fischi71
08.01.2024, aktualisiert am 11.01.2024
view1551
view16
0
Goto Top

PFSense und Lancom

gelöstFrageNetzwerkeRouter, Routing
Ich habe eine PFSense Firewall (LAN1) die ich per IPSEC an einen LANCOM (LAN2) verbunden habe.
Ich kann problemlos LAN2 aus LAN 1 erreichen. Ich möchte aber zusätzlich ein weiteren IP Bereich durch den Tunnel leiten und das bekomme ich nicht hin. Hat jemand einen Tip für mich?!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 82142805453

Url: https://administrator.de/contentid/82142805453

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

16 Kommentare
Neuester Kommentar
Goto Top
orcape
orcape 08.01.2024 um 08:51:45 Uhr
Goto Top
Hi,
nur mal im Vorfeld gefragt. Was erwartest Du für Antworten auf eine Frage, die eigentlich Null Informationen enthält, außer der Info, das es sich um eine pfSense und einen LANCOM mit IPSec-Tunnel handelt.
Die Glaskugel habe ich gerade verborgt. face-wink
Also bitte ein wenig mehr Input. IP-Konfiguration, Logs, etc....
Gruß orcape
Fischi71
Fischi71 08.01.2024 um 09:27:04 Uhr
Goto Top
Also lokales Netz 192.168.100.0 entferntes Netz 210.121.115.0 beide per IPSEC verbunden. jetzt will ich auf der Seite wo das Netz 210.121.115.0 ist noch das Netz 192.168.22.0 erreichen. Da der Lancom auf der Gegenseite ebenfalls ein Routing vornimmt. Phase1 eingerichtet Phase2 mit dem LAn netz 210.121.115.0 eingerichtet. weder ein zusätzlicher Eintrag in Phase 2 bringt erfolg. Noch kann ich ein zusätzliches Gateway einrichten um die Anfragen in den VPN Tunnel zu leiten. er gibt die Anfragen immer ins freie Internet weiter anstatt in den Tunnel.
orcape
orcape 08.01.2024 um 09:44:14 Uhr
Goto Top
Zum einen ist die IP 210.121.115.0 keine freigegebene private IP-Adresse, es sei denn es ist eine vom Provider zugeteilte IP.
https://www.ionos.de/hilfe/server-cloud-infrastructure/privates-netzwerk ...
Das solltest Du möglichst ändern.
Wenn Du Dich nicht weiter an der Config des bestehenden Tunnels vergreifen willst, wäre die einfachste Lösung, die Änderung der Netzmaske von z.B. /24 auf /16.
Wobei Du das 2. erreichbare Netz in eben diesem 16er Bereich des ersten Netzes platzierst.
Fischi71
Fischi71 08.01.2024 um 09:50:05 Uhr
Goto Top
Die IP Adressen sind vorgegeben es handelt sich dabei um Konzernvorgaben!
orcape
orcape 08.01.2024 um 10:11:48 Uhr
Goto Top
Du willst auf der LANCOM-Seite ein weiteres Netz erreichen. Wie sieht denn die config dort aus, denn ein weiterer Phase2-Eintrag auf der pfSense ist wohl nur die halbe Wahrheit.
Fischi71
Fischi71 08.01.2024 aktualisiert um 10:22:05 Uhr
Goto Top
Also Routing ist eingetragen auf dem Lancom. Wenn ich ein tracert mache sehe ich das die Pakete gleich ins öffentliche Netz geleitet werden.
radiogugu
radiogugu 08.01.2024 um 12:21:49 Uhr
Goto Top
Mahlzeit.

Zitat von @Fischi71:
Also Routing ist eingetragen auf dem Lancom. Wenn ich ein tracert mache sehe ich das die Pakete gleich ins öffentliche Netz geleitet werden.

Lancoms fand ich immer gruselig. Hast du die Einrichtung entsprechend des Lancom Tutorials eingerichtet, bzw. gibt es bei deiner Konfiguration Abweichungen (IP Adressen ausgenommen)?

https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/IKEv2_tutori ...

Kannst du mal (anonymisierte) Screenshots der PFSense und Lancom VPN Konfiguration hochladen? Dann würde man vielleicht schneller auf die Ursache stoßen.

Gruß
Marc
Fischi71
Fischi71 08.01.2024 um 12:27:58 Uhr
Goto Top
Mach ich gleich! Lancom ist eingerichtet. Ich persönliche finde Lancom im Handling wesentlich besser und logischer. Aber das ist meine persönliche Meinung. Haben solche Site ti Site Verbindung schon zu hunderte gemacht aber mit PFSense bin ich echt zu blöd
aqui
aqui 08.01.2024 aktualisiert um 16:34:22 Uhr
Goto Top
Du musst lediglich eine 2te Phase 2 eintragen, dann klappt es auch für den 2ten Netzwerkbereich.
Guckst du dazu auch HIER und ein wenig auch hier.
orcape
orcape 08.01.2024 um 18:06:46 Uhr
Goto Top
Haben solche Site ti Site Verbindung schon zu hunderte gemacht aber mit PFSense bin ich echt zu blöd
Wenn Du Dich lange genug damit auseinandergesetzt hast, einfach easy, aber sicher hast Du noch keine Fritzbox-Erfahrungen gemacht. face-wink
Du siehst aber an der Meinung von @radiogugu, das so manch einer LANCOM gruselig findet. face-wink
Im übrigen war die Zuarbeit zum Problem, etwas dürftig, aber Du scheinst ja daran zu arbeiten.
Zieh Dir @aqui 's Links rein, dann sollte das schon klappen. face-wink
heart1
Fischi71
Fischi71 11.01.2024 um 07:42:51 Uhr
Goto Top
Leider hat es so nicht geklappt.
orcape
orcape 11.01.2024 um 08:44:09 Uhr
Goto Top
Leider hat es so nicht geklappt.
Sorry, auch dieser Satz wieder "voll aussagefähig" und reiht sich ein, in..... face-wink
Im übrigen war die Zuarbeit zum Problem, etwas dürftig,...
heart1
radiogugu
radiogugu 11.01.2024 um 08:49:42 Uhr
Goto Top
Zitat von @Fischi71:
Leider hat es so nicht geklappt.

Du musst ein paar mehr Informationen preisgeben, sonst raten wir uns hier im Kreis.

Bitte Auszüge der Logs der beiden Firewalls vom Verbindungsversuch bzw. dessen Scheitern posten. Screenshots der aktuellen Konfiguration wären auch noch immer nicht schlecht (öffentliche IPs natürlich anonymisiert).

Gruß
Marc
heart1
colinardo
Lösung colinardo 11.01.2024 aktualisiert um 12:18:57 Uhr
Goto Top

back-to-topIPSEC IKEv1 PFSENSE <=> LANCOM


back-to-topTest-Environment


pfSense Subnet = 192.168.60.0/24
LANCOM Subnets = 192.168.40.0/24, 210.121.115.0/24

back-to-topSettings pfSense


back-to-topIKE Phase 1


1

back-to-topIPSec Phase 2


screenshot

back-to-topFirewall


Only for testing ANY-ANY

screenshot

back-to-topSettings LANCOM


back-to-topVPN General Settings


screenshot

back-to-topIPv4 Phase2 Rules


screenshot

back-to-topVPN Peer


screenshot

back-to-topConnection Parameters


screenshot

screenshot

screenshot

screenshot

back-to-topPSK and Identities


screenshot

back-to-topExclude remote subnet from NAT


screenshot

back-to-topFinal Test


back-to-topConnection Phase1 & 2


screenshot

back-to-topPING pfSense => LANCOM Subnets


screenshot

screenshot

back-to-topPING LANCOM => pfSense


screenshot

screenshot


IKEv2 analog dazu geht natürlich auch.

Works as designed.

Grüße Uwe
heart3
Fischi71
Fischi71 15.01.2024 um 09:17:06 Uhr
Goto Top
Super Danke teste das mal gleich durch
aqui
aqui 25.01.2024 um 13:25:12 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
gelöstFrageNetzwerkeRouter, Routing
Mehr von Fischi71Fischi71Sharepoint TickerFischi71Fischi71Sharepoint KontaktlisteFischi71Fischi71Sharepoint Spalte FormatierenFischi71 - 10 KommentareFischi71Microsoft FormsFischi71 - 4 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare