15
Pfsense Mit einer Roadwarrior Verbindung Zugriff auf alle Tunnelverbindungen ermöglichen ? ?
Guten Tag.
Gerade von Ipcop nach Pfsense umgestigen, frage ich mich ob es möglich ist mit einer Roadwarrior Verbindung auch die Tunneladressen der auf der Pfsense eingerichtete site to site Verbindungen zuzugreifen ?
Hintergrund wäre das man nur eine Roadwarriorkonfiguration benötigt.
"einfach" die Subnetmask für die Host zu Netzverbkndung anpassen wird nicht genügen. Die Adressbereiche der site to site Verbindungen liegen dafür auch zu weit auseinander.
Gibt es eine Lösung für das Problem ?
Oder gar eine Anleitung ?
Google wirft leider keine passenden Ergebnisse bei der Frage. Oder meine Frage ist schlecht.
Gruß
Bernd
Gerade von Ipcop nach Pfsense umgestigen, frage ich mich ob es möglich ist mit einer Roadwarrior Verbindung auch die Tunneladressen der auf der Pfsense eingerichtete site to site Verbindungen zuzugreifen ?
Hintergrund wäre das man nur eine Roadwarriorkonfiguration benötigt.
"einfach" die Subnetmask für die Host zu Netzverbkndung anpassen wird nicht genügen. Die Adressbereiche der site to site Verbindungen liegen dafür auch zu weit auseinander.
Gibt es eine Lösung für das Problem ?
Oder gar eine Anleitung ?
Google wirft leider keine passenden Ergebnisse bei der Frage. Oder meine Frage ist schlecht.
Gruß
Bernd
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 347290
Url: https://administrator.de/contentid/347290
Ausgedruckt am: 17.11.2024 um 03:11 Uhr
15 Kommentare
Neuester Kommentar
Hi,
bei Verwendung eines IPsec VPN-Clienten und site to site VPN Verbindungen auch per IPsec ist es meines Wissens nach nicht möglich.
Bei einer Kombination aus OpenVPN und IPsec ist es möglich.
-
Die pfSense kann auf dem IPsec Interface nicht zwischen mehreren Verbindungen die auf dem IPsec Interface liegen nicht routen.
z.B. Site to Site <-> Roadwarrior oder Site to Ste A <_> Site to Site B.
[Es kann sein, daß es sich inzwischen geändert hat, mir ist aber keine Beschreibung, Changelog oä. bekannt; hat hier jemand mehr Info: bitte teilen !!]
CH
bei Verwendung eines IPsec VPN-Clienten und site to site VPN Verbindungen auch per IPsec ist es meines Wissens nach nicht möglich.
Bei einer Kombination aus OpenVPN und IPsec ist es möglich.
-
Die pfSense kann auf dem IPsec Interface nicht zwischen mehreren Verbindungen die auf dem IPsec Interface liegen nicht routen.
z.B. Site to Site <-> Roadwarrior oder Site to Ste A <_> Site to Site B.
[Es kann sein, daß es sich inzwischen geändert hat, mir ist aber keine Beschreibung, Changelog oä. bekannt; hat hier jemand mehr Info: bitte teilen !!]
CH
Es handelt sich tatsächlich um ipsec Verbindungen.
Man könnte nun die site to site Verbinungen auf openvpn umstellen, aber das Meiste was sich findet ist PSK un bei 12 Tunneln kam mir das "Einer ist Server einer Client" so verwirrend vor.
Ich muss dann noch mal in mich gehen.
Man könnte nun die site to site Verbinungen auf openvpn umstellen, aber das Meiste was sich findet ist PSK un bei 12 Tunneln kam mir das "Einer ist Server einer Client" so verwirrend vor.
Ich muss dann noch mal in mich gehen.
Ansonsten beantwortet dir das hiesige VPN Client Tutorial alle Fragen wenn es sich um eine IPsec Connection handelt was ja zuerst aufgrund deiner oberflächlichen Beschreibung unklar war.
Die pfSense supportet ja bekanntlich mehrere VPN Protokolle.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die pfSense supportet ja bekanntlich mehrere VPN Protokolle.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Nach diesem Tutorial sind die Roadwarrior eingerichtet, auch wenn es ungewohnt ist, das es für alle Nutzer nur ein Zertifikat gibt wenn man vom IP-Cop kommt.
Momentan sind die Gegenseiten auch noch IP Cop der Einfachheit halber PSK.
Diese Anleitung hier für site by site ist naja ... Auch sehr oberflächlich.
https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Und da es keinen Austausch von Zertifikaten gibt auch etwas verwirrend.
Wenn ich es nicht ans Laufen bekomme muss ich mir wohl doch mal Openvpn für site by site ansehen.
Mit OpenVPN (wo es scheinbar ausschließlich Tutorials für PSK gibt) wäre aber die Verbindung in alle Tunnelnetze über einen zentralen Roadwarrior Zugang möglich ?
Momentan sind die Gegenseiten auch noch IP Cop der Einfachheit halber PSK.
Diese Anleitung hier für site by site ist naja ... Auch sehr oberflächlich.
https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Und da es keinen Austausch von Zertifikaten gibt auch etwas verwirrend.
Wenn ich es nicht ans Laufen bekomme muss ich mir wohl doch mal Openvpn für site by site ansehen.
Mit OpenVPN (wo es scheinbar ausschließlich Tutorials für PSK gibt) wäre aber die Verbindung in alle Tunnelnetze über einen zentralen Roadwarrior Zugang möglich ?
Hi,
meinst du OpenVPN als ClientVPN oder als Site2Site VPN ?
Mit OpenVPN als ClientVPN und mit Site2Site VPNs per IPsec hatte ich es mal am funktionieren.
-
wenn ich mich richtig erinnere musste man per push route in den Optionen alle Subnetze der über Site2Site angebundenen Locations eintragen.
Wir haben es aber nicht mehr live, so kann ich auch keine weiteren Infos mehr geben.
CH
Mit OpenVPN (wo es scheinbar ausschließlich Tutorials für PSK gibt) wäre aber die Verbindung in alle Tunnelnetze über einen zentralen Roadwarrior Zugang möglich ?
-meinst du OpenVPN als ClientVPN oder als Site2Site VPN ?
Mit OpenVPN als ClientVPN und mit Site2Site VPNs per IPsec hatte ich es mal am funktionieren.
-
wenn ich mich richtig erinnere musste man per push route in den Optionen alle Subnetze der über Site2Site angebundenen Locations eintragen.
Wir haben es aber nicht mehr live, so kann ich auch keine weiteren Infos mehr geben.
CH
Wenn dann site to site mit openvpn.
Roadwarrior sollte etwas bleiben was nativ mit Windows 10 geht. Das finde ich sehr praktisch. Die Client Server Architektur von openvpn hatte mich zunächst verwirrt. Aber auch ipsec scheint so aufgebaut unter pfsense. Bei IpCop waren beide Seiten beides. Es wurden lediglich die Hostzertifikate getauascht.
Roadwarrior sollte etwas bleiben was nativ mit Windows 10 geht. Das finde ich sehr praktisch. Die Client Server Architektur von openvpn hatte mich zunächst verwirrt. Aber auch ipsec scheint so aufgebaut unter pfsense. Bei IpCop waren beide Seiten beides. Es wurden lediglich die Hostzertifikate getauascht.
Roadwarrior sollte etwas bleiben was nativ mit Windows 10 geht. Das finde ich sehr praktisch.
Richtig ! Genau deshalb geht auch das hiesige Tutorial exakt auf den Punkt ein wenn man es mit IPsec macht 
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Nach dieser Anleitung habe ich die Roadwarrior auch gemacht.
Netz zu Netz ist aber ungleich schwerer.
Zumindest ist diese Anleitung
https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Grütze.
