dasbrot
Goto Top

Pfsense Mit einer Roadwarrior Verbindung Zugriff auf alle Tunnelverbindungen ermöglichen ? ?

Guten Tag.
Gerade von Ipcop nach Pfsense umgestigen, frage ich mich ob es möglich ist mit einer Roadwarrior Verbindung auch die Tunneladressen der auf der Pfsense eingerichtete site to site Verbindungen zuzugreifen ?

Hintergrund wäre das man nur eine Roadwarriorkonfiguration benötigt.
"einfach" die Subnetmask für die Host zu Netzverbkndung anpassen wird nicht genügen. Die Adressbereiche der site to site Verbindungen liegen dafür auch zu weit auseinander.
Gibt es eine Lösung für das Problem ?
Oder gar eine Anleitung ?
Google wirft leider keine passenden Ergebnisse bei der Frage. Oder meine Frage ist schlecht.

Gruß
Bernd

Content-Key: 347290

Url: https://administrator.de/contentid/347290

Printed on: July 20, 2024 at 07:07 o'clock

Member: ChriBo
ChriBo Aug 25, 2017 at 07:05:20 (UTC)
Goto Top
Hi,
bei Verwendung eines IPsec VPN-Clienten und site to site VPN Verbindungen auch per IPsec ist es meines Wissens nach nicht möglich.
Bei einer Kombination aus OpenVPN und IPsec ist es möglich.
-
Die pfSense kann auf dem IPsec Interface nicht zwischen mehreren Verbindungen die auf dem IPsec Interface liegen nicht routen.
z.B. Site to Site <-> Roadwarrior oder Site to Ste A <_> Site to Site B.
[Es kann sein, daß es sich inzwischen geändert hat, mir ist aber keine Beschreibung, Changelog oä. bekannt; hat hier jemand mehr Info: bitte teilen !!]

CH
Member: DasBrot
DasBrot Aug 25, 2017 at 07:48:04 (UTC)
Goto Top
Es handelt sich tatsächlich um ipsec Verbindungen.
Man könnte nun die site to site Verbinungen auf openvpn umstellen, aber das Meiste was sich findet ist PSK un bei 12 Tunneln kam mir das "Einer ist Server einer Client" so verwirrend vor.
Ich muss dann noch mal in mich gehen.
Member: aqui
aqui Aug 25, 2017 at 08:06:19 (UTC)
Goto Top
Ansonsten beantwortet dir das hiesige VPN Client Tutorial alle Fragen wenn es sich um eine IPsec Connection handelt was ja zuerst aufgrund deiner oberflächlichen Beschreibung unklar war.
Die pfSense supportet ja bekanntlich mehrere VPN Protokolle.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Member: DasBrot
DasBrot Aug 25, 2017 updated at 09:23:37 (UTC)
Goto Top
Nach diesem Tutorial sind die Roadwarrior eingerichtet, auch wenn es ungewohnt ist, das es für alle Nutzer nur ein Zertifikat gibt wenn man vom IP-Cop kommt.

Momentan sind die Gegenseiten auch noch IP Cop der Einfachheit halber PSK.
Diese Anleitung hier für site by site ist naja ... Auch sehr oberflächlich.

https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start

Und da es keinen Austausch von Zertifikaten gibt auch etwas verwirrend.
Wenn ich es nicht ans Laufen bekomme muss ich mir wohl doch mal Openvpn für site by site ansehen.

Mit OpenVPN (wo es scheinbar ausschließlich Tutorials für PSK gibt) wäre aber die Verbindung in alle Tunnelnetze über einen zentralen Roadwarrior Zugang möglich ?
Member: ChriBo
ChriBo Aug 25, 2017 at 12:35:57 (UTC)
Goto Top
Hi,
Mit OpenVPN (wo es scheinbar ausschließlich Tutorials für PSK gibt) wäre aber die Verbindung in alle Tunnelnetze über einen zentralen Roadwarrior Zugang möglich ?
-
meinst du OpenVPN als ClientVPN oder als Site2Site VPN ?
Mit OpenVPN als ClientVPN und mit Site2Site VPNs per IPsec hatte ich es mal am funktionieren.
-
wenn ich mich richtig erinnere musste man per push route in den Optionen alle Subnetze der über Site2Site angebundenen Locations eintragen.
Wir haben es aber nicht mehr live, so kann ich auch keine weiteren Infos mehr geben.

CH
Member: DasBrot
DasBrot Aug 26, 2017 at 09:31:19 (UTC)
Goto Top
Wenn dann site to site mit openvpn.
Roadwarrior sollte etwas bleiben was nativ mit Windows 10 geht. Das finde ich sehr praktisch. Die Client Server Architektur von openvpn hatte mich zunächst verwirrt. Aber auch ipsec scheint so aufgebaut unter pfsense. Bei IpCop waren beide Seiten beides. Es wurden lediglich die Hostzertifikate getauascht.
Member: aqui
aqui Aug 28, 2017 at 12:31:43 (UTC)
Goto Top
Roadwarrior sollte etwas bleiben was nativ mit Windows 10 geht. Das finde ich sehr praktisch.
Richtig ! Genau deshalb geht auch das hiesige Tutorial exakt auf den Punkt ein wenn man es mit IPsec macht face-wink
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Member: DasBrot
DasBrot Sep 08, 2017 at 08:36:12 (UTC)
Goto Top
Nach dieser Anleitung habe ich die Roadwarrior auch gemacht.
Netz zu Netz ist aber ungleich schwerer.
Zumindest ist diese Anleitung

https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start

Grütze.
Zumindest ist auf diese Weise kein Tunnel möglich. Es werden auch keine Zertifikate ausgetauscht sondern die CA ?
Andere ipsec Anleitungen drehen sich immer! nur um PSK.
Ich habe leider noch keine so gute Anleitung bezüglich Netz zu netz gefunden wie die für die RW Tunnel
Member: aqui
aqui Sep 08, 2017 at 13:10:05 (UTC)
Goto Top
Netz zu Netz ist aber ungleich schwerer.
Nocxht wirklich...hat hier ohne Probleme sowohl auf pfSense selber als auch auf FritzBox und Cisco fehlerlos funktioniert !
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Andere ipsec Anleitungen drehen sich immer! nur um PSK.
Das kommt immer drauf an. IKEv2 erzwingt Zertifikate, da geht es nicht ohne, deshalb behandelt das Roadwarrior Tutorial hier zur pfSense auch ausführlich die Zertifikatsgenerierung und Import in die Clients:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei IKEv1 ist das nicht erforderlich.
Kommt also immer drauf an was du machst face-wink
Ich habe leider noch keine so gute Anleitung bezüglich Netz zu netz gefunden
Versuchs nach der obigen. Die Konfig für die andere Seite pfSense ist identisch. Das klappt sofort.
Member: DasBrot
DasBrot Sep 09, 2017 at 10:18:40 (UTC)
Goto Top
Hallo.
Also das obere behandelt wieder nur psk. Das wird ungleich einfacher sein, da ja nur auf beiden Seiten der key hinterlegt werden muss.

Das Zweite ist ja die Roadwarriorgeschichte. Die hat auch gut geklappt. Auch wenn es unglücklich ist das alle Clients das selbe Zertifikat haben. Aber das ist ein anderes Thema.

aber bei Umstellung von automatisch auf ikev2 ist in der Netz zu Netz Anleitung nirgens die Rede davon wie welches Zertifikat ausgetauscht wird. Bei anderen Firewalls wurde das Hostzertifikat ausgetauscht. Nie die ca. Wenn jede Seite nur ihr eugenes Zertifikat hat wird das nicht funktionieren. Die Anleitung die ich zuerst verwendet habe von pfsense war ja sehr rudimentär. Man musste die ca (warum auch immer) der gegenseite importieren. Lief auch nicht wirklich.
Member: aqui
aqui Sep 09, 2017 at 11:21:11 (UTC)
Goto Top
Es ist natürlich auch das Host Zertifikat. User gibt es in dem Sinne ja gar nicht !
Die Seiten müssen die Host Zertifikate der jeweils gegenüberliegenden Seiten kennen.
Member: DasBrot
DasBrot Sep 11, 2017 updated at 11:44:02 (UTC)
Goto Top
Also wenn ich IKEV2 eintrage steht da trotzdem PSK.
OK also bei Authentication Method Mutual RSA eingetragen.

Dann wird nach My Certificate Also mein Zertifikat gefragt... und nach der CA. Keine Rede von der Gegenseite.
Fertig konfiguriert kennt dann doch auch wieder nur jede Seite ihr eigenes Zertifikat.
Wenn ich das Zertifikat der Gegenseite zuvor importiere, aber nur meine CA eintragen kann hilft das ja auch nicht weiter ?

Es kann doch nicht gewollt sein das ich wirklich die CA der Gegenseite importieren soll ?
Aber die Anleitung hier funktioniert auch nicht. https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start

Dort wird tatsächlich die CA importiert.

Verzweifelt habe ich nun Openvpn versucht. Leider gibt es scheinbar auch dort keine Anleitung die auf Zertifikate eingeht.


Edit.
Habe jetzt mal die CA´s ausgetausch. Mal sehen was passiert.
Member: aqui
aqui Sep 11, 2017 updated at 16:35:06 (UTC)
Goto Top
Also ich kann nur sagen das es mit dem Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
sauber und fehlerfrei mit IKEv2 Host Zertifikaten funktioniert OHNE das man irgendwas importieren muss. Allerdings mit Pre Shared Keys natürlich für die Tunnel Sessions.
Leider gibt es scheinbar auch dort keine Anleitung die auf Zertifikate eingeht.
Doch die gibt es hier natürlich. Einfach mal die Suchfunktion benutzen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Member: DasBrot
DasBrot Sep 21, 2017 updated at 10:08:22 (UTC)
Goto Top
Also ich habs jetzt laufen.
Das es bei dir mit der Anleitung geht, ist mir schleierhaft. Bei mir ist das alles nur eine Roadwarrioranleitung. Da steht ja auch ... für mobile Benutzer. Das funktioniert ja auch. Ich glaube wir reden die ganze Zeit aneinander vorbei ;) Ich meine die Verbindung zwischen zwei PFsense also Netz zu Netz.
Das Gleiche gilt für den zweiten Link. Der ist für DDWRT .....

Lange Rede kurzer Sinn man muss tatsächlich die CA´s gegenseitig importieren. Das war mir erst mal neu. Bzw. kannte ich so nicht.
Member: aqui
aqui Sep 21, 2017 updated at 12:53:00 (UTC)
Goto Top
ich meine die Verbindung zwischen zwei PFsense also Netz zu Netz.
OK, das hatte ich dann missverstanden oder du dich gedrückt aus etwas ungeschickt face-wink
Gut wenn's nun rennt wie es soll.