21
PFSense mit Fritzboxen verbinden
Hallo,
ich möchte drei Standorte miteinander verbinden. Um die Konstellation einfacher darzustellen habe ich eine kleine Skizze gezeichnet
Die Verbindung von Standort A nach B und C und andersrum funktioniert bereits, was nicht geht ist von B nach C und von B,C nach A (auf das zweite Netz 192.168.1.0). Die PFSense ist noch auf der Version 2.1.5, die Fritzboxen sind jeweils mit der Version 7.12. Mittlerweile habe ich das ganze zum testen nachgebaut mit der PFSense 2.4.4, aber auch hier sind die gleichen Probleme
Der Cisco 3750 auf Standort A bildet die Netze 192.168.0.0 und 192.168.1.0 und hat ne Default Route zu 192.168.0.201 (PFSense)
In der PFSense ist eine Route zu 192.168.1.0 Richtung Cisco. Alle Netze kommen ins Internet.
Die Verbindung der Fritzboxen mit der PFSense sind über IPSEC realisiert, auf der Fritzbox Seite ist die Konfig nach dieser Anleitung angepasst
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
(Das zweite Netz unter "Permit" eingetragen und zusätzlich ne Route)
Auf der PFSense ist unter IPSEC Phase 2 ebenfalls das zweite Netz eingetragen
Die Firewall hat bei den Schnittstellen IPSEC, OPT1 (Internetzugang) und LAN die Scheunentorregel zum testen bekommen, und die Auswertung der Logdateien hat mich bisher noch nicht weiter gebracht. Ist mein Vorhaben so überhaupt realisierbar?
Nachdem ich keine Anleitung gefunden habe die mich weiter bringt hoffe ich das ihr mir ein paar wertvolle Tipps geben könnt
Gruß
Coachi
ich möchte drei Standorte miteinander verbinden. Um die Konstellation einfacher darzustellen habe ich eine kleine Skizze gezeichnet
Die Verbindung von Standort A nach B und C und andersrum funktioniert bereits, was nicht geht ist von B nach C und von B,C nach A (auf das zweite Netz 192.168.1.0). Die PFSense ist noch auf der Version 2.1.5, die Fritzboxen sind jeweils mit der Version 7.12. Mittlerweile habe ich das ganze zum testen nachgebaut mit der PFSense 2.4.4, aber auch hier sind die gleichen Probleme
Der Cisco 3750 auf Standort A bildet die Netze 192.168.0.0 und 192.168.1.0 und hat ne Default Route zu 192.168.0.201 (PFSense)
In der PFSense ist eine Route zu 192.168.1.0 Richtung Cisco. Alle Netze kommen ins Internet.
Die Verbindung der Fritzboxen mit der PFSense sind über IPSEC realisiert, auf der Fritzbox Seite ist die Konfig nach dieser Anleitung angepasst
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
(Das zweite Netz unter "Permit" eingetragen und zusätzlich ne Route)
Auf der PFSense ist unter IPSEC Phase 2 ebenfalls das zweite Netz eingetragen
Die Firewall hat bei den Schnittstellen IPSEC, OPT1 (Internetzugang) und LAN die Scheunentorregel zum testen bekommen, und die Auswertung der Logdateien hat mich bisher noch nicht weiter gebracht. Ist mein Vorhaben so überhaupt realisierbar?
Nachdem ich keine Anleitung gefunden habe die mich weiter bringt hoffe ich das ihr mir ein paar wertvolle Tipps geben könnt
Gruß
Coachi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 543936
Url: https://administrator.de/contentid/543936
Printed on: April 24, 2024 at 09:04 o'clock
21 Comments
Latest comment
was nicht geht ist von B nach C
Das Thema hatten wir vor kurzem hier. Einfach mal die Suchfunktion benutzen... 
Du hast vermutlich auch schlicht und einfach vergessen die Phase 2 Credentials zur Kopplung der anderen Standortnetze einzutragen. Oder wenn du es gemacht hast hast du vermutlich die falschen IP Netze dort eingetragen ?!
Das folgende Tutorial das genau deinem Design entspricht zeigt dir wie man es richtig macht und damit kommt das dann auch sofort zum Fliegen.
Nur nochmal zur Sicherheit:
Standort B muss die Netze:
192.168.0.0 /24
192.168.1.0 /24
192.168.15.0 /24
eingetragen haben im IPsec Setup. Und Standort C:
192.168.0.0 /24
192.168.1.0 /24
192.168.9.0 /24
Die pfSense muss P2 Credentials für
Tunnel 1 zur FB-B:
Local network: 192.168.15.0 /24 -> Remote network: 192.168.9.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.9.0 /24
Local network: LAN-1 -> Remote network: 192.168.9.0 /24
Tunnel 2 zur FB-C:
Local network: 192.168.9.0 /24 -> Remote network: 192.168.15.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.15.0 /24
Local network: LAN-1 -> Remote network: 192.168.15.0 /24
eingetragen haben.
Hier findest du die schnelle Lösung dazu:
PfSense IPsec hub and spoke
Was alternativ ginge ist einen zweiten Tunnel bei den Fritzboxen zu etablieren direkt zw. B und C. Ob ein zweiter IPsec Tunnel aber auf den FBs supportet ist entzieht sich meiner Kenntniss.