Zumindest ist auf diese Weise kein Tunnel möglich. Es werden auch keine Zertifikate ausgetauscht sondern die CA ?
Andere ipsec Anleitungen drehen sich immer! nur um PSK.
Ich habe leider noch keine so gute Anleitung bezüglich Netz zu netz gefunden wie die für die RW Tunnel
Netz zu Netz ist aber ungleich schwerer.
Zumindest ist diese Anleitung
https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Grütze.
Zumindest ist auf diese Weise kein Tunnel möglich. Es werden auch keine Zertifikate ausgetauscht sondern die CA ?
Andere ipsec Anleitungen drehen sich immer! nur um PSK.
Ich habe leider noch keine so gute Anleitung bezüglich Netz zu netz gefunden wie die für die RW Tunnel
Netz zu Netz ist aber ungleich schwerer.
Nocxht wirklich...hat hier ohne Probleme sowohl auf pfSense selber als auch auf FritzBox und Cisco fehlerlos funktioniert !IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Andere ipsec Anleitungen drehen sich immer! nur um PSK.
Das kommt immer drauf an. IKEv2 erzwingt Zertifikate, da geht es nicht ohne, deshalb behandelt das Roadwarrior Tutorial hier zur pfSense auch ausführlich die Zertifikatsgenerierung und Import in die Clients:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei IKEv1 ist das nicht erforderlich.
Kommt also immer drauf an was du machst
Ich habe leider noch keine so gute Anleitung bezüglich Netz zu netz gefunden
Versuchs nach der obigen. Die Konfig für die andere Seite pfSense ist identisch. Das klappt sofort.
Hallo.
Also das obere behandelt wieder nur psk. Das wird ungleich einfacher sein, da ja nur auf beiden Seiten der key hinterlegt werden muss.
Das Zweite ist ja die Roadwarriorgeschichte. Die hat auch gut geklappt. Auch wenn es unglücklich ist das alle Clients das selbe Zertifikat haben. Aber das ist ein anderes Thema.
aber bei Umstellung von automatisch auf ikev2 ist in der Netz zu Netz Anleitung nirgens die Rede davon wie welches Zertifikat ausgetauscht wird. Bei anderen Firewalls wurde das Hostzertifikat ausgetauscht. Nie die ca. Wenn jede Seite nur ihr eugenes Zertifikat hat wird das nicht funktionieren. Die Anleitung die ich zuerst verwendet habe von pfsense war ja sehr rudimentär. Man musste die ca (warum auch immer) der gegenseite importieren. Lief auch nicht wirklich.
Also das obere behandelt wieder nur psk. Das wird ungleich einfacher sein, da ja nur auf beiden Seiten der key hinterlegt werden muss.
Das Zweite ist ja die Roadwarriorgeschichte. Die hat auch gut geklappt. Auch wenn es unglücklich ist das alle Clients das selbe Zertifikat haben. Aber das ist ein anderes Thema.
aber bei Umstellung von automatisch auf ikev2 ist in der Netz zu Netz Anleitung nirgens die Rede davon wie welches Zertifikat ausgetauscht wird. Bei anderen Firewalls wurde das Hostzertifikat ausgetauscht. Nie die ca. Wenn jede Seite nur ihr eugenes Zertifikat hat wird das nicht funktionieren. Die Anleitung die ich zuerst verwendet habe von pfsense war ja sehr rudimentär. Man musste die ca (warum auch immer) der gegenseite importieren. Lief auch nicht wirklich.
Es ist natürlich auch das Host Zertifikat. User gibt es in dem Sinne ja gar nicht !
Die Seiten müssen die Host Zertifikate der jeweils gegenüberliegenden Seiten kennen.
Die Seiten müssen die Host Zertifikate der jeweils gegenüberliegenden Seiten kennen.
Also wenn ich IKEV2 eintrage steht da trotzdem PSK.
OK also bei Authentication Method Mutual RSA eingetragen.
Dann wird nach My Certificate Also mein Zertifikat gefragt... und nach der CA. Keine Rede von der Gegenseite.
Fertig konfiguriert kennt dann doch auch wieder nur jede Seite ihr eigenes Zertifikat.
Wenn ich das Zertifikat der Gegenseite zuvor importiere, aber nur meine CA eintragen kann hilft das ja auch nicht weiter ?
Es kann doch nicht gewollt sein das ich wirklich die CA der Gegenseite importieren soll ?
Aber die Anleitung hier funktioniert auch nicht. https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Dort wird tatsächlich die CA importiert.
Verzweifelt habe ich nun Openvpn versucht. Leider gibt es scheinbar auch dort keine Anleitung die auf Zertifikate eingeht.
Edit.
Habe jetzt mal die CA´s ausgetausch. Mal sehen was passiert.
OK also bei Authentication Method Mutual RSA eingetragen.
Dann wird nach My Certificate Also mein Zertifikat gefragt... und nach der CA. Keine Rede von der Gegenseite.
Fertig konfiguriert kennt dann doch auch wieder nur jede Seite ihr eigenes Zertifikat.
Wenn ich das Zertifikat der Gegenseite zuvor importiere, aber nur meine CA eintragen kann hilft das ja auch nicht weiter ?
Es kann doch nicht gewollt sein das ich wirklich die CA der Gegenseite importieren soll ?
Aber die Anleitung hier funktioniert auch nicht. https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Dort wird tatsächlich die CA importiert.
Verzweifelt habe ich nun Openvpn versucht. Leider gibt es scheinbar auch dort keine Anleitung die auf Zertifikate eingeht.
Edit.
Habe jetzt mal die CA´s ausgetausch. Mal sehen was passiert.
Also ich kann nur sagen das es mit dem Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
sauber und fehlerfrei mit IKEv2 Host Zertifikaten funktioniert OHNE das man irgendwas importieren muss. Allerdings mit Pre Shared Keys natürlich für die Tunnel Sessions.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
sauber und fehlerfrei mit IKEv2 Host Zertifikaten funktioniert OHNE das man irgendwas importieren muss. Allerdings mit Pre Shared Keys natürlich für die Tunnel Sessions.
Leider gibt es scheinbar auch dort keine Anleitung die auf Zertifikate eingeht.
Doch die gibt es hier natürlich. Einfach mal die Suchfunktion benutzen:OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Also ich habs jetzt laufen.
Das es bei dir mit der Anleitung geht, ist mir schleierhaft. Bei mir ist das alles nur eine Roadwarrioranleitung. Da steht ja auch ... für mobile Benutzer. Das funktioniert ja auch. Ich glaube wir reden die ganze Zeit aneinander vorbei ;) Ich meine die Verbindung zwischen zwei PFsense also Netz zu Netz.
Das Gleiche gilt für den zweiten Link. Der ist für DDWRT .....
Lange Rede kurzer Sinn man muss tatsächlich die CA´s gegenseitig importieren. Das war mir erst mal neu. Bzw. kannte ich so nicht.
Das es bei dir mit der Anleitung geht, ist mir schleierhaft. Bei mir ist das alles nur eine Roadwarrioranleitung. Da steht ja auch ... für mobile Benutzer. Das funktioniert ja auch. Ich glaube wir reden die ganze Zeit aneinander vorbei ;) Ich meine die Verbindung zwischen zwei PFsense also Netz zu Netz.
Das Gleiche gilt für den zweiten Link. Der ist für DDWRT .....
Lange Rede kurzer Sinn man muss tatsächlich die CA´s gegenseitig importieren. Das war mir erst mal neu. Bzw. kannte ich so nicht.
ich meine die Verbindung zwischen zwei PFsense also Netz zu Netz.
OK, das hatte ich dann missverstanden oder du dich gedrückt aus etwas ungeschickt Gut wenn's nun rennt wie es soll.
