktiviert ist, sind dazu keine speziellen Einstellungen erforderlich.
Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:
Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.
In meiner Software Firewall habe ich meinen Netzwerkbereich auf der Arbeit als sichere Zone hinzugefügt, und diese auch Probehalber deaktiviert. Leider ohne Ergebnis.
Die PFSense zeigt keine geblockten Zugriffe von meiner externen IP zuhause an. Im IPSec-Log der PFSense wird nur folgender Hinweis angezeigt:
racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY
Ich würde mich sehr freuen, wenn jemand eine Idee zur Lösung dieses Problems beisteuern könnte.
Vielen Dank und mit freundlichen Grüßen,
MisterIX.
ich versuche zur Zeit eine VPN-Verbindung auf mein Arbeitsplatznetzwerk zu konfigurieren. Ausgangsbasis ist dabei eine PFSense V2.1.4 sowie der Shrewsoft VPN-Client.
Ich habe mich an diese Anleitung gehalten um zunächst einen funktionierenden Tunnel zu erhalten:
doc.pfsense.org
Dies funktioniert soweit auch, dass der Tunnel erfolgreich etabliert wird und ich meinen Client sogar von der PFSense aus anpingen kann.
Allerdings kann ich keinen erfolgreichen Ping in mein Netzwerk ausführen, obwohl ich auch in den Firewallrules eingetragen habe, dass der IPSec Bereich Zugriff hat.
Die Adressvergabe funkioniert soweit auf den Client (wie gesagt anpingbar) und der Rest sollte ja eigentlich von NAT übernommen werden (Automatic Outbound NAT Rule generation (including IPSec passthrough)).
In der IPconfig wird die Adresse richtig angezeigt, allerdings gibt es kein Gateway. Ich glaube aber, das war bei IPSec normal.
Mein Router (Fritz.Box) hat IPSec passthrough und PPTP passthrough standardmässig aktiviert:
Über die Internetverbindung der FRITZ!Box können Sie auch mit einer VPN-Software eines anderen Herstellers VPN-Verbindungen zu einem entfernten VPN-Server herstellen. Da in der FRITZ!Box standardmäßig VPN-Passthrough für die VPN-Protokolle IPSec und PPTP aktiviert ist, sind dazu keine speziellen Einstellungen erforderlich.
Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:
Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.
In meiner Software Firewall habe ich meinen Netzwerkbereich auf der Arbeit als sichere Zone hinzugefügt, und diese auch Probehalber deaktiviert. Leider ohne Ergebnis.
Die PFSense zeigt keine geblockten Zugriffe von meiner externen IP zuhause an. Im IPSec-Log der PFSense wird nur folgender Hinweis angezeigt:
racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY
Ich würde mich sehr freuen, wenn jemand eine Idee zur Lösung dieses Problems beisteuern könnte.
Vielen Dank und mit freundlichen Grüßen,
MisterIX.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 246738
Url: https://administrator.de/forum/pfsense-ipsec-vpn-tunnel-enabled-jedoch-kein-ping-ins-netzwerk-246738.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
17 Kommentare
Neuester Kommentar
Das hiesige Forums Tutorial zu dem Thema hast du gelesen... ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das sollte alle deine Fragen beantworten !
Nur so viel:
Das eigene Netzwerk kannst du nur un der Gesamtheit mit dem VPN verbinden wenn z.B. deine Router (also die FB) den VPN Zugang realisiert und die eine sog LAN zu LAN Kopplung machst. Wie das geht mit einer FB erklärt dir das o.a. Tutorial auch in den weiterführenden Links.
WAS willst du also nun eine Netz zu Netz Kopplung oder lediglich die Anbindung eines einzelnen Clients ??? Das wird aus deinem thread nicht klar ?!
P.S.: Den "FPsense" Fauxpas in der Überschrift kannst du immer mit einem beherzten Klick auf "Bearbeiten" egalisieren !
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das sollte alle deine Fragen beantworten !
Nur so viel:
und ich meinen Client sogar von der PFSense aus anpingen kann.
Das ist schonmal gut und zeigt das generell die IPsec verbindung funktioniert !Allerdings kann ich keinen erfolgreichen Ping in mein Netzwerk ausführen
Ääähh, das geht auch nicht wenn du einen Client basierten Zugriff hast also von einem Einzelclient wie bei dir mit Shrew !!Das eigene Netzwerk kannst du nur un der Gesamtheit mit dem VPN verbinden wenn z.B. deine Router (also die FB) den VPN Zugang realisiert und die eine sog LAN zu LAN Kopplung machst. Wie das geht mit einer FB erklärt dir das o.a. Tutorial auch in den weiterführenden Links.
WAS willst du also nun eine Netz zu Netz Kopplung oder lediglich die Anbindung eines einzelnen Clients ??? Das wird aus deinem thread nicht klar ?!
P.S.: Den "FPsense" Fauxpas in der Überschrift kannst du immer mit einem beherzten Klick auf "Bearbeiten" egalisieren !
Der Client bekommt doch eine IP aus einem anderen Subnetz. Ich dachte damit sollte die Firewall in der Lage sein den Datenverkehr aus dem Subnetz in das angegebene Zielnetz zu übertragen.
Ja, das ist genau richtig.ist der Inhalt denn dann noch relevant?
Äääähhh ja !! Deshalb ist er hier nochmal gepostet für dich, da er die Lösung enthält !Du scheinst wirklich komplett den Überblick verloren zu haben ?!
Hallo,
so wie ich es verstanden habe, sieht das bei dir so aus :
(IPsec-Client-Shrew)---------------Internet-----------------(FritzBox)-------Ethernet-------(PFsense)---------Ethernet---------Netzwerk
Versuch in Shrew alles durch den Tunnel zu leiten :
Policy --> Add --> Include 0.0.0.0 0.0.0.0 (Unique)
Was sagt "pathping <client-ip aus dem Pfsense-Netz> ?
Ist vielleicht auf den Clients eine lokale Firewall aktiviert ?
Eine ausfürliche Konfig :
https://doc.pfsense.org/index.php/IPsec_for_road_warriors_in_PfSense_2.0 ...
Wichtig sind dabei :
Policy Generation : Unique -----> Might prevent traffic to the lan if set to something else.
Proposal Checking : Strict
so wie ich es verstanden habe, sieht das bei dir so aus :
(IPsec-Client-Shrew)---------------Internet-----------------(FritzBox)-------Ethernet-------(PFsense)---------Ethernet---------Netzwerk
Versuch in Shrew alles durch den Tunnel zu leiten :
Policy --> Add --> Include 0.0.0.0 0.0.0.0 (Unique)
Was sagt "pathping <client-ip aus dem Pfsense-Netz> ?
Ist vielleicht auf den Clients eine lokale Firewall aktiviert ?
Eine ausfürliche Konfig :
https://doc.pfsense.org/index.php/IPsec_for_road_warriors_in_PfSense_2.0 ...
Wichtig sind dabei :
Policy Generation : Unique -----> Might prevent traffic to the lan if set to something else.
Proposal Checking : Strict
Du solltest besser deine öffentlichen IP Adressen oben anonymisieren !
Dein Ping bleibt in einer Firewall regel hängen. Sei es auf der pfSense das dort was fehlt oder nicht konfiguriert wurde oder was viel wahrscheinlicher ist die lokale Firewall auf dem Clientrechner. Wenn das ein Windows Derivat ist kann man zu 98% davon ausgehen das dort ein falsche Firewall Profil geladen ist für den virtuellen IPsec Adapter intern.
Das ist wie immer der klassische Fehler der Win Firewall intern.
Dein Ping bleibt in einer Firewall regel hängen. Sei es auf der pfSense das dort was fehlt oder nicht konfiguriert wurde oder was viel wahrscheinlicher ist die lokale Firewall auf dem Clientrechner. Wenn das ein Windows Derivat ist kann man zu 98% davon ausgehen das dort ein falsche Firewall Profil geladen ist für den virtuellen IPsec Adapter intern.
Das ist wie immer der klassische Fehler der Win Firewall intern.
dass der Ping auf die 192.168.250.1 direkt über das WAN Interface rausgesendet wird, anstatt über den IPsec Tunnel.
Das könnte natürlich sein ! Würde dann aber auch einen Kardinalsfehler deinerseits in der VPN Konfiguration hinweisen !- Was sagt denn der interne Sniffer im Diagnose menü, der zeigt dir das doch an ?
- Was sagt denn ein Traceroute auf diese IP. Kommen da Hop Replies aus dem öffentlichen Netz ? Core Router der provider haben generell für alle RFC 1918 IP Netze einen Filter an den Userports die diese Pakete droppen.
- Wie sieht die interne Routing Tabelle aus ? Die zeigt dir doch an welche IP Netze in den Tunnel geroutet werden ?!
Hast du in Shrew "use a virtual adapter ..... " gewählt mit einer VPN-IP?
Ich würde Pfsense als Server die IP-Adresse 10.1.1.1/24 verpassen und entspreched die Shrew mit 10.1.1.2/24 konfigurieren:
Shrew hat auch eine Debug-Funktion, da kann man genau sehen, wo der Tunnel hängen bleibt, Phase1 , Phase2 , Routing ... ?
http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#cshid=e ...
Gruß
Ich würde Pfsense als Server die IP-Adresse 10.1.1.1/24 verpassen und entspreched die Shrew mit 10.1.1.2/24 konfigurieren:
Shrew hat auch eine Debug-Funktion, da kann man genau sehen, wo der Tunnel hängen bleibt, Phase1 , Phase2 , Routing ... ?
http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#cshid=e ...
Gruß
Na dann sind wir mal auf ein finales Feedback gespannt.
Sonst bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Sonst bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !