misterix
Goto Top

PFSense IPSec VPN - Tunnel enabled jedoch kein Ping ins Netzwerk

Sehr geehrte Administratoren und Administratorinnen,

ich versuche zur Zeit eine VPN-Verbindung auf mein Arbeitsplatznetzwerk zu konfigurieren. Ausgangsbasis ist dabei eine PFSense V2.1.4 sowie der Shrewsoft VPN-Client.

Ich habe mich an diese Anleitung gehalten um zunächst einen funktionierenden Tunnel zu erhalten:

doc.pfsense.org

Dies funktioniert soweit auch, dass der Tunnel erfolgreich etabliert wird und ich meinen Client sogar von der PFSense aus anpingen kann.

Allerdings kann ich keinen erfolgreichen Ping in mein Netzwerk ausführen, obwohl ich auch in den Firewallrules eingetragen habe, dass der IPSec Bereich Zugriff hat.

Die Adressvergabe funkioniert soweit auf den Client (wie gesagt anpingbar) und der Rest sollte ja eigentlich von NAT übernommen werden (Automatic Outbound NAT Rule generation (including IPSec passthrough)).

In der IPconfig wird die Adresse richtig angezeigt, allerdings gibt es kein Gateway. Ich glaube aber, das war bei IPSec normal.

Mein Router (Fritz.Box) hat IPSec passthrough und PPTP passthrough standardmässig aktiviert:

Über die Internetverbindung der FRITZ!Box können Sie auch mit einer VPN-Software eines anderen Herstellers VPN-Verbindungen zu einem entfernten VPN-Server herstellen. Da in der FRITZ!Box standardmäßig VPN-Passthrough für die VPN-Protokolle IPSec und PPTP aktiviert ist, sind dazu keine speziellen Einstellungen erforderlich.

Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:

Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.


In meiner Software Firewall habe ich meinen Netzwerkbereich auf der Arbeit als sichere Zone hinzugefügt, und diese auch Probehalber deaktiviert. Leider ohne Ergebnis.

Die PFSense zeigt keine geblockten Zugriffe von meiner externen IP zuhause an. Im IPSec-Log der PFSense wird nur folgender Hinweis angezeigt:

racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY

Ich würde mich sehr freuen, wenn jemand eine Idee zur Lösung dieses Problems beisteuern könnte.

Vielen Dank und mit freundlichen Grüßen,

MisterIX.

Content-ID: 246738

Url: https://administrator.de/forum/pfsense-ipsec-vpn-tunnel-enabled-jedoch-kein-ping-ins-netzwerk-246738.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

aqui
aqui 18.08.2014 aktualisiert um 13:36:36 Uhr
Goto Top
Das hiesige Forums Tutorial zu dem Thema hast du gelesen... ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das sollte alle deine Fragen beantworten !
Nur so viel:
und ich meinen Client sogar von der PFSense aus anpingen kann.
Das ist schonmal gut und zeigt das generell die IPsec verbindung funktioniert !
Allerdings kann ich keinen erfolgreichen Ping in mein Netzwerk ausführen
Ääähh, das geht auch nicht wenn du einen Client basierten Zugriff hast also von einem Einzelclient wie bei dir mit Shrew !!
Das eigene Netzwerk kannst du nur un der Gesamtheit mit dem VPN verbinden wenn z.B. deine Router (also die FB) den VPN Zugang realisiert und die eine sog LAN zu LAN Kopplung machst. Wie das geht mit einer FB erklärt dir das o.a. Tutorial auch in den weiterführenden Links.
WAS willst du also nun eine Netz zu Netz Kopplung oder lediglich die Anbindung eines einzelnen Clients ??? Das wird aus deinem thread nicht klar ?!

P.S.: Den "FPsense" Fauxpas in der Überschrift kannst du immer mit einem beherzten Klick auf "Bearbeiten" egalisieren !
MisterIX
MisterIX 18.08.2014 um 15:11:33 Uhr
Goto Top
Hallo aqui,

den Fauxpas habe ich als erstes korrigiert. Vielen Dank. Ich möchte tatsächlich nur einen Client anbinden. Habe ich da grundsätzlich einen Denkfehler gemacht? Der Client bekommt doch eine IP aus einem anderen Subnetz. Ich dachte damit sollte die Firewall in der Lage sein den Datenverkehr aus dem Subnetz in das angegebene Zielnetz zu übertragen.

Vielen Dank auch für den Link, ist der Inhalt denn dann noch relevant? Ich verliere gerade den Überblick.

