ricopausb
Goto Top

Site-to-site VPN zw. AVM und pfsense mit öffentlichem Subnetz!

moinmoin ...

... ein site-to-site VPN zw. AVM und pfSense ist ja kein großes Hexenwerk nach dieser Anleitung hier 1
Problematisch wird es aber auf der AVM-Seite, wenn das Netz hinter der pfSense ein öffentliches Subnetz ist.
Ich weiss nämlich nicht, wie ich der Fritz-Box beibiegen soll, dass Anfragen an diese IPs immer durch den Tunnel wandern und nicht erst ins WWW?

Das VPN steht zw. (AVM) 192.168.10.0/24 und (pfSense) 79.45.159.160/29
Ein tracert von einem PC aus dem Netz der pfsense an ein Gerät im Netz der FritzBox läuft einwandfrei durch das VPN

tracert 192.168.10.1
Routenverfolgung zu SRVWH [192.168.110.1] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 78.47.225.166
2 32 ms 27 ms 29 ms SRVTEST [192.168.10.1]
3 28 ms 30 ms 26 ms SRVTEST [192.168.10.1]

Umgekehrt jedoch klappt es nicht

tracert 79.45.159.161

Routenverfolgung zu srvtest2.mydomain.net [79.45.159.161] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms fritz.box [192.168.10.20]
2 * * * Zeitüberschreitung der Anforderung.
3 26 ms 30 ms 26 ms srvtest2.mydomain.net [79.45.159.161]

Via IP kann ich im Explorer über \\79.45.159.161\testshare auf die Freigabe zugreifen

Content-ID: 278755

Url: https://administrator.de/forum/site-to-site-vpn-zw-avm-und-pfsense-mit-oeffentlichem-subnetz-278755.html

Ausgedruckt am: 26.12.2024 um 00:12 Uhr

brammer
brammer 30.07.2015 um 11:13:57 Uhr
Goto Top
Hallo,

wieso "funktioniert nicht?"

3 26 ms 30 ms 26 ms srvtest2.mydomain.net [79.45.159.161]

zeigt doch das die richtige IP antwortet ....
Oder stört dich das im Schritt 2 die Maschine nicht antwortet?

brammer
RicoPausB
RicoPausB 30.07.2015 um 11:22:24 Uhr
Goto Top
Genau das stört mich ;)
Der trace scheint nicht über das VPN zu gehen, der Zugriff via Explorer schon.
aqui
aqui 30.07.2015 um 11:50:48 Uhr
Goto Top
Eigentlich unsinnig, denn es kann technisch niemals sein das unterschiedliche Applikationen unterschiedliche Transportrouten auf dem gleichen System nutzen !
Auch das ein Ping von einer Seite geht, was ja zeigt das das Routing sauber funktioniert, von der anderen Seite aber nicht.
So ein asymetrisches Verhalten deutet fast immer darauf hin das im Tunnel selber unsinnigerweise NAT gemact wird (Blocking der NAT Firewall) oder die Firewall Regeln im Tunnel bzw. Tunnelinterface (pfSense Seite) falsch oder fehlerhaft gesetzt sind !!

Normal ist es völlig egal ob hinter der pfSense ein öffentliches Netz ist oder ein RFC 1918 IP Netz. IPsec announced die Route der lokalen Netze automatisch auf die Tunnelinterfaces.
Der Knackpunkt ist hier die Fritzbox....
Generell gilt im TCP/IP das die Route mit dem kleinsten, sprich dem spezifischstem Prefix die aktive sein muss !
Theoretisch hat die FB 2 Optionen das 79.45er Netz zu erreichen, einmal über die Default Route zum Provider und einmal über den Tunnel direkt.
Da die FB über den Tunnel eine /29er Maske propagiert bekommt ist diese der /0 Maske der Default Route überlegen und hat damit laut Standard eine höhere Priorität !
Die FB muss also diese Route per Definition nutzen und Traffic für das 79.45.159.160 /29 IP Netz zwingend in den Tunnel routen !!
Interessant wäre hier also mal die Routing Tabelle der Fritzbox zu sehen, denn die ist ganz klar der phöse Puhmann hier !
Ein bischen mehr debug Output wäre also hilfreich. Auch macht es Sinn mit -d beim Traceroute die Namensauflösung zu deaktivieren !
RicoPausB
RicoPausB 30.07.2015 aktualisiert um 12:52:46 Uhr
Goto Top
Die Priorisierung der Netze war mir grundlegend bewusst. Deswegen ja meine Frage, ob man das in der Box noch irgendwo einstellen muss.
Das Problem sollte dann ja an der FritzBox irgendwie zu lokalisieren sein.
Soweit ich mich entsinne kann man auf der Box telnet aktivieren. Allerdings wohl nur via angeschlossenem Telefon mittels #96*7*
Da die Box allerdings an einem anderen Standort ist, muss das noch bis nächste Woche warten.

Noch was:
Ich habe mal spaßeshalber versucht, einen der PCs hinter der FritzBox in die Domain hinter der pfSense zu hängen.
Da es ja keine Namensauflösung gibt, habe ich den dortigen DC in die hosts eingetragen.
Klappt aber auch nicht ... domain wird nicht gefunden

An den Standorten, die via pfSense angekoppelt sind, klappt das.
Scheint also auch an der Fritzbox zu liegen.

Mit ist auch noch schleierhaft, warum in der pfSense NAT-T enabled wird, in der config der Fritz-Box aber "use_nat_t = no;" eingetragen wird.
Bei den pfsense-pfsense verbindungen ist auf beiden Seiten NAT-T enabled.
aqui
aqui 30.07.2015 aktualisiert um 13:07:09 Uhr
Goto Top
Das muss auch so sein ! NAT-T sollte zwingend auf beiden Seiten enabled sein, sonst kann die IPsec Verbindung kein NAT überwinden.
Du solltest das also auch auf der FritzBox zwingend in der Konfig aktivieren ! Da ist die Tutorial Konfig m.E. fehlerhaft.
the-buccaneer
the-buccaneer 05.08.2015 um 17:18:33 Uhr
Goto Top
Gelöst?
Sonst poste doch mal die vpn.cfg der Fritzbox. Was steht da unter

phase2remoteid {
ipnet {
ipaddr = ;
mask = ;

NAT-T natürlich immer auf beiden Seiten. face-wink

buc