Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verständnisfrage IPSec-VPN FB-PfSense - Wie 2 Subnetze auf Pfsense durch VPN erreichen?

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

2019/10/11 um 21:48 Uhr, 699 Aufrufe, 12 Kommentare

Moin!
Versuche gerade ein 2. Subnetz auf der PfSense durch die VPN-Verbindung mit der Fritte erreichbar zu machen.
Anleitung AVM: https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zw ...

Hier wird beschrieben, wie ich der FB in der vpn.cfg das 2. Subnetz mitgebe.
Der Teil mit der statischen Route auf der 2. Fritte entfällt hier naturgemäß, da die PfSense ihr 2. Interface ja kennt.

Trotz anpassen der Firewallregeln auf dem IPSec-Interface kommt auf LAN2 kein Traffic an.
Das könnte nun daran liegen, dass die PfSense in der Phase 2 ja nur 1 lokales Netz definieren kann. Das ist natürlich LAN1. LAN2 kenntse nich und willse dann auch nich.
Ein 2. lokales Netz zu definieren geht aber auch nicht.

Also habe ich, schlau, wie ich bin, eine 2. Phase 2 definiert mit LAN2 als lokalem Netz.

Danach auch hier so gefunden: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...

Trotzdem kein Traffic auf LAN 2. Die SPD's werden auf der PfSense für beide Netze korrekt gesetzt.

Wenn ich jedoch auf der Fritte eine 2. VPN-Verbindung einrichte mit einer identischen Phase 1 und einer für LAN2 angepassten Phase 2 geht es. Allerdings nicht stabil.
Alle paar Sekunden ein rekeying auf der pfSense. Also offenbar nicht im Sinne des Erfinders.

2 komplett getrennte Phase 1 + 2 Verbindungen gehen auch nicht, da sie wohl letztlich doch im selben Tunnel auflaufen.

Wie wäre das zu lösen? Die PfSense kann es angeblich, die Fritte auch.

Das ist aktuell nur zu Testzwecken, im Zweifel kann ich produktiv auch hinter die Fritte ne PfSense setzen, wenn es das löst.

Trotzdem, ihr kennt das... ich kann erst wieder ruhig schlafen, wenn ich das irgendwie gelöst habe.

Buc
Mitglied: certifiedit.net
2019/10/11 um 21:53 Uhr
Hi,

besser ist es, sowieso eine pfSense oder eine UTM hinter der Fritzbox (wenn es sein muss) zu betreiben - da Safer. Nebenbei ist eine VPN natürlich auch eine Einbruchsfront.

Daher, besser gleich so lösen, kannst noch besser schlafen.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: the-buccaneer
2019/10/11 um 22:46 Uhr

Ich kann aber nicht schlafen, weil es mir keine Ruhe lässt, dass es nicht geht, obwohl es sollte...

Aber diese AVM-IPSec-Syntax zu verstehen ist was für ne Masterarbeit.

Ich weiss ja nichtmal, ob die Pakete für LAN2 auf der PfSense ankommen oder nicht, da die PfSense auf dem IPSec bei tracert immer und als Feature *** ausspuckt. Ist kein Bug, da es auf dem Interface kein normales Routing ist oder so ähnlich. Grmpfff...

Trotzdem schonmal Danke certified!

Evtl. blickt ja wer da durch? @aqui:

Buc
Bitte warten ..
Mitglied: certifiedit.net
2019/10/12 um 08:51 Uhr
Die Fritz vpn ist nicht so schwer zu verstehen, komplexe Setups damit zu machen ist aber ein Ding der Unmöglichkeit, da AVM das auch nur sehr schwach Supported
Bitte warten ..
Mitglied: aqui
2019/10/12 um 11:30 Uhr
Wie es in der FritzBox einzustellen ist hast du ja schon oben richtig zitiert. Wichtig ist dort die Subnetzmaske der propagierten remoten Netze in der Phase 2 SA.
Genau das stellt man auch so an der pfSense ein. Wenn du dort z.B. mehrere Netze im Bereich 172.16.x.y hast dann gibst du dort als Maske eben für remote 172.16.0.0 /16 ein und das routet dann alle 172.16.0.0er Netze in den Tunnel.
Wenn du nicht zusammengehörige Netze hast musst du diese mit einer Komma Liste einzeln eingeben. Damit bestimmt man dann welche remoten IPs in den Tunnel gesendet werden.
Bitte warten ..
Mitglied: the-buccaneer
2019/10/12 um 19:04 Uhr
Danke, aber wie gebe ich denn in der PfSense mit einer Kommaliste verschiedene Netze ein? Ich kann da immer nur 1 Netz pro Phase 2 eintragen. Muss ich auch zum Augenarzt, wie der Doktor?
Bitte warten ..
Mitglied: the-buccaneer
2019/10/12 um 19:06 Uhr
Zitat von certifiedit.net:

