12
Verständnisfrage IPSec-VPN FB-PfSense - Wie 2 Subnetze auf Pfsense durch VPN erreichen?
Moin!
Versuche gerade ein 2. Subnetz auf der PfSense durch die VPN-Verbindung mit der Fritte erreichbar zu machen.
Anleitung AVM: https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zw ...
Hier wird beschrieben, wie ich der FB in der vpn.cfg das 2. Subnetz mitgebe.
Der Teil mit der statischen Route auf der 2. Fritte entfällt hier naturgemäß, da die PfSense ihr 2. Interface ja kennt.
Trotz anpassen der Firewallregeln auf dem IPSec-Interface kommt auf LAN2 kein Traffic an.
Das könnte nun daran liegen, dass die PfSense in der Phase 2 ja nur 1 lokales Netz definieren kann. Das ist natürlich LAN1. LAN2 kenntse nich und willse dann auch nich.
Ein 2. lokales Netz zu definieren geht aber auch nicht.
Also habe ich, schlau, wie ich bin, eine 2. Phase 2 definiert mit LAN2 als lokalem Netz.
Danach auch hier so gefunden: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Trotzdem kein Traffic auf LAN 2. Die SPD's werden auf der PfSense für beide Netze korrekt gesetzt.
Wenn ich jedoch auf der Fritte eine 2. VPN-Verbindung einrichte mit einer identischen Phase 1 und einer für LAN2 angepassten Phase 2 geht es. Allerdings nicht stabil.
Alle paar Sekunden ein rekeying auf der pfSense. Also offenbar nicht im Sinne des Erfinders.
2 komplett getrennte Phase 1 + 2 Verbindungen gehen auch nicht, da sie wohl letztlich doch im selben Tunnel auflaufen.
Wie wäre das zu lösen? Die PfSense kann es angeblich, die Fritte auch.
Das ist aktuell nur zu Testzwecken, im Zweifel kann ich produktiv auch hinter die Fritte ne PfSense setzen, wenn es das löst.
Trotzdem, ihr kennt das... ich kann erst wieder ruhig schlafen, wenn ich das irgendwie gelöst habe.
Buc
Versuche gerade ein 2. Subnetz auf der PfSense durch die VPN-Verbindung mit der Fritte erreichbar zu machen.
Anleitung AVM: https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zw ...
Hier wird beschrieben, wie ich der FB in der vpn.cfg das 2. Subnetz mitgebe.
Der Teil mit der statischen Route auf der 2. Fritte entfällt hier naturgemäß, da die PfSense ihr 2. Interface ja kennt.
Trotz anpassen der Firewallregeln auf dem IPSec-Interface kommt auf LAN2 kein Traffic an.
Das könnte nun daran liegen, dass die PfSense in der Phase 2 ja nur 1 lokales Netz definieren kann. Das ist natürlich LAN1. LAN2 kenntse nich und willse dann auch nich.
Ein 2. lokales Netz zu definieren geht aber auch nicht.
Also habe ich, schlau, wie ich bin, eine 2. Phase 2 definiert mit LAN2 als lokalem Netz.
Danach auch hier so gefunden: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Trotzdