Pfsense LAN Kopplung FB, aber kein Forwarding von extern ins VPN-LAN möglich

Ein sonniges Hallo an die Experten!

Ich habe mich heute zum ersten mal mit pfsense beschäftigt und mir testweise einen Hetzner-Cloud-Server im kleinsten Paket geholt, dort pfsense installiert und gemäß eurer Anleitung mit meiner FB7590 gekoppelt via ipsec Lan-Lan. (https://administrator.de/knowledge/ipsec-vpn-mit-cisco-mikrotik-pfsense- ...).

Tunnel steht. Ping von Client hinter der FB auf LAN der pfsense läuft.

Nun soll die pfsense mit ihrer statischen IP aber Zugriffe von außen (Exchange, Synology, IPcams) ins VPN Netzwerk weiterleiten. Daran scheitere ich.

Ich bekomme nichtmal einen Ping der pfsense auf die IP der synology zum laufen.

Sicherlich benötige ich jenseits meiner Portweiterleitung eine Regel, dass die pfsense überhaupt WAN Anfragen ins hinterliegende VPN Netz auflösen darf. Da stehe ich aber gerade auf dem Schlauch.


Aufbau:
pfsense Server (Hetzner öffentliche IP WAN + Hetzner LAN 10.0.0.0) ———— FB 7590 Glasfaser DYN DNS IPSEC VPN - lokales Netz 192.168.55.0 ————-Synology 192.168.55.222

Ping direkt aus pfsense auf 192.168.55.222:httpport läuft nicht und natürlich auch kein externer Zugriff über StatischeIP:Portweiterleitung Synology im VPN.

Wer weiß Rat?

Content-Key: 666535

Url: https://administrator.de/contentid/666535

Ausgedruckt am: 17.06.2021 um 17:06 Uhr

Mitglied: aqui
Lösung aqui aktualisiert am 08.05.2021
Ich bekomme nichtmal einen Ping der pfsense auf die IP der synology zum laufen.
WIE machst du das ? Über das pfSense Diagnostics Menü ? Wenn ja, WELCHE Absender IP nutzt du für den Ping ??
Wo steht die Synology ? Auch im lokalen LAN an der FB ? Wenn ja, hat die Synology ein Default Gateway auf die FB eingerichtet ?
Hast du einen entsprechend richtige Firewall Regel am VPN Tunnel Interface eingerichtet ?
Alles Fragen die du leider nicht beantwortet hast...

Unglücklicherweise sind dazu noch alle deine IP Netze laienhaft OHNE jegliche Subnetzmasken beschrieben so das man hier routingtechnisch um Trüben stochert. :-( face-sad
Du hast vermutlich in der FritzBox im VPN Setup für die Phase 2 Definition nur das remote LAN an der pfSense angegeben, richtig ?
Wenn du im aber mit den pfSense Zugriffen von außen andere IP Netze bzw. Adressen nutzt können diese Rückrouten technisch durch den P2 Eintrag natürlich von der FritzBox nicht in den VPN Tunnel geroutet werden wenn du dort nur das 10er Netz definiert hast...logisch !
Hier müsstest du ggf. die VPN Konfig der FritzBox anpassen das diese auch andere IP Netze und Adressen ebenfalls in den Tunnel routet.
AVM hat dafür ein HowTo in ihrer Knowledgebase:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Wenn diesepfSense seitigen IP Netze nicht wild durcheinander sind und alle in der 10er Range reicht es ggf. auch schon die Phase 2 Subnetzmaske im FritzBox Setup anzupassen ala:
  • P2 Setup FB: Lokal: 192.168.178.0 /24 Remote: 10.0.0.0 /16
  • P2 Setup pfsense: Lokal (Network) 10.0.0.0 /16 Remote: 192.168.178.0 /24
Das routet dann z.B. alle 10.0.x.y Netze in den VPN Tunnel.
Man müsste aber dafür genau verstehen WAS du vorhast und WAS du genau mit "Zugriffe von außen (Exchange, Synology, IPcams) " meinst und wie man sich das IP technisch an der pfSense vorstellen muss.
Mitglied: L33CHbit
L33CHbit am 08.05.2021
@aqui
Dein Hinweis hat ins Schwarze getroffen.

Ich hatte beim Ping das Absender Interface auf Auto stehen. Wahrscheinlich hat er dabei das WAN und nicht das LAN interface verwendet.

Habe es geändert und Ping funktioniert. Damit komme ich weiter. Danke!
Mitglied: aqui
aqui am 08.05.2021
👍
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 23 StundenInformationAdministrator.de Feedback55 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 23 StundenTippWindows 1020 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 11 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...