Danke Aqui, ich hab immer über Google gesucht und bin oft auf dieses Forum gekommen wobei ich den von dir beschriebenen Link noch nicht kenne. Ich schaue mir das die Tage mal an und melde mich
Den direkten Tunnel zw B und C will ich nicht haben, das ganze soll schon als Stern aufgebaut sein. Evtl kommen noch weitere Standorte hinzu und auch der Cisoc 3750 hat noch weitere Netze, der Einfachheit halber hab ich die aber nicht erwähnt. Sobald das beschriebene Szenario funktioniert weiss ich ja wie es geht und kann alles weitere hinzufügen
In der IPSEC Config der Fritten stehen die Netze sicher drinnen, auf der PFSense bin ich nicht sicher ob alles passt aber das überprüfe ich natürlich
Den direkten Tunnel zw B und C will ich nicht haben, das ganze soll schon als Stern aufgebaut sein. Evtl kommen noch weitere Standorte hinzu und auch der Cisoc 3750 hat noch weitere Netze, der Einfachheit halber hab ich die aber nicht erwähnt. Sobald das beschriebene Szenario funktioniert weiss ich ja wie es geht und kann alles weitere hinzufügen
In der IPSEC Config der Fritten stehen die Netze sicher drinnen, auf der PFSense bin ich nicht sicher ob alles passt aber das überprüfe ich natürlich
Den direkten Tunnel zw B und C will ich nicht haben, das ganze soll schon als Stern aufgebaut sein.
Das wollte der TO des o.a. Lösungsthreads auch nicht. Ist auch OK aber dann musst du die P2 Credentials konfigurieren, was aber auch kein Thema ist.Damit klappt das dann fehlerlos.
auf der PFSense bin ich nicht sicher ob alles passt aber das überprüfe ich natürlich
Du hast ja die Screenshots des Lösungsthreads als sichere Orientierung !
Hallo Aqui,
kann es sein das du im IPSEC Phase 2 der PFSense die IPs der Standorte C und B vertauscht hast?
Konnte heute nur kurz testen und mit deiner Konfig geht gar keine IP Verbindung mehr, hab mir auch den Lösungsthread angeschaut und komme zum Ergebnis das da ein Fehler ist wie du es beschrieben hast...
Der Lösungsthread ist auch etwas anders, klar B und C können bei mir (noch) nicht miteinander aber mein Problem ist auch das B und C nur mit dem Haupt LAN von A (192.168.0.0) können, nicht mit den weiteren LANs z.b. 192.168.1.0 die der Cisco verwaltet bzw aufspannt.
Das ist so konfiguriert das es vom Cisco ne Defaultroute zur PFSense gibt und in der Sense hab ich Routen zu 192.168.1.0... erstellt. Kann da evtl auch ein Problem liegen?
Wenn ich das IPSEC so konfiguriere wie ich denke (nicht dein Lösungsvorschlag) kommen die Tunnels auch hoch, nur Traffic z.B. Ping geht nach wie vor nicht
kann es sein das du im IPSEC Phase 2 der PFSense die IPs der Standorte C und B vertauscht hast?
Konnte heute nur kurz testen und mit deiner Konfig geht gar keine IP Verbindung mehr, hab mir auch den Lösungsthread angeschaut und komme zum Ergebnis das da ein Fehler ist wie du es beschrieben hast...
Der Lösungsthread ist auch etwas anders, klar B und C können bei mir (noch) nicht miteinander aber mein Problem ist auch das B und C nur mit dem Haupt LAN von A (192.168.0.0) können, nicht mit den weiteren LANs z.b. 192.168.1.0 die der Cisco verwaltet bzw aufspannt.
Das ist so konfiguriert das es vom Cisco ne Defaultroute zur PFSense gibt und in der Sense hab ich Routen zu 192.168.1.0... erstellt. Kann da evtl auch ein Problem liegen?
Wenn ich das IPSEC so konfiguriere wie ich denke (nicht dein Lösungsvorschlag) kommen die Tunnels auch hoch, nur Traffic z.B. Ping geht nach wie vor nicht
kann es sein das du im IPSEC Phase 2 der PFSense die IPs der Standorte C und B vertauscht hast?
Ja, sorry....du hast natürlich Recht. Im Eifer des Gefechts ein Zahlendreher. Klar das damit dann nix geht, sind die völlig falschen Standort IPs in den Phase 2 SAs. Sorry nochmals für den Fauxpas...Richtig ist natürlich:
Tunnel 1 zur FB-B:
Local network: 192.168.15.0 /24 -> Remote network: 192.168.9.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.9.0 /24
Local network: LAN-1 -> Remote network: 192.168.9.0 /24
Tunnel 2 zur FB-C:
Local network: 192.168.9.0 /24 -> Remote network: 192.168.15.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.15.0 /24
Local network: LAN-1 -> Remote network: 192.168.15.0 /24
Das ist so konfiguriert das es vom Cisco ne Defaultroute zur PFSense gibt und in der Sense hab ich Routen zu 192.168.1.0... erstellt. Kann da evtl auch ein Problem liegen?
Nein, das ist absolut korrekt so ! Wenn du aus den Subnetzen am Cisco L3 Switch das 0.201er Interface der pfSense fehlerlos pingen kannst ist das alles korrekt.Du musst die Phase 2 SAs so ändern wie oben. Eingehender .9.0er Traffic mit Destination IP .15.0 wird dann in den Tunnel zu C geroutet und andersrum eingehender .15.0er Traffic mit Destination IP .9.0 in den Tunnel zu B.
Sehr wichtig ist dann auch noch das du in den virtuellen VPN Interfaces der pfSense natürlich noch die FW Regeln anpasst das dieser Traffic dort passieren darf.
Das gilt natürlich auch für die LAN Interfaces der pfSense solltest du dort statt einer "any zu any" Scheunentorregel spezifische Regeln definiert haben !!!
LAN ist bei dir wichtig denn dort muss auch Traffic aus den lokalen Subnetzen des Catalysten passieren dürfen. Solltest du dort keine "any zu any" Scheunentorregel haben, und z.B. nur Traffic aus dem "LAN1 network" als Absender passieren lassen wird Traffic aus dem .1.0er Subnetz natürlich geblockt.
Hier musst du also aufs Regelwerk der pfSense achten !
Alles klar, hab schon gegrübelt ob ich evtl nen Denkfehler hab
Ja vom L3 Catalyst kann ich von allen Subnetzen das 0.201 erreichen, das ging immer schon...
Die any to any Regel ist nur jetzt zum testen am Referenzsystem drinnen und wird natürlich wieder eingeschränkt auf das was wir brauchen. Aber zum testen ist es halt so einfacher nicht das ich eigentlich alles korrekt konfiguriert hab und es scheitert an der Firewall
Hoff ich komm gleich am Montag zum testen
Danke für die Infos und schönes WE
Ja vom L3 Catalyst kann ich von allen Subnetzen das 0.201 erreichen, das ging immer schon...
Die any to any Regel ist nur jetzt zum testen am Referenzsystem drinnen und wird natürlich wieder eingeschränkt auf das was wir brauchen. Aber zum testen ist es halt so einfacher nicht das ich eigentlich alles korrekt konfiguriert hab und es scheitert an der Firewall
Hoff ich komm gleich am Montag zum testen
Danke für die Infos und schönes WE
Hallo Aqui,
hab heut alles konfiguriert wie von dir beschrieben aber es geht leider nicht. Die Tunnels kommen hoch bzw die Netze stehen auf connected aber ich kann nichts pingen.
Es geht nach wie vor das was immer ging, also von Standort A aus dem nuller Netz komm ich auf Standort B und C, ebenso andersrum, B und C kommen nach wie vor nicht auf A z.B. 1er Netz und von A 1 er Netz komm ich auch nicht auf B und C
Jetzt stellt sich die Frage woran es scheitert. Entweder ich hab an der Firewall noch ein Problem obwohl Scheunentorregeln erstellt sind oder es fehlen an der Sense noch Routen?
Weiss jetzt nicht was ich noch überprüfen kann bzw was du brauchst um dem Fehler auf die Schliche zu kommen?
hab heut alles konfiguriert wie von dir beschrieben aber es geht leider nicht. Die Tunnels kommen hoch bzw die Netze stehen auf connected aber ich kann nichts pingen.
Es geht nach wie vor das was immer ging, also von Standort A aus dem nuller Netz komm ich auf Standort B und C, ebenso andersrum, B und C kommen nach wie vor nicht auf A z.B. 1er Netz und von A 1 er Netz komm ich auch nicht auf B und C
Jetzt stellt sich die Frage woran es scheitert. Entweder ich hab an der Firewall noch ein Problem obwohl Scheunentorregeln erstellt sind oder es fehlen an der Sense noch Routen?
Weiss jetzt nicht was ich noch überprüfen kann bzw was du brauchst um dem Fehler auf die Schliche zu kommen?
Es scheint in der Tat etwas tricky zu sein. Der AVM_Tipp zum Routen der 2 und mehr Netze schein nur unter FritzBoxen zu klappen. Das wird einem auch schnell klar wenn man sich in einer FritzBox einmal die VPN Konfig genauer ansieht. Dort verbleibt auch immer nur eine einzige Phase 2 SA, auch wenn mehrere IP Netze über die ACL Definition geroutet werden. Das ist irgendwie nicht IPsec konform und klappt vermutlich nur in einer reinen AVM FritzBox Umgebung.
Ein kurzer VPN Testaufbau damit scheiterte schon daran das die Phase 2 SA nicht hochkamen obwohl die FB Konfig Datei entsprechend richtig angepasst wurde. Das AVM aber auch sepearat eine "Verbindung mit einem Firmennetz" im FB Konfig Setup ausweist verstärkt die Befürchtung das die obige "ACL" Lösung rein nur mit FB VPNs klappt.
Es wäre mal interessant wie deine Konfigs aussehen und du es geschafft hast die Phase 2 SA zu negotiaten. Hier klappte es mit einer FritzBox 7240 in keiner Kombination.
Es gibt aber einen pfiffigen Workaround wenn man ein einigermaßen intelligentes IP Addressierungs Schema nutzt mit den remoten FritzBox Netzen und den Netzen am Hauptstandort.
Der Testaufbau in Ermangelung von FritzBoxen mit einem Mikrotik:
Der Workaround ist hier die FBs mit einem größeren Prefix sprich Subnetzmaske (hier 17 Bit) negotiaten zu lassen.
Das routet dann hier im Beispiel alles was 192.168.0.0 bis 192.168.127.254 als Zieladresse hat in den Tunnel und damit erreicht man dann wieder die ganzen Netze hinter den FBs.
Setup der pfSense:
Ein Ping vom lokalen LAN der pfSense in beide gerouteten IP Netze klappt:
Und auch ein Ping in diese Netze direkt aus dem lokalen FritzBox LAN:
Ansonsten, um in einem IPsec konformen Umfeld standardkonform zu sein, kann man dann nur die Option "Verbindung mit einem Firmennetz" klicken was aber auch nur ein Zielnetz zulässt.
Man müsste dann die FritzBox Konfig mit diesem VPN Setup exportieren und in der Sicherungsdatei mit einem Editor (ist nochmaler ASCCI Text) die VPN Konfig anpassen und zurücksichern.
Zumindestens mit meiner alten 7240 ging das nicht, denn sowie dort nur ein Zeichen verändert wurde akzeptiert die FB diese Sicherung nicht mehr als "Import" Datei !
Man muss sicher nicht extra betonen das das Setup mit den 2mal Phase 2 in einem Mikrotik Setup statt der FritzBoxen fehlerfrei und sauber funktioniert !
Just for Info das Routing Setup des Mikrotik:
Ein kurzer VPN Testaufbau damit scheiterte schon daran das die Phase 2 SA nicht hochkamen obwohl die FB Konfig Datei entsprechend richtig angepasst wurde. Das AVM aber auch sepearat eine "Verbindung mit einem Firmennetz" im FB Konfig Setup ausweist verstärkt die Befürchtung das die obige "ACL" Lösung rein nur mit FB VPNs klappt.
Es wäre mal interessant wie deine Konfigs aussehen und du es geschafft hast die Phase 2 SA zu negotiaten. Hier klappte es mit einer FritzBox 7240 in keiner Kombination.
Es gibt aber einen pfiffigen Workaround wenn man ein einigermaßen intelligentes IP Addressierungs Schema nutzt mit den remoten FritzBox Netzen und den Netzen am Hauptstandort.
Der Testaufbau in Ermangelung von FritzBoxen mit einem Mikrotik:
Der Workaround ist hier die FBs mit einem größeren Prefix sprich Subnetzmaske (hier 17 Bit) negotiaten zu lassen.
Das routet dann hier im Beispiel alles was 192.168.0.0 bis 192.168.127.254 als Zieladresse hat in den Tunnel und damit erreicht man dann wieder die ganzen Netze hinter den FBs.
Setup der pfSense:
Ein Ping vom lokalen LAN der pfSense in beide gerouteten IP Netze klappt:
Und auch ein Ping in diese Netze direkt aus dem lokalen FritzBox LAN:
C:\User> ipconfig
Windows-IP-Konfiguration
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: fritz.box
Verbindungslokale IPv6-Adresse . : fe80::f488:debb:1234:f237%19
IPv4-Adresse . . . . . . . . . . : 192.168.188.20
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.188.1
C:\User> ping -n 2 192.168.1.1
Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Antwort von 192.168.1.1: Bytes=32 Zeit=2ms TTL=63
Antwort von 192.168.1.1: Bytes=32 Zeit=2ms TTL=63
Ping-Statistik für 192.168.1.1:
Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 2ms, Maximum = 2ms, Mittelwert = 2ms
C:\User> ping -n 2 192.168.88.1
Ping wird ausgeführt für 192.168.88.1 mit 32 Bytes Daten:
Antwort von 192.168.88.1: Bytes=32 Zeit=2ms TTL=62
Antwort von 192.168.88.1: Bytes=32 Zeit=2ms TTL=62
Ping-Statistik für 192.168.88.1:
Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 2ms, Maximum = 2ms, Mittelwert = 2ms Ansonsten, um in einem IPsec konformen Umfeld standardkonform zu sein, kann man dann nur die Option "Verbindung mit einem Firmennetz" klicken was aber auch nur ein Zielnetz zulässt.
Man müsste dann die FritzBox Konfig mit diesem VPN Setup exportieren und in der Sicherungsdatei mit einem Editor (ist nochmaler ASCCI Text) die VPN Konfig anpassen und zurücksichern.
Zumindestens mit meiner alten 7240 ging das nicht, denn sowie dort nur ein Zeichen verändert wurde akzeptiert die FB diese Sicherung nicht mehr als "Import" Datei !
Man muss sicher nicht extra betonen das das Setup mit den 2mal Phase 2 in einem Mikrotik Setup statt der FritzBoxen fehlerfrei und sauber funktioniert !
Just for Info das Routing Setup des Mikrotik:
Hallo Aqui,
ok dann geht es also nicht nur bei mir nicht! Hab schon sehr an mir gezweifelt
Ob du es glaubst oder nicht aber mir war es schon länger ein Dorn im Auge das in der VPN Konfig der Fritte nur ein Netz steht. Die Einträge "permit..." waren meiner Ansicht nach nur für die Firewall der Fritzbox und ich hab mich schon immer gefragt wie das eig gehen soll. Laut AVM und diversen Forenbeiträgen passt diese Konfig aber, jetzt wissen wir wohl das es nur unter Fritzboxen funktioniert Hab auch die Konfig schon versuchsweise geändert und weitere Netze hinzugefügt, soweit ich weiss hat sie das bei mir auch angenommen, nur funktioniert hat es nie. Könnte natürlich auch an anderen Fehlern gelegen haben die ich damals hatte. Hab das dann wieder verworfen...
Wenn die von dir geschriebene Lösung mit dem veränderten Prefix funktioniert ist das eine sehr brauchbare und leicht umzusetzende Lösung sowohl in der IPSEC Konfig der FB als auch in der PFSense, müssen ja nur die Netze rausgeschmissen werden und das Hauptnetz mit der geänderten Maske eingetragen werden. Unser Netzbereich kann dafür verwendet werden, wir haben derzeit alles auf klassisches C-Netz
Ich teste das morgen und gebe Rückmeldung.
Das es beim Mikrotic geht wundert mich nicht, das ganze ist ja eig nichts besonderes ausser man setzt Fritzboxen ein Es ist halt nur so das die schon da sind
ok dann geht es also nicht nur bei mir nicht! Hab schon sehr an mir gezweifelt
Ob du es glaubst oder nicht aber mir war es schon länger ein Dorn im Auge das in der VPN Konfig der Fritte nur ein Netz steht. Die Einträge "permit..." waren meiner Ansicht nach nur für die Firewall der Fritzbox und ich hab mich schon immer gefragt wie das eig gehen soll. Laut AVM und diversen Forenbeiträgen passt diese Konfig aber, jetzt wissen wir wohl das es nur unter Fritzboxen funktioniert
Hab auch die Konfig schon versuchsweise geändert und weitere Netze hinzugefügt, soweit ich weiss hat sie das bei mir auch angenommen, nur funktioniert hat es nie. Könnte natürlich auch an anderen Fehlern gelegen haben die ich damals hatte. Hab das dann wieder verworfen...Wenn die von dir geschriebene Lösung mit dem veränderten Prefix funktioniert ist das eine sehr brauchbare und leicht umzusetzende Lösung sowohl in der IPSEC Konfig der FB als auch in der PFSense, müssen ja nur die Netze rausgeschmissen werden und das Hauptnetz mit der geänderten Maske eingetragen werden. Unser Netzbereich kann dafür verwendet werden, wir haben derzeit alles auf klassisches C-Netz
Ich teste das morgen und gebe Rückmeldung.
Das es beim Mikrotic geht wundert mich nicht, das ganze ist ja eig nichts besonderes ausser man setzt Fritzboxen ein
Es ist halt nur so das die schon da sind
Ich hatte auch schon in der FritzBox VPN Konfig die Phase2 editiert und eine 2te nachgetragen aber das scheint auch nicht zu klappen.
Das FritzBox Log meldet dann immer einen "IKE Error". Das kann wohl auch nur AVM beantworten ob sie sich da dann Standard konform verhalten aber vermutlich nicht. Die werden ganz sicher auch nichts (umsonst) troubleshooten was nicht FritzBox only ist....
Das mit dem größeren Prefix ist aber ein sauber funktionierender Workaround in so einem Umfeld.
Das FritzBox Log meldet dann immer einen "IKE Error". Das kann wohl auch nur AVM beantworten ob sie sich da dann Standard konform verhalten aber vermutlich nicht. Die werden ganz sicher auch nichts (umsonst) troubleshooten was nicht FritzBox only ist....
Das mit dem größeren Prefix ist aber ein sauber funktionierender Workaround in so einem Umfeld.
Zitat von @aqui:
Das mit dem größeren Prefix ist aber ein sauber funktionierender Workaround in so einem Umfeld.
Das mit dem größeren Prefix ist aber ein sauber funktionierender Workaround in so einem Umfeld.
Es hat schon einen Grund, warum man das Fritzbox-IPsec nur in 0815-Situationen (Ein User will nach hause telefonieren.
) nutzt und ansonsten andere Lösungen nimmt. lks
So, aktueller Stand ist das es jetzt geht
Es lag an zwei Punkten, in der Fritzbox darf keine Route zu den neuen Netzen drinnen stehen. Wenn eine drin steht geht der Ping und somit die Verbindung nicht.
Zweiter Punkt, in meiner IPSEC Scheunentorregel war ein Fehler, ich hab statt LAN_Gate das OPT_Gate (Internetschnittstelle) drinnen gehabt!
Mit der VPN Konfig der Fritzbox hab ich auch noch bisschen getestet, es reicht wenn das Grundnetz drinnen steht und unter "Permit... " die zu erreichenden Netze. (alte Variante)
Hier hab ich jetzt aber die IP mit der 17er Maske bei "remoteid" und bei "Permit..." stehen lassen, weil es einfacher ist für die zukünftige Standortvernetzung. Dadurch müssen die Boxen nicht mehr angelangt werden wenn ein Standort hinzu kommt
Vielen Dank Aqui, ohne dich hätte ich es nicht geschafft
Es lag an zwei Punkten, in der Fritzbox darf keine Route zu den neuen Netzen drinnen stehen. Wenn eine drin steht geht der Ping und somit die Verbindung nicht.
Zweiter Punkt, in meiner IPSEC Scheunentorregel war ein Fehler, ich hab statt LAN_Gate das OPT_Gate (Internetschnittstelle) drinnen gehabt!
Mit der VPN Konfig der Fritzbox hab ich auch noch bisschen getestet, es reicht wenn das Grundnetz drinnen steht und unter "Permit... " die zu erreichenden Netze. (alte Variante)
Hier hab ich jetzt aber die IP mit der 17er Maske bei "remoteid" und bei "Permit..." stehen lassen, weil es einfacher ist für die zukünftige Standortvernetzung. Dadurch müssen die Boxen nicht mehr angelangt werden wenn ein Standort hinzu kommt
Vielen Dank Aqui, ohne dich hätte ich es nicht geschafft
in der Fritzbox darf keine Route zu den neuen Netzen drinnen stehen.
Nee, das ist aber schon immer klar, da die Routen ja automatisch mit den IPsec SAs angelegt werden. Zusätzliche statische Routen im VPN wären generell völliger Unsinn bei IPsec. Die gehören da auch bei FritzBoxen niemals hin.ich hab statt LAN_Gate das OPT_Gate (Internetschnittstelle) drinnen gehabt!
Bahnhof, Ägypten ???Da wird doch nirgendwo irgendein Gateway definiert !! Source und Destination IP die passieren sollen und ggf. die TCP/UDP Ports das wars ! Nirgendwo Gateways ??? Du sprichst in Rätseln oder bist völlig auf dem falschen Dampfer mit den Regeln !
Wenn du dir da natürlich schon den Ast absägst auf dem du sitzt dann muss man sich auch nicht groß wundern das es mit nochso richtiger IPsec Konfig nicht geht !
Hier hab ich jetzt aber die IP mit der 17er Maske bei "remoteid" und bei "Permit..."
Du meinst die Accessliste der VPN Konfig wie es im AVM Tip "mehrere Netze hinter FB.." steht ??es reicht wenn das Grundnetz drinnen steht
Was genau soll ein "Grundnetz" sein ?! Kenn ich nur aus der Fischerei wo man damit am Meeresboden fischt.... Aber egal... wenns nun alles klappt ist ja alles gut !
Case closed
...und dann bitte auch
How can I mark a post as solved?
nicht vergessen.
Hallo Aqui,
in meinem Eingangspost hab ich bereits geschrieben das die IPSEC Konfig der Fritzbox nach dieser Anleitung
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
konfiguriert ist und das ich ne Route in das "Fremdnetz" 192.168.1.0 hab so wie es auch eindeutig in der Anleitung steht.
Das die Route nicht in die Fritzbox gehört haben wir so nicht besprochen bzw du hast da auch nicht eingehackt, von daher war für mich klar die muss dahin
Ich muss mir das morgen nochmal anschauen aber aus dem Kopf raus bin ich der Meinung das man bei der Konfig der Firewall im IPSEC Bereich ein Gate eintragen muss, kann mich jetzt aber auch irren. Unterm Strich war das falsche drin, da hab ich falsch herum gedacht ... Jetzt steht das LAN_Gate drinnen und es geht jedenfalls
Am Hauptstandort A ist ein Layer 3 Cisco Switch mit mehreren Netzen, in meinem Fall bezeichne ich das 192.168.0.0 als Grundnetz aus der Sicht
des LAN Switches
in meinem Eingangspost hab ich bereits geschrieben das die IPSEC Konfig der Fritzbox nach dieser Anleitung
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
konfiguriert ist und das ich ne Route in das "Fremdnetz" 192.168.1.0 hab so wie es auch eindeutig in der Anleitung steht.
Das die Route nicht in die Fritzbox gehört haben wir so nicht besprochen bzw du hast da auch nicht eingehackt, von daher war für mich klar die muss dahin
Ich muss mir das morgen nochmal anschauen aber aus dem Kopf raus bin ich der Meinung das man bei der Konfig der Firewall im IPSEC Bereich ein Gate eintragen muss, kann mich jetzt aber auch irren. Unterm Strich war das falsche drin, da hab ich falsch herum gedacht ... Jetzt steht das LAN_Gate drinnen und es geht jedenfalls
Am Hauptstandort A ist ein Layer 3 Cisco Switch mit mehreren Netzen, in meinem Fall bezeichne ich das 192.168.0.0 als Grundnetz aus der Sicht
des LAN Switches
und das ich ne Route in das "Fremdnetz" 192.168.1.0 hab so wie es auch eindeutig
Da hast du dann aber die AVM Anleitung vollkommen missverstanden ! Lies dir die nochmal genau durch....Damit ist nicht die remote FritzBox gemeint sondern ausschließlich die FritzBox an der Seite wo die 2 oder mehr lokalen Netze vorhanden sind !
Es ist klar das dort (und nur dort) dann lokal eine statische Route definiert sein muss in diese anderen lokalen Netze.
Bei dir ist da aber gar keine FritzBox sondern die pfSense Firewall, für die das natürlich auch gilt, keine Frage. Aber eben nur für diese Seite und nicht die remote (Standort) Seite.
Mitnichten ist also damit die remote Fritzbox gemeint. Das wäre so oder so Quatsch weil du auf der FritzBox ja auch gar keine statische Route auf das virtuelle Tunnel Interface konfigurieren kannst ! Das lässt die FB gar nicht zu.
Hier hast du also vermutlich den AVM Tip etwas missverstanden ?! Kann das sein ?
Das die Route nicht in die Fritzbox gehört haben wir so nicht besprochen bzw du hast da auch nicht eingehackt
Abgesehen davon das man es gar auch nicht kann wäre es auch sinnfrei. Die Route wird ja durch die IPsec Phase 2 SAs fest vorgegeben !das man bei der Konfig der Firewall im IPSEC Bereich ein Gate eintragen muss,
Nein, das ist nicht der Fall, das muss man nicht. Kannst du auch ja nirgendwo in der o.a. pfSense Konfig sehen.Jetzt steht das LAN_Gate drinnen und es geht jedenfalls
Damit meinst du sicher deinen Layer 3 Switch oder ??Logisch, den muss man in der pfSense als Gateway einstellen und dann eine statische Router dort auf der pfSense definieren für alle IP netze die der Layer 3 Switch routet. Das hat aber rein gar nichts mit dem IPsec VPN zu tun...oder nur bedingt. Klar wenn du hier einen Fehler machst sind die IP Netze am L3 Switch nicht zu erreichen.
in meinem Fall bezeichne ich das 192.168.0.0 als Grundnetz aus der Sicht
Ohne Angabe einer Subnetzmaske ist diese Aussage völlig sinnfrei... Oder meinst du damit das die 192.168.0.0 /24 das lokale LAN ist über das die anderen IP Netze am Cisco Switch geroutet werden ??Letzteres wäre dann richtg und verständlich. Mit Maske noch verständlicher
Ja ich denke das hab ich dann definitiv falsch verstanden Aqui, naja so hab ich es halt jetzt schmerzhaft und mit viel Fehlersuche geschafft
Muss nicht immer ein Nachteil sein, man lernt ja auch dazu...
Im IPSEC Teil der Firewall steht jetzt als Gateway die 192.168.0.101/24 drinnen, bzw bei mir als Lan_Gate hinterlegt. Ich kann auch default machen, dann ist aber wieder mein Lan_Gate hinterlegt. Nichts eintragen geht nicht, hab heute nochmal geschaut.
Genau, und ich hab den Fehler gemacht das ich dort Opt1 (Internetschnittstelle) eingetragen hab
Ja mit Grundnetz meine ich 192.168.0.0 /24, das lokale LAN am Cisco
Das passt jetzt schon, habs verstanden denke ich und es klappt alles wie gewünscht Vielen Dank nochmal und schönes WE
Muss nicht immer ein Nachteil sein, man lernt ja auch dazu...
Im IPSEC Teil der Firewall steht jetzt als Gateway die 192.168.0.101/24 drinnen, bzw bei mir als Lan_Gate hinterlegt. Ich kann auch default machen, dann ist aber wieder mein Lan_Gate hinterlegt. Nichts eintragen geht nicht, hab heute nochmal geschaut.
Genau, und ich hab den Fehler gemacht das ich dort Opt1 (Internetschnittstelle) eingetragen hab
Ja mit Grundnetz meine ich 192.168.0.0 /24, das lokale LAN am Cisco
Das passt jetzt schon, habs verstanden denke ich und es klappt alles wie gewünscht
Vielen Dank nochmal und schönes WEnaja so hab ich es halt jetzt schmerzhaft und mit viel Fehlersuche geschafft
Das vergisst man dann wenigstens so schnell nicht wieder und der Lerneffekt ist unbezahlbar ! Nichts eintragen geht nicht, hab heute nochmal geschaut.
Komisch, hier hat das alles ohne geklappt. Muss man normalerweise auch nicht, aber egal...wenns damit klappt ist gut und dann solltest du es auch so belassen.und ich hab den Fehler gemacht das ich dort Opt1 (Internetschnittstelle) eingetragen hab
Uuhhh böses Faul ! Gegen PEBKAC Probleme hilft dann auch das tollste Forum und der engagierteste Hilfesteller nicht... 
Gleichfalls schönes WE !
So, neuer Nutzer hier, der auf langer Suche im Netz auf deinen Post, Aqui, gestoßen ist.
Der Trick mit dem größeren Prefix mittels Subnetzmaske ist genial und funktioniert super. Es war bei der Diskussion unten etwas schwer durchzusteigen, was jetzt die akzeptierte Lösung ist. Ich fasse das mal für eine Situation zusammen:
Situation:
Ich konnte zwar von der FritzBox Seite auf alles im primary subnet der pfsense (Lan2) zugreifen, aber nichts in VLAN1 war erreichbar. Der Ansatz mit permit ip any in der accesslist von der FritzBox IPSEC config hat nicht geklappt. Ergo, das hier (auf einigen anderen Seiten und den Docs von AVM empfohlen) hat nichts an der Situation geändert:
Jetzt habe ich wie oben geschildert die IPSEC-Einstellungen auf der pfsense Seite auf das Breitere Netzwerk geändert
Auf der FritzBox Seite habe ich alles statt mit dem Interface mittels geladen, so geht es bei mir auch ohne Aggressive mode.
Ich hatte den process in nem post bei superuser für die Nachwelt hinterlegt.
Meine geänderte mit dem breiteren prefix sah dann so aus:
Sowohl bei der accesslist als auch bei der phase2remoteid sind die geänderten Bereiche hinterlegt.
Ich kann jetzt beispielsweise im browser auf der FritzBox Seite 192.168.50.110 aufrufen und erreiche den SolarLogger in der Garage, der Zwecks Sicherheit in einem eigenen VLAN liegt (ein Huawei Gerät :rolleyes. Schön!
Noch besser, dass ich jetzt nichts mehr an der FritzBox config ändern muss, falls auf der pfsense Seite neue subnetze hinzukommen. Ich muss nur darauf achten, diese subnetze im Bereich < 192.168.127.0 anzusiedeln.
Bei der pfsense ist bei mir in der Firewall für IPSEC alles erlaubt, insofern musste ich da nix ändern.
Vielen Dank nochmal für die super Erklärung!
Der Trick mit dem größeren Prefix mittels Subnetzmaske ist genial und funktioniert super. Es war bei der Diskussion unten etwas schwer durchzusteigen, was jetzt die akzeptierte Lösung ist. Ich fasse das mal für eine Situation zusammen:
Situation:
<Lan1 192.168.178.0> <FritzBox 7590> ---IPSEC---<pfsense 2.4.5-RELEASE-p1> <Lan2 192.168.10.0> <VLAN1 192.168.50.0>Ich konnte zwar von der FritzBox Seite auf alles im primary subnet der pfsense (Lan2) zugreifen, aber nichts in VLAN1 war erreichbar. Der Ansatz mit permit ip any in der accesslist von der FritzBox IPSEC config hat nicht geklappt. Ergo, das hier (auf einigen anderen Seiten und den Docs von AVM empfohlen) hat nichts an der Situation geändert:
accesslist = "permit ip any 192.168.10.0 255.255.255.0",
"permit ip any 192.168.50.0 255.255.255.0"; Jetzt habe ich wie oben geschildert die IPSEC-Einstellungen auf der pfsense Seite auf das Breitere Netzwerk geändert
Auf der FritzBox Seite habe ich alles statt mit dem Interface mittels
vpn-fritzbox.cfgIch hatte den process in nem post bei superuser für die Nachwelt hinterlegt.
Meine geänderte
vpn-fritzbox.cfgvpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "FritzBox-pfsense IPSEC"; // Name of Connection
always_renew = yes; // Always connect
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = xxx.xxx.xxx.xxx; // Static IP of pfsense
remote_virtualip = 0.0.0.0;
localid {
fqdn = "xxx.myfritz.net"; // dyndns name of FritzBox
}
remoteid {
ipaddr = xxx.xxx.xxx.xxx; // Static IP of pfsense
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha"; //phase one hashing algorithms to use
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; //strong pre-shared key
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0; //Local network of FritzBox
mask = 255.255.255.0; //Local subnet FritzBox
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0; //Remote network of Pfsense
mask = 255.255.128.0; //Remote subnet Pfsense
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; //phase two hashing algorithms to use
accesslist = "permit ip any 192.168.0.0 255.255.128.0"; //firewall settings for pfsense lan
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}Sowohl bei der accesslist als auch bei der phase2remoteid sind die geänderten Bereiche hinterlegt.
Ich kann jetzt beispielsweise im browser auf der FritzBox Seite 192.168.50.110 aufrufen und erreiche den SolarLogger in der Garage, der Zwecks Sicherheit in einem eigenen VLAN liegt (ein Huawei Gerät :rolleyes
. Schön!Noch besser, dass ich jetzt nichts mehr an der FritzBox config ändern muss, falls auf der pfsense Seite neue subnetze hinzukommen. Ich muss nur darauf achten, diese subnetze im Bereich < 192.168.127.0 anzusiedeln.
Bei der pfsense ist bei mir in der Firewall für IPSEC alles erlaubt, insofern musste ich da nix ändern.
Vielen Dank nochmal für die super Erklärung!
Noch besser, dass ich jetzt nichts mehr an der FritzBox config ändern muss, falls auf der pfsense Seite neue subnetze hinzukommen. Ich muss nur darauf achten, diese subnetze im Bereich < 192.168.127.0 anzusiedeln.
Das war die Intention dieses Tips ! Klasse, das es nun funktioniert wie es soll und danke für das hilfreiche Feedback !!
Case closed !!
Am Ende hat mir noch eine seltsame Situation ein paar Probleme bereitet:
Wenn man in der FritzBox eine neue vpn-fritzbox.cfg läd, während die alte IPSEC-Verbindung noch läuft, dann wird diese unerwartet nicht mit der neuen Konfiguration überschrieben. Die FritzBx "läd" dann zwar die Einstellungen, an der Verbindung ändert sich aber nichts.
Stattessen muss man die alte Verbindung aktiv löschen, dann erst die neue vpn-fritzbox.cfg laden. Mir ist das aufgefallen, weil nach dem laden das alte Remote-Subnetz noch angegeben war (192.168.10.0).
Jetzt sieht es so aus:
Sehr elegante Lösung!!
Wenn man in der FritzBox eine neue vpn-fritzbox.cfg läd, während die alte IPSEC-Verbindung noch läuft, dann wird diese unerwartet nicht mit der neuen Konfiguration überschrieben. Die FritzBx "läd" dann zwar die Einstellungen, an der Verbindung ändert sich aber nichts.
Stattessen muss man die alte Verbindung aktiv löschen, dann erst die neue vpn-fritzbox.cfg laden. Mir ist das aufgefallen, weil nach dem laden das alte Remote-Subnetz noch angegeben war (192.168.10.0).
Jetzt sieht es so aus:
Sehr elegante Lösung!!
Auch ein wichtiges Feedback für FritzBox VPN User !
