jktz84
Goto Top

Problem mit Routing über IPSec VPN

Hallo,

folgender Aufbau liegt bei uns momentan vor:

aufbau


Wir wollen erreichen, dass Clients vom Zyxel Netzwerk aus (in diesem Fall der Client mit der IP Adresse 192.168.10.15) per RDP auf unseren Server hinter der pfSense mit der IP Adresse 192.168.0.10 zugreifen dürfen.
Bisher haben wir einen Lancom VPN Client benutzt und der Zugriff auf den Server hat keine Probleme gemacht. Da wir nun aber einen Heimarbeitsplatz einrichten wollen und hierfür auch IP Telefonie etc ermöglichen wollen, reicht hier ein einfacher Software VPN Client nicht mehr für uns aus.

Der Zyxel und Lancom sind per IPSec IKEv2 site-to-site verbunden. Vom Zyxelnetz aus kann ich auf das Lancomnetz, als auch auf das Interface der pfsense zugreifen, welches mit dem Lancom verbunden ist (192.168.1.1). Der Zugriff auf den Server hinter der pfsense als auch der Zugriff auf das Interface der pfsense welches mit dem Server verbunden ist, funktioniert dagegen nicht.

Vom Client (192.168.10.15 Zyxelnetz) aus erreiche ich folgende Station:
gesamtes Lancom Netz, Lancom-Interface der pfsense

Vom Server (192.168.0.10) aus erreiche ich das Lancom-Interface der pfsense und Clients im LancomNetz, nicht aber den Lancom an sich (192.168.1.2)

Lancom VPN Client Benutzer erreichen alle Stationen: also sowohl Client 192.168.10.15 als auch den Server 192.168.0.10

Die pfsense erreicht ebenfalls ALLE Stationen


Tracert vom Client(192.168.10.15) zum Server(192.168.0.10):
  1     3 ms    <1 ms    <1 ms  192.168.10.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    37 ms    39 ms    47 ms  192.168.1.2
  4    40 ms    38 ms    42 ms  192.168.1.1
  5    46 ms    37 ms    37 ms  192.168.0.10

Vom Server aus zum Client:
  1     <1 ms    <1 ms    <1 ms  192.168.0.1
  2     <1 ms    <1 ms    <1 ms  192.168.1.2
  3        *              *             *         Zeitüberschreitung der Anforderung
  4        *              *             *         Zeitüberschreitung der Anforderung
  5        *              *             *         Zeitüberschreitung der Anforderung

Statische Route gesetzt mit pfsense mit 192.168.10.0/24 auf Lancom(192.168.1.2); Route gesetzt in Lancom 192.168.10.0/24 auf Router Zyxel VPN Verbindung; Route gesetzt im Zyxel 192.168.0.0/24 nächster Hop VPN.

Wenn ich versuche eine RDP Verbindung aufzubauen, taucht der Verbindungsversuch auch in den Logs der pfsense auf. 'Passed from Firewall Log View' Source 192.168.10.15:50707 Destination:192.168.0.10:3389

Wo ist hier der Fehler? Ich hänge hier schon seit Tagen fest und wäre für jede Hilfe dankbar

Content-Key: 565556

Url: https://administrator.de/contentid/565556

Printed on: May 26, 2024 at 06:05 o'clock

Member: ChriBo
ChriBo Apr 17, 2020 at 11:06:09 (UTC)
Goto Top
Hi,
Tracert vom Client(192.168.10.15) zum Server(192.168.0.10):
> 1 3 ms <1 ms <1 ms 192.168.10.1
> 2 * * * Zeitüberschreitung der Anforderung.
> 3 37 ms 39 ms 47 ms 192.168.1.2
> 4 40 ms 38 ms 42 ms 192.168.1.1
> 5 46 ms 37 ms 37 ms 192.168.0.10

Routing und IPsec Phase2 ist OK.
Passed from Firewall Log View' Source 192.168.10.15:50707 Destination:192.168.0.10:3389
das Log kenne ich nicht, ist es Allow oder Block ?

Welche Firewall Regeln sind auf dem Server mit dem RDP Dienst ?

CH
Member: jktz84
jktz84 Apr 17, 2020 updated at 11:41:47 (UTC)
Goto Top
Zitat von @ChriBo:

Passed from Firewall Log View' Source 192.168.10.15:50707 Destination:192.168.0.10:3389
das Log kenne ich nicht, ist es Allow oder Block ?

Allow. Ich habe die Regel so eingestellt wird, dass ein Verbindungsversuch protokolliert wird.

Welche Firewall Regeln sind auf dem Server mit dem RDP Dienst ?

Windows Server 2016 mit aktivierter Windows Firewall. Ich habe auch bereits versucht die Firewall zu deaktivieren, ändert aber leider nichts.

An der Windows Firewall kann es aber leider auch nicht liegen, weil ich die iDRAC Schnittstelle ebenfalls vom 192.168.10.15 Client nicht erreichen kann, obwohl ein User des Lancom VPN Clients damit keine Probleme hat.
Member: ChriBo
ChriBo Apr 17, 2020 at 11:50:12 (UTC)
Goto Top
Hi
< Windows Server 2016 mit aktivierter Windows Firewall. Ich habe auch bereits versucht die Firewall zu deaktivieren, ändert aber leider nichts.
Ich sehe hier den Fehler: das remote Network 192.168.10.0/24 wird als guest or public network von Windows erkannt.
Hattest du die Firewall mal testweise (!) komplett (für alle Netze) deaktiviert, bzw. besser: RDP von 192.168.10.0 erlaubt ?
Da ICMP funktioniert muß ja schon irgendwas eingestellt sein.

CH
Member: aqui
aqui Apr 17, 2020 updated at 14:32:53 (UTC)
Goto Top
Der Zugriff auf den Server hinter der pfsense als auch der Zugriff auf das Interface der pfsense welches mit dem Server verbunden ist, funktioniert dagegen nicht.
Was ja auch vermutlich klar und logisch ist, denn die pfSense ist eine Firewall mit einem Regelwerk was das ganz sicher verhindert.
Genau das was Firewalls also eben so tun und für was sie geschaffen sind !

Der Knackpunkt hier ist WIE bzw. mit welchem Interface die Firewall WO angeschlossen ist ???
Leider machst du dazu keinerlei Angaben so das wir gezwungen sind zu raten ! face-sad
Wenn der WAN Port der Firewall am Lancom Netz hängt ist es vollkommen klar das du nichts im dahinter liegenden lokalen LAN an der pfSense erreichen kannst.
<edit>
Thread editiert da Zeichnung oben unvollständig und daraus falsche Schlussfolgerung !
</edit>
Statische Route gesetzt mit pfsense mit 192.168.10.0/24 auf Lancom(192.168.1.2);
Wäre nicht nötig, denn es reicht einfach den Lancom auf der pfSense als Default Gateway zu definieren !
Route gesetzt in Lancom 192.168.10.0/24 auf Router Zyxel VPN Verbindung
Ist ebenso sinnfrei, denn das machen die Phase 2 Credentials im IPsec immer automatisch !
Member: jktz84
jktz84 Apr 17, 2020 updated at 13:26:39 (UTC)
Goto Top
Regel in Windows hinzugefügt - leider kein Erfolg. Auch das komplette deaktivieren der Windows Firewall hat keinen Erfolg.

Außerdem würde dies immer noch nicht erklären warum ich vom Server aus den Client nicht anpingen kann, aber meine pfsense Firewall hingegen schon
Member: jktz84
jktz84 Apr 17, 2020 updated at 13:42:01 (UTC)
Goto Top
Hallo,

danke schon einmal für deinen Beitrag.


Zitat von @aqui:


Was ja auch vermutlich klar und logisch ist, denn die pfSense ist eine Firewall mit einem Regelwerk was das ganz sicher verhindert.
Genau das was Firewalls also eben so tun und für was sie geschaffen sind !

Das dachte ich mit einer entsprechenden Regel, welche Verbindungen vom 'Lancom-Interface' auf den Server zu ermöglichen, zu umgehen ;)

Der Knackpunkt hier ist WIE bzw. mit welchem Interface die Firewall WO angeschlossen ist ???

Die pfsense besitzt 3 Interfaces:
Interface WAN IP per DHCP - default gateway für Internet
Interface LAN 192.168.0.0/24 - RDP Server
Interface Lancom 192.168.1.0/24 - hier direkt mit Lancom verbunden, IP Adresse des Lancom als Gateway in der pfsense hinzugefügt, um eine statische Route für 192.168.10.0/24 mit Ziel Lancom zu ermöglichen.


Statische Route gesetzt mit pfsense mit 192.168.10.0/24 auf Lancom(192.168.1.2);
Wäre nicht nötig, denn es reicht einfach den Lancom auf der pfSense als Default Gateway zu definieren !

Musste ich ja leider machen, da Lancom nicht Default Gateway ist.

Route gesetzt in Lancom 192.168.10.0/24 auf Router Zyxel VPN Verbindung
Ist ebenso sinnfrei, denn das machen die Phase 2 Credentials im IPsec immer automatisch !

Tatsächlich musste ich das machen. Tue ich dies nicht, wird der gesamte Traffic über den Lancom verworfen und die Intrusion Firewall schlägt Alarm. Mich hatte das auch verwundert, warum ich den zusätzlichen Routing Eintrag setzen musste
Member: ChriBo
ChriBo Apr 17, 2020 at 13:42:10 (UTC)
Goto Top
Hi,
dann ist die Frage (siehe auch Antwort von @aqui) wie hast du das Routing (1:1 NAT, virtual IP etc.) auf der pfSense eingestellt.
Ist <Block private networks and loopback addresses> auf der WAN seite der pfSense deaktiviert ?
Wenn du vom Server zum Client pingst: was zeigt das log von 192.168.1.2, ? welche Quell-IP wird angezeigt ?
Member: aqui
Solution aqui Apr 17, 2020 updated at 14:30:05 (UTC)
Goto Top
Das dachte ich mit einer entsprechenden Regel,
Welche du aber hier NICHT geschildert hast und uns so in die Irre geführt hast ! face-sad
Musste ich ja leider machen, da Lancom nicht Default Gateway ist.
In deiner Zeichnung oben sind aber keinerlei andere Gateways angegeben ! face-sad
Die pfsense besitzt 3 Interfaces:
Dann ist also deine Zeichnung oben völlig unbrauchbar ! face-sad
Oh man...das hättest du aber auch gleich sagen können, denn ist das Lancom Segment ein weiteres LAN Segment und eben nicht der WAN Port !! D.h. die pfSense ist von sich auch auch direkt nochmal mit dem WAN Port am Internet und der 2te LAN Port verbindet dann das Lancom Segment ??
Ist das jetzt richtig ??
Da hat deine Zeichnung dann mehr verwirrt als das ise geholfen hat ! Dann kannst du die gesamten Screenshots oben gleich komplett vergessen !!!
Tatsächlich musste ich das machen. Tue ich dies nicht, wird der gesamte Traffic über den Lancom verworfen und die Intrusion Firewall schlägt Alarm.
Ist Unsinn und zeugt eher von einer Fehlkonfiguration insbesondere der Firewall aber egal, das ist jetzt hier nicht das Thema.

Vergiss also die ganzen Screenshots von oben !!
Du gehst dann so vor:
  • Lancom IP 192.168.1.2 als Gateway definieren und dort unbedingt die Gateway Destection abschalten. Das deaktiviert den Dauerping auf das Lancom Gateway
  • Dann trägst du eine statische Route ein: Ziel: 192.168.10.0 /24 via Gateway: Lancom
  • Auf dem FW Interface was zum Lancom geht machst du entweder Scheunentor (any zu any erlauben) oder gibts explizit an das das lokale Netz und das .10.0/24 Netz erlaubt ist !
  • Analog auf der Windows Server Seite das dort der Traffic nach ANY erlaubt ist.
Wenn du jetzt mit einem Client im Lancom Segment .1.0 mit einem Client bist solltest du problemlos auf den Windows Server per RDP kommen !
Zeigt dann das das Regelwerk sauber funktioniert !

Das ist aber nur die halbe Miete !!
Knackpunkt ist das (vermutlich) über den Phase 2 Credentials deiner IPsec Site 2 Site Verbindung oben einzig nur die IP Netzwerke 192.168.1.0 und 192.168.10.0 in den Site to Site Tunnel geroutet werden.
Wenn ein Client im Zyxel Netz jetzt aber eine Zieladresse 192.168.0.10 anspricht (den Server) das IPsec durch die fehlenden Phase 2 Credentials für dieses IP Netz nicht weiss das es diesen Traffic auch in den VPN Tunnel routen muss.
Sprich ein solches Paket mit der Ziel IP 192.168.0.10 routet der Zyxel dann lokal ins Internet und damit ins Nirwana.

Fazit:
Trage die Phase 2 Credentials im Zyxel nach
Local LAN --> Network 192.168.0.0 /24
und trage sie im Lancom nach
Local Network 192.168.0.0 /24 --> Network 192.168.1.0 /24
Es sind also in den beiden Site to Site VPN Router immer 2 mal Phase 2 Credentials erforderlich !
Fertisch ! Dann klappt das.

Sollten Zyxel oder Lancom wider Erwarten keine 2 oder mehr Phase 2 Einträge supporten wie z.B. die FritzBox in einem der unteren Beispiel dann musst du etwas pfiffiger den Tunnel einreichen in den Phase 2 Settings. Z.B. dann mit einer 22 Bit Maske (255.255.252.0) für das 192.168.0.0er Netz.
Damit routet dann der Zyxel alles was in der Zieladresse zwischen 192.168.0.1 und 192.168.3.254 liegt in den Tunnel und deckt damit sowohl das Lancom LAN Segment .1.0 als auch das Server LAN Segment .0.0 ab !
Beide Optionen der IPsec Konfig führen zum Ziel !

Diese Problematik hatten wir hier schon öfter und kannst du an diesen Threads nachvollziehen:
PFSense mit Fritzboxen verbinden
PfSense IPsec hub and spoke
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
Member: jktz84
jktz84 Apr 17, 2020 at 14:39:15 (UTC)
Goto Top
Mein Gott Vielen Dank.

Du glaubst gar nicht wie lange ich daran gesessen habe und mir den Kopf zerbrochen habe.

Folgendes Problem war es bei mir:

Im Lancom hatte ich als Local Network 0.0.0.0/24 ausgewählt, nachdem ich vorher bereits 192.168.1.0/24 + 192.168.0.0/24 ohne Erfolg versucht hatte. Im Zyxel hatte ich als Remote Network lediglich 192.168.1.0/24 ausgewählt + Route für 192.168.0.0/24 mit Hop auf VPN Tunnel (so hatte ich es auch im Internet nachgeschlagen) weil das Menü im Zyxel nicht wie im Lancom mehrere Subnetzwerke hinzufügen lässt, sondern man anscheinend zwei Verbindungen einzeln aufbauen muss.

asd


Danke nochmal
Member: aqui
aqui Apr 17, 2020 updated at 14:49:03 (UTC)
Goto Top
Mit anderen Worten: Die IPsec Site 2 Site Konfig in beiden Routern völlig verbaselt und falsch gemacht ! face-smile
Tja was soll man da noch machen in einer hilfswilligen Forencommunity wenn es schon daran scheitert und man auch noch zusätzlich durch eine falsche Netzwerk Skizze völlig in die Irre geleitet wird.... face-wink
Der tägliche Wahnsinn hier...
Dein Glück das heute Freitag ist !!
fish
Member: jktz84
jktz84 Apr 17, 2020 at 14:57:52 (UTC)
Goto Top
Das war aber auch eine tolle Falle für einen Anfänger. Lancomseitig habe ich ja mit 0.0.0.0/24 local network alles abgedeckt. Und der Zyxel hat ja den traffic für 192.168.0.0/24 an den Lancom getunnelt (siehe tracert zu 192.168.0.10 von 192.168.10.15 aus).
Auch die Log des Zyxels hat mir keinen Fehler angezeigt.

2 unterschiedliche Hersteller bei site to site VPN + Anfänger ist wahrscheinlich eine tödliche Kombination
Member: aqui
aqui Apr 17, 2020 updated at 15:08:47 (UTC)
Goto Top
2 unterschiedliche Hersteller bei site to site VPN + Anfänger ist wahrscheinlich eine tödliche Kombination
Nöö, nicht wenn man weiss was man tut !! face-wink
Guckst du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Das rennt alles wunderbar ! Wenn man es denn richtig macht... face-wink
Die Konfig GUIs sind in allen IPsec VPN Produkten ja mehr oder minder immer gleich.
Fazit:
Korrigier das und dann rennt das auch wie es soll !