Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense - VPN-Verbindung über Captive Portal?

Mitglied: micson

micson (Level 1) - Jetzt verbinden

20.08.2016 um 22:33 Uhr, 2279 Aufrufe, 8 Kommentare

Hallo,

seit mehreren Jahren biete ich unseren Gästen erfolgreich einen WLAN-Zugriff über das Captive Portal von pfSense an. Jetzt kam ein Gast mit dem Anliegen, er möchte gerne eine VPN-Verbindung aufbauen, um auf sein Heim-Netzwerk (NAS) Zugriff zu erhalten. Er konnte jedoch keine Verbindung über VPN herstellen. Mein erster Gedanke war, dass die dafür notwendigen Ports nicht freigeschalten sind.
Nach einiger Recherche konnte ich folgendes herausfinden:

von aqui
IPSec Site to Site mit pfSense - Wobei ich IPSec ja nicht benötige, oder?

Hier nochmal die ToDos dafür:

          • am WAN Port der pfSense statische IP einrichten die außerhalb des DHCP Pools der FB liegt, Gateway und DNS an der pfSense auf die FB IP einstellen.
          • Check an der pfSense unter Diagnostics mit Ping 8.8.8.8 das Internet Connectivity besteht
          • Port Forwarding an der FB vor der pfSense auf die WAN IP Adresse der pfSense einstellen: UDP 500, UDP 4500, ESP Protokoll (IP Protokoll Nr. 50 Achtung: KEIN TCP oder UDP 50 !!)
          • Default Firewall Blocker von RFC 1918 IP Netzen am WAN Port der pfSense entfernen !
          • pfSense Firewall Rule am WAN Port von Eingehend Source ANY auf die Destination WAN IP der pfSense für die o.a. 3 IPsec Ports bzw. Protokolle erlauben !
          • IPsec Verbindung aufbauen, diese sollte dann aktiv sein
          • Entsprechende lokale Interfaces an der remoten pfSense müssen pingbar sein. Voraussetzung ist das auf der anderen Seite genau die o.a. Schritte ebenfalls ausgeführt werden sollte sich die pfSense dort auch HINTER einem NAT Router befinden !
          • Firewall Rules auf dem Tunnel Interface entsprechen anpassen (PASS) das die Pakete der beiden lokalen LANs dort entsprechend im Tunnel passieren können. Oder testweise temporär eine "Schrottschussregel" any any auf diesen Tunnelinterfaces einrichten.


Den Haken beim WAN (Firewall Blocker von RFC 1918 IP Netzen) habe ich entfernt. Nun sind vermutlich noch an WAN oder OPT1die entsprechenden Ports (500 u. 4500) freizugeben. Wie sind die Einträge zu erfolgen? Sind damit in pfSense alle nötigen zusätzlichen Einstellungen getroffen?

Kann mir jemand auf die Sprünge helfen? Vielen Dank im Voraus und noch ein schönes Wochenende!

Gruß
micson
Mitglied: Dani
20.08.2016 um 23:18 Uhr
Guten Abend micson,
aus meiner Sicht brauchst du folgendes:
  • Du musst auf der pfSense in einer Regel von LAN-WAN die notwendigen VPN-Ports durchlassen
  • Der Gast muss sich zuerst am CP authentifizieren. Danach kann er problemlos von seinem Notebook den VPN-Tunnel aufbauen.
  • Evtl. ist es erforderlich, dass du an deinem Internetschluss eine IPv4 (kein Dualstack Lite) hast.


Gruß
Dani
Bitte warten ..
Mitglied: michi1983
21.08.2016 um 00:35 Uhr
Guten Abend,

also vielleicht stehe ich ja komplett auf dem Schlauch, aber warum solltest du an deiner PfSense überhaupt etwas ändern müssen?
Solang er bei dir über das Captive Portal eine IP bekommt und Internet hat liegt es doch nur mehr an der Konfiguration bei ihm zu Hause ob es mit dem VPN klappt oder nicht, oder übersehe ich etwas?