Mit freundlichen Grüßen, MisterIX
aqui
aqui 18.08.2014 aktualisiert um 16:39:29 Uhr
Goto Top
Der Client bekommt doch eine IP aus einem anderen Subnetz. Ich dachte damit sollte die Firewall in der Lage sein den Datenverkehr aus dem Subnetz in das angegebene Zielnetz zu übertragen.
Ja, das ist genau richtig.
ist der Inhalt denn dann noch relevant?
Äääähhh ja !! Deshalb ist er hier nochmal gepostet für dich, da er die Lösung enthält !
Du scheinst wirklich komplett den Überblick verloren zu haben ?!
matthew77
matthew77 18.08.2014 aktualisiert um 21:57:11 Uhr
Goto Top
Hallo,

so wie ich es verstanden habe, sieht das bei dir so aus :

(IPsec-Client-Shrew)---------------Internet-----------------(FritzBox)-------Ethernet-------(PFsense)---------Ethernet---------Netzwerk

Versuch in Shrew alles durch den Tunnel zu leiten :
Policy --> Add --> Include 0.0.0.0 0.0.0.0 (Unique)

Was sagt "pathping <client-ip aus dem Pfsense-Netz> ?

Ist vielleicht auf den Clients eine lokale Firewall aktiviert ?


Eine ausfürliche Konfig :

https://doc.pfsense.org/index.php/IPsec_for_road_warriors_in_PfSense_2.0 ...

Wichtig sind dabei :

Policy Generation : Unique -----> Might prevent traffic to the lan if set to something else.
Proposal Checking : Strict
MisterIX
MisterIX 19.08.2014 um 13:57:52 Uhr
Goto Top
Jep. ich mache gerade zu viele Dinge parallel. Habe mein neues Netzwerk erst seit sechs Wochen. Dann werde ich mir den Artikel noch mal in Ruhe zu Gemüte führen.

Vielen Dank ersteinmal.
MisterIX
MisterIX 19.08.2014 um 15:59:04 Uhr
Goto Top
@mathew Danke für die zusätzliche Anleitung. Wiederum wird der Tunnel enabled, nur diesmal kann die FW nicht einmal die zugewiesene IP anpingen, und das obwohl der Willkommensgruß sogar angezeigt und der Tunnel als enabled zu sehen ist (Clientseitig.)

Ich versuche es morgen nochmal. Bis bald!
aqui
aqui 19.08.2014 um 16:14:41 Uhr
Goto Top
Sieh dir immer das Firewall Log an ! Irgendwas wird bei dir geblockt bzw. es fehlt eine Regel irgendwo !
matthew77
matthew77 22.08.2014 um 18:27:34 Uhr
Goto Top
hat sich das erledigt oder ?

Gruß
MisterIX
MisterIX 24.08.2014 um 11:32:52 Uhr
Goto Top
Hi mathew77,

vielen Dank zunächst nochmal an alle, die sich hier einbringen, und nein, das Thema ist noch nicht vom Tisch. Es ist nur so, dass ich das Thema Backup in der letzten Woche hoch priorisieren musste, was auch Anfang der Woche dann fertig sein sollte.

Außerdem muss ich immer darauf achten, dass auf meinem privaten Laptop ein Teamviewer läuft, damit ich überhaupt testen kann.

Die Firewall zeigt übrigens keinerlei geblockte Einträge hinsichtlich des IPSec-Tunnels an. Ich werde am Dienstag versuchen diesen Thread um Protokolle u.ä. zu bereichern, um die Problematik von meiner Seite aus professioneller zu präsentieren.

Bis dahin alles Gute!

MisterIX
aqui
aqui 25.08.2014 um 09:40:52 Uhr
Goto Top
Das sind wir dann mal gespannt auf die Doku...
MisterIX
MisterIX 26.08.2014 aktualisiert um 14:30:43 Uhr
Goto Top
Hallo liebe Administratoren,

zunächst möchte ich noch etwas zum Ping anmerken, wie er im Moment aussieht:

Ping output:

PING 192.168.250.1 (192.168.250.1): 56 data bytes
60 bytes from business-085-079-139-145.static.arcor-ip.net (85.79.139.145): Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 13cc 0 0000 3f 01 c54e 85.79.139.149 192.168.250.1

60 bytes from business-085-079-139-145.static.arcor-ip.net (85.79.139.145): Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 cd1a 0 0000 3f 01 0c00 85.79.139.149 192.168.250.1


--- 192.168.250.1 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Das sieht mir aus, als ob die PFSense selbst den VPN Tunnel nicht nutzt um die IP anzupingen, wieso sollte Arcor sonst den ping erkennen und korrekterweise ausfiltern?

Der Tunnelaufbau selbst funktioniert in Shrewsoft scheinbar einwandfrei.

config loaded for site 'myside'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Jemand eine Idee?

Danke und Gruß, MisterIX.
aqui
aqui 26.08.2014 aktualisiert um 13:24:32 Uhr
Goto Top
Du solltest besser deine öffentlichen IP Adressen oben anonymisieren !

Dein Ping bleibt in einer Firewall regel hängen. Sei es auf der pfSense das dort was fehlt oder nicht konfiguriert wurde oder was viel wahrscheinlicher ist die lokale Firewall auf dem Clientrechner. Wenn das ein Windows Derivat ist kann man zu 98% davon ausgehen das dort ein falsche Firewall Profil geladen ist für den virtuellen IPsec Adapter intern.
Das ist wie immer der klassische Fehler der Win Firewall intern.
MisterIX
MisterIX 26.08.2014 um 14:37:24 Uhr
Goto Top
Hallo Aqui,

ich habe die öffentlichen IP-Adressen einfach abgewandelt, die sind nicht echt, oder gehören jedenfalls nicht uns ;) . Trotzdem ist dieses Prozedere frustrierend. Ich habe mit anderen Mitteln noch nie so lange gebraucht, um einen VPN-Tunnel anzulegen. Meine Client-Firewall war abgeschaltet, kann also den Ping nicht unterdrückt haben.

Mich wundert außerdem, dass hier Arcor involviert ist, was ja bedeutet, dass der Ping auf die 192.168.250.1 direkt über das WAN Interface rausgesendet wird, anstatt über den IPsec Tunnel.

Sieht Dir das nicht auch eher nach einem Routingfehler aus?

Gruß, MisterIX.
aqui
aqui 26.08.2014 aktualisiert um 15:40:00 Uhr
Goto Top
dass der Ping auf die 192.168.250.1 direkt über das WAN Interface rausgesendet wird, anstatt über den IPsec Tunnel.
Das könnte natürlich sein ! Würde dann aber auch einen Kardinalsfehler deinerseits in der VPN Konfiguration hinweisen !
  • Was sagt denn der interne Sniffer im Diagnose menü, der zeigt dir das doch an ?
  • Was sagt denn ein Traceroute auf diese IP. Kommen da Hop Replies aus dem öffentlichen Netz ? Core Router der provider haben generell für alle RFC 1918 IP Netze einen Filter an den Userports die diese Pakete droppen.
  • Wie sieht die interne Routing Tabelle aus ? Die zeigt dir doch an welche IP Netze in den Tunnel geroutet werden ?!
Keine Ahnung was du da machst denn in der Regel ist so ein simples VPN in 5 Minuten im GUI fertiggeklickt ?!
matthew77
matthew77 26.08.2014 um 18:02:49 Uhr
Goto Top
Hast du in Shrew "use a virtual adapter ..... " gewählt mit einer VPN-IP?

Ich würde Pfsense als Server die IP-Adresse 10.1.1.1/24 verpassen und entspreched die Shrew mit 10.1.1.2/24 konfigurieren:


a1b34225754db797fd59c2a68f8465a9



Shrew hat auch eine Debug-Funktion, da kann man genau sehen, wo der Tunnel hängen bleibt, Phase1 , Phase2 , Routing ... ?

http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#cshid=e ...


Gruß
MisterIX
MisterIX 15.10.2014 um 07:25:09 Uhr
Goto Top
Hi Matthew,

die Firewall lief schon drei Jahre und wurde mehrfach upgedatet. Dabei ist wahrscheinlich eine manuelle Einstellung in einer Konfig-Datei durchgeschleppt worden, die zu einer Warnung während des Startvorgangs geführt hat, die Firewall könne instabil werden. Und genau das wurde sie dann auch, und zwar soweit, dass das NAT komplett die Funktionalität einstellte.

Da ich das System erst wenige Wochen vorher übernommen hatte, viel mir die Warnmeldung erst auf, nachdem ich die Firewall auf die neueste Version gebracht habe. Kurz darauf fiel sie dann aus.

Ich habe dann PFSense komplett neu installiert und seitdem läuft die Firewall wieder stabil. Ich bin jedoch noch nicht dazu gekommen, erneut die VPN-Funktionalität zu testen.
aqui
aqui 20.10.2014 um 19:49:28 Uhr
Goto Top
Na dann sind wir mal auf ein finales Feedback gespannt.
Sonst bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !