6
Site-to-site VPN zw. AVM und pfsense mit öffentlichem Subnetz!
moinmoin ...
... ein site-to-site VPN zw. AVM und pfSense ist ja kein großes Hexenwerk nach dieser Anleitung hier 1
Problematisch wird es aber auf der AVM-Seite, wenn das Netz hinter der pfSense ein öffentliches Subnetz ist.
Ich weiss nämlich nicht, wie ich der Fritz-Box beibiegen soll, dass Anfragen an diese IPs immer durch den Tunnel wandern und nicht erst ins WWW?
Das VPN steht zw. (AVM) 192.168.10.0/24 und (pfSense) 79.45.159.160/29
Ein tracert von einem PC aus dem Netz der pfsense an ein Gerät im Netz der FritzBox läuft einwandfrei durch das VPN
tracert 192.168.10.1
Routenverfolgung zu SRVWH [192.168.110.1] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms 78.47.225.166
2 32 ms 27 ms 29 ms SRVTEST [192.168.10.1]
3 28 ms 30 ms 26 ms SRVTEST [192.168.10.1]
Umgekehrt jedoch klappt es nicht
tracert 79.45.159.161
Routenverfolgung zu srvtest2.mydomain.net [79.45.159.161] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms fritz.box [192.168.10.20]
2 * * * Zeitüberschreitung der Anforderung.
3 26 ms 30 ms 26 ms srvtest2.mydomain.net [79.45.159.161]
Via IP kann ich im Explorer über \\79.45.159.161\testshare auf die Freigabe zugreifen
... ein site-to-site VPN zw. AVM und pfSense ist ja kein großes Hexenwerk nach dieser Anleitung hier 1
Problematisch wird es aber auf der AVM-Seite, wenn das Netz hinter der pfSense ein öffentliches Subnetz ist.
Ich weiss nämlich nicht, wie ich der Fritz-Box beibiegen soll, dass Anfragen an diese IPs immer durch den Tunnel wandern und nicht erst ins WWW?
Das VPN steht zw. (AVM) 192.168.10.0/24 und (pfSense) 79.45.159.160/29
Ein tracert von einem PC aus dem Netz der pfsense an ein Gerät im Netz der FritzBox läuft einwandfrei durch das VPN
tracert 192.168.10.1
Routenverfolgung zu SRVWH [192.168.110.1] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms 78.47.225.166
2 32 ms 27 ms 29 ms SRVTEST [192.168.10.1]
3 28 ms 30 ms 26 ms SRVTEST [192.168.10.1]
Umgekehrt jedoch klappt es nicht
tracert 79.45.159.161
Routenverfolgung zu srvtest2.mydomain.net [79.45.159.161] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms fritz.box [192.168.10.20]
2 * * * Zeitüberschreitung der Anforderung.
3 26 ms 30 ms 26 ms srvtest2.mydomain.net [79.45.159.161]
Via IP kann ich im Explorer über \\79.45.159.161\testshare auf die Freigabe zugreifen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 278755
Url: https://administrator.de/contentid/278755
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
wieso "funktioniert nicht?"
zeigt doch das die richtige IP antwortet ....
Oder stört dich das im Schritt 2 die Maschine nicht antwortet?
brammer
wieso "funktioniert nicht?"
3 26 ms 30 ms 26 ms srvtest2.mydomain.net [79.45.159.161]
zeigt doch das die richtige IP antwortet ....
Oder stört dich das im Schritt 2 die Maschine nicht antwortet?
brammer
Genau das stört mich ;)
Der trace scheint nicht über das VPN zu gehen, der Zugriff via Explorer schon.
Der trace scheint nicht über das VPN zu gehen, der Zugriff via Explorer schon.
Eigentlich unsinnig, denn es kann technisch niemals sein das unterschiedliche Applikationen unterschiedliche Transportrouten auf dem gleichen System nutzen !
Auch das ein Ping von einer Seite geht, was ja zeigt das das Routing sauber funktioniert, von der anderen Seite aber nicht.
So ein asymetrisches Verhalten deutet fast immer darauf hin das im Tunnel selber unsinnigerweise NAT gemact wird (Blocking der NAT Firewall) oder die Firewall Regeln im Tunnel bzw. Tunnelinterface (pfSense Seite) falsch oder fehlerhaft gesetzt sind !!
Normal ist es völlig egal ob hinter der pfSense ein öffentliches Netz ist oder ein RFC 1918 IP Netz. IPsec announced die Route der lokalen Netze automatisch auf die Tunnelinterfaces.
Der Knackpunkt ist hier die Fritzbox....
Generell gilt im TCP/IP das die Route mit dem kleinsten, sprich dem spezifischstem Prefix die aktive sein muss !
Theoretisch hat die FB 2 Optionen das 79.45er Netz zu erreichen, einmal über die Default Route zum Provider und einmal über den Tunnel direkt.
Da die FB über den Tunnel eine /29er Maske propagiert bekommt ist diese der /0 Maske der Default Route überlegen und hat damit laut Standard eine höhere Priorität !
Die FB muss also diese Route per Definition nutzen und Traffic für das 79.45.159.160 /29 IP Netz zwingend in den Tunnel routen !!
Interessant wäre hier also mal die Routing Tabelle der Fritzbox zu sehen, denn die ist ganz klar der phöse Puhmann hier !
Ein bischen mehr debug Output wäre also hilfreich. Auch macht es Sinn mit -d beim Traceroute die Namensauflösung zu deaktivieren !
Auch das ein Ping von einer Seite geht, was ja zeigt das das Routing sauber funktioniert, von der anderen Seite aber nicht.
So ein asymetrisches Verhalten deutet fast immer darauf hin das im Tunnel selber unsinnigerweise NAT gemact wird (Blocking der NAT Firewall) oder die Firewall Regeln im Tunnel bzw. Tunnelinterface (pfSense Seite) falsch oder fehlerhaft gesetzt sind !!
Normal ist es völlig egal ob hinter der pfSense ein öffentliches Netz ist oder ein RFC 1918 IP Netz. IPsec announced die Route der lokalen Netze automatisch auf die Tunnelinterfaces.
Der Knackpunkt ist hier die Fritzbox....
Generell gilt im TCP/IP das die Route mit dem kleinsten, sprich dem spezifischstem Prefix die aktive sein muss !
Theoretisch hat die FB 2 Optionen das 79.45er Netz zu erreichen, einmal über die Default Route zum Provider und einmal über den Tunnel direkt.
Da die FB über den Tunnel eine /29er Maske propagiert bekommt ist diese der /0 Maske der Default Route überlegen und hat damit laut Standard eine höhere Priorität !
Die FB muss also diese Route per Definition nutzen und Traffic für das 79.45.159.160 /29 IP Netz zwingend in den Tunnel routen !!
Interessant wäre hier also mal die Routing Tabelle der Fritzbox zu sehen, denn die ist ganz klar der phöse Puhmann hier !
Ein bischen mehr debug Output wäre also hilfreich. Auch macht es Sinn mit -d beim Traceroute die Namensauflösung zu deaktivieren !
Die Priorisierung der Netze war mir grundlegend bewusst. Deswegen ja meine Frage, ob man das in der Box noch irgendwo einstellen muss.
Das Problem sollte dann ja an der FritzBox irgendwie zu lokalisieren sein.
Soweit ich mich entsinne kann man auf der Box telnet aktivieren. Allerdings wohl nur via angeschlossenem Telefon mittels #96*7*
Da die Box allerdings an einem anderen Standort ist, muss das noch bis nächste Woche warten.
Noch was:
Ich habe mal spaßeshalber versucht, einen der PCs hinter der FritzBox in die Domain hinter der pfSense zu hängen.
Da es ja keine Namensauflösung gibt, habe ich den dortigen DC in die hosts eingetragen.
Klappt aber auch nicht ... domain wird nicht gefunden
An den Standorten, die via pfSense angekoppelt sind, klappt das.
Scheint also auch an der Fritzbox zu liegen.
Mit ist auch noch schleierhaft, warum in der pfSense NAT-T enabled wird, in der config der Fritz-Box aber "use_nat_t = no;" eingetragen wird.
Bei den pfsense-pfsense verbindungen ist auf beiden Seiten NAT-T enabled.
Das Problem sollte dann ja an der FritzBox irgendwie zu lokalisieren sein.
Soweit ich mich entsinne kann man auf der Box telnet aktivieren. Allerdings wohl nur via angeschlossenem Telefon mittels #96*7*
Da die Box allerdings an einem anderen Standort ist, muss das noch bis nächste Woche warten.
Noch was:
Ich habe mal spaßeshalber versucht, einen der PCs hinter der FritzBox in die Domain hinter der pfSense zu hängen.
Da es ja keine Namensauflösung gibt, habe ich den dortigen DC in die hosts eingetragen.
Klappt aber auch nicht ... domain wird nicht gefunden
An den Standorten, die via pfSense angekoppelt sind, klappt das.
Scheint also auch an der Fritzbox zu liegen.
Mit ist auch noch schleierhaft, warum in der pfSense NAT-T enabled wird, in der config der Fritz-Box aber "use_nat_t = no;" eingetragen wird.
Bei den pfsense-pfsense verbindungen ist auf beiden Seiten NAT-T enabled.
Das muss auch so sein ! NAT-T sollte zwingend auf beiden Seiten enabled sein, sonst kann die IPsec Verbindung kein NAT überwinden.
Du solltest das also auch auf der FritzBox zwingend in der Konfig aktivieren ! Da ist die Tutorial Konfig m.E. fehlerhaft.
Du solltest das also auch auf der FritzBox zwingend in der Konfig aktivieren ! Da ist die Tutorial Konfig m.E. fehlerhaft.
Gelöst?
Sonst poste doch mal die vpn.cfg der Fritzbox. Was steht da unter
phase2remoteid {
ipnet {
ipaddr = ;
mask = ;
NAT-T natürlich immer auf beiden Seiten.
buc
Sonst poste doch mal die vpn.cfg der Fritzbox. Was steht da unter
phase2remoteid {
ipnet {
ipaddr = ;
mask = ;
NAT-T natürlich immer auf beiden Seiten.
buc