Gruß
Bitte warten ..
Mitglied: aqui
21.08.2016, aktualisiert um 11:50 Uhr
Mein erster Gedanke war, dass die dafür notwendigen Ports nicht freigeschalten sind.
Ja, auch unser und dem wird auch vermutlich so sein wenn du auf dem Gastnetz Segment mit einer Whitelist Firewall Regel arbeitest wie es eigentlich üblich ist.
Leider teilst du uns nicht mit WAS für ein VPN der Client nutzt, denn das ist wichtig um die entsprechenden Ports in der Firewall bzw. den Regeln am Clinet Captive Portal Segment zu öffnen.
Z.B.
PPTP VPN
TCP 1723
GRE Protokoll (Nummer 47)
IPsec VPN
UDP 500
UDP 4500
ESP Protokoll (Nummer 50)

Nur um dir mal die wichtigsten zu nennen. Es gibt aber noch diverse mehr wie SSL basierte z.B. UDP 1194 bei OpenVPN usw. usw.
Ohne diese Schlüsselinformation von dir bleibt uns mal wieder nur raten oder die berühmte Kristallkugel...

Dein Hinweis auf das IPsec Tutorial ist kompletter Unsinn hier, denn das gilt ja nur wenn die Firewall selber VPN Server ist.
Das ist ja überhaupt nicht der Fall hier !!
Bei dir will ein Client ja lediglich von seinem Laptop, Smartphone oder was auch immer eine VPN Verbindung zu einem remoten Ziel aufmachen.
Aktiv ist als Server ist also deine Firewall damit logischerweise überhaupt nicht beteiligt.
Einzig das am Gastsegment natürlich die vom Gast benutzen VPN Protokolle passieren müssen mit einer entsprechenden FW Regel dort !! (...das hatte Kollege michi1983 übersehen)
2ter wichtiger Punkt ist WIE du die pfSense am Internet betreibst ???
Mit einem nur Modem direkt am Providerport oder mit einer Routerkaskade und doppeltem NAT.
Bei nur Modem hast du keinerlei Schwierigkeiten, bei letzterem (Routerkaskade) lauert allerdings der Teufel im Detail wenn du einige VPN Protokolle betreiben willst.
Hier musst du zwingend bei IPsec z.B. ESP am davor kaskadierten Router auf die pfSense forwarden. Ebenso bei L2TP und bei PPTP das GRE Protokoll. Siehe z.B. im Fall von PPTP hier:
https://www.administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc ...
Mehr ist aber nicht zu beachten.
Bitte warten ..
Mitglied: michi1983
21.08.2016 um 12:39 Uhr
Zitat von aqui:
Einzig das am Gastsegment natürlich die vom Gast benutzen VPN Protokolle passieren müssen mit einer entsprechenden FW Regel dort !! (...das hatte Kollege michi1983 übersehen)
Ah okay, das habe ich wirklich übersehen bzw nicht gewusst wie das CP von PfSense das handelt - da noch nie eingesetzt. Aber wieder was gelernt

Gruß
Bitte warten ..
Mitglied: aqui
21.08.2016, aktualisiert um 13:38 Uhr
Das CP behandelt das ja auch gar nicht !! Da hattest du schon Recht.
Das CP Interface ist ja aber wie ander Ports erstmal auch ein normales Netzwerk Interface an der Firewall für das natürlich die entsprechenden Regeln gelten bzw. die FW Regeln an dem Port.Wenn der TO das richtig gemacht hat arbeitet er da mit einer Whitelist und hoffentlich nicht mit any zu any Scheunentorregel...?!

Der Knackpunkt ist der kaskadierte NAT Router davor. Hier gelten die gleichen Dinge wie auch sonst das z.B. PPTP oder IPsec ohne NAT Traversal oder VPN Passthrough die NAT Firewall nicht überwinden können.
Bitte warten ..
Mitglied: michi1983
21.08.2016 um 14:14 Uhr
Okay, ich hab hier ehrlich gesagt die Fritzbox komplett überlesen, ich dachte, die PfSense macht hier bereits die Einwahl.
Dann macht das natürlich alles wieder Sinn!

Gruß
Bitte warten ..
Mitglied: micson
23.08.2016 um 20:52 Uhr
Hallo zusammen,

sorry für die späte Antwort. Ich war auf dem richtigen Weg.
Auf das IPsec-Tutorial habe ich mich nur bezogen, weill dort die Ports und der Firewall Blocker von RFC 1918 IP Netzen angeführt war.

Lösung:
In den WAN-Einstellungen habe ich das Häkchen bei "Block Private Networks" herausgenommen:
wan_einstellung - Klicke auf das Bild, um es zu vergrößern

Und bei den Firewall-Rules folgende Regeln bei meinem Gastnetzwerk (OPT1) hinzugefügt.
firewall_rules - Klicke auf das Bild, um es zu vergrößern
Diese könnte ich auch generell am WAN-Port mit Source "any" und Desination "WAN-Net" definieren, oder?
Jedenfalls konnte der Gast nun via VPN auf sein Heimnetzwerk zugreifen. Habe testweise die Ports deaktiviert --> keine Verbindung mehr möglich.

Zur Info:
  • Der Gast nutzt eine FritzBox.
  • pfSense hängt direkt nach dem Router des Porviders

Das Thema ist hiermit gelöst. Vielen Dank für eure Ratschläge.
Bitte warten ..
Mitglied: aqui
23.08.2016 um 23:51 Uhr
Und bei den Firewall-Rules folgende Regeln bei meinem Gastnetzwerk (OPT1) hinzugefügt.
Das Allerwichtigste fehlt hier und das ist das ESP Protokoll !! Ein zentraler Bestandteil des IPsec VPN Protokolls.
Zeigt einmal mehr das du die Tutorial hier vermutlich mit keine Silbe gelesen hast
https://www.administrator.de/wissen/ipsec-protokoll-einsatz-aufbau-ben&o ...
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Also bitte nochmal lesen. Das hilft wirklich !!
Dort ist auch alles zum Thema RFC 1918 IP Netze erklärt bei NAT Router Kaskaden vor der Firewall. Das wird gefühlte 10mal pro Woche hier gefragt...

Aber gut wenns nun alles klappt wie es soll !
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerke

PfSense - Captiv Portal in einer Wohngruppe zur Nutzungsbegrenzung

Frage von AranoNetzwerke4 Kommentare

Moin moin. Wir möchten gerne in unseren Wohngruppen Internet zu Verfügung stellen bzw. es ausbauen. Derzeit wird das nur ...

LAN, WAN, Wireless

VPN hinter Captive-Portal

Frage von Alex29LAN, WAN, Wireless2 Kommentare

Hallo in die Runde, ich habe hinter einer Fritzbox einen kleinen MikroTik-Router als VPN-Server (L2TP/IPSec) laufen. Der Zugriff von ...

LAN, WAN, Wireless

Pfsense - Captive Portal in verbindung mit Squid(Guard)

gelöst Frage von sleeplessnightLAN, WAN, Wireless2 Kommentare

Hey ihr, Ich erkläre einmal, wie das bei mir aufgebaut ist: 1) CP sitzt im VLAN. 2) FW Rule, ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 6 StundenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 9 StundenSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 1 TagInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 2 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Glasfaserkabel verlegen und Anschlüsse setzen
Frage von LLL0rdLAN, WAN, Wireless21 Kommentare

Hallo Leute, ich muss demnächst ein Netzwerkkabel auf einer Länge von ca. 70 Metern verlegen. Das Netzwerkkabel soll dabei ...

Windows Server
Mac Rechner im Windows Netzwerk - was jetzt?
Frage von Kopfg3ldWindows Server16 Kommentare

Hallo zusammen, ich habe folgende Herausforderungen. Aber erst mal was kurz zum Netzwerk - Windows Server (ältester ist ein ...

Server-Hardware
Server Hardwareempfehlung für Projekt
gelöst Frage von heax22Server-Hardware12 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer geeigneten Server Plattform um unter Hyper-V einen virtuellen Server 2016 ...

E-Mail
Wie funktionieren DNS Blacklisten?
gelöst Frage von WinLiCLIE-Mail12 Kommentare

Ich frage mich schon seit längerem, woher genau die Blacklisten für die Mailserver die Domains und Ips kennen die ...