Die Fritz vpn ist nicht so schwer zu verstehen, komplexe Setups damit zu machen ist aber ein Ding der Unmöglichkeit, da AVM das auch nur sehr schwach Supported

Hätten die das mal ordentlich dokumentiert, ginge das auch. Ich weiss, die Fahrradkette...
Bitte warten ..
Mitglied: certifiedit.net
2019/10/12 um 19:35 Uhr
Scheint zu grassieren...
Bitte warten ..
Mitglied: the-buccaneer
2019/10/13 um 10:31 Uhr
Also in der Pfsense kann ich auch mit Brille keine Kommagetrennten Werte eingeben. Was allerdings nun funktioniert, ist via Netzwerkrange.
War trotzdem etwas strange. Ursprünglich ging es wieder nicht, dann habe ich es über nacht so gelassen, unruhig geschlafen und nun geht es. Zwangstrennung hat es gefixt???

Nun muss ich nur noch 2 Ports die auf dem WAN der Fritte auflaufen durch den Tunnel natten. Ob das auch geht???

VG Buc
Bitte warten ..
Mitglied: aqui
2019/10/13, aktualisiert um 14:35 Uhr
Beim Client Dialin gibt es noch den Haken Networklist : https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Der dürfte aber bei einer Site to Site Kopplung natürlich wenig bis gar nix bewirken...

Ein zweiter Phase 2 Eintrag sollte das Problem elegant lösen:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...

Ansonsten eben Supernetting wie oben wenn man nur einen P2 Eintrag hat.
Bitte warten ..
Mitglied: the-buccaneer
2019/10/14, aktualisiert um 00:42 Uhr
Sag ich doch!
Wäre evtl. me Ergänzung fürs Tutorial, auch wenn ich nicht verstanden habe, warum die Einstellungen erst nach dem nächtlichen reconnect griffen.
Den Service hatte ich immer mal wieder neu gestartet.
Jetzt teste ich die 2. Phse 2 und lasse mich zwangstrennen.

offline ist das neue bio
buc
Bitte warten ..
Mitglied: aqui
2019/10/14 um 10:00 Uhr
Du hast Recht. Ich ergänze das IPsec Tutorial nochmal um diesen Punkt.
Bitte warten ..
Mitglied: the-buccaneer
2019/10/16 um 23:57 Uhr
Mit 2 Phase 2 kein Erfolg. Netzwerkrange geht aber. Doof nur, wenn die nicht direkt benachbart sind...

VG
Buc
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Router & Routing

IPSEC Site2Site VPN zwischen 2 Sophos UTMs

gelöst Frage von Leo-leRouter & Routing11 Kommentare

Hallo zusammen, Testweise habe ich mich daran versucht, 2 Sophos UTMs per IPsec miteinander zu verbinden. Die Hürde dabei ...

Router & Routing

Sophos XG VPN IPSec und Site 2 Site

Frage von ITAllrounderRouter & Routing3 Kommentare

Guten Morgen zusammen, ich bin mit meinem Netzwerk Latein aktuell leider am Ende und kann vor lauter IP Subnetzen ...

Router & Routing

PfSense IPsec VPN Routing

gelöst Frage von Philippe27Router & Routing10 Kommentare

Hallo zusammen Benötige eure Hilfe. Gegeben: Standort A pfSense LAN 172.16.200.0/24 VPN nach Standort B 192.168.5.0/24 VPN nach Standort ...

Neue Wissensbeiträge
Administrator.de Feedback
Abgelaufenes SSL Zertifikat
Ticker von Frank vor 1 StundeAdministrator.de Feedback2 Kommentare

Hallo User, eigentlich sollte sich unser Zertifikat, dass heute abgelaufen war, automatisch erneuern. Warum auch immer hat der "certbot" ...

Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 2 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 2 TagenVirtualisierung

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 2 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Heiß diskutierte Inhalte
Sicherheit
Offener Port ohne Dienst IT-Sicherheit
gelöst Frage von decehakanSicherheit8 Kommentare

Hallo Zusammen, für die Zertifisierung von Webapplikation öffne ich in drei Monat Rythmus den Port 443/80 ,dabei läuft die ...

Windows Server
AD Userkennwörter per Mail versenden
Frage von xoxoonexWindows Server8 Kommentare

Guten Tag Admins, ich suche eine Möglichkeit welche anhand einer CSV in welcher die Anmeldedaten + Mail und weitere ...

Netzwerkmanagement
WLAN Drucker überall erreichbar machen + UPgrade auf 10GBASE-T
gelöst Frage von daswinimramNetzwerkmanagement7 Kommentare

Hallo Admins und alle anderen mit Nerven aus Stahl! :) folgende IST Situation : FRAGEN : 1.) -> ich ...

Batch & Shell
bat Datei suchen lassen auf Netzlaufwerk ?
gelöst Frage von CorsabastlerBatch & Shell6 Kommentare

Guten Tag hab mir mit Hilfe von diesem Forum ne .Bat datei erstellt die wie folft aussieht echo off ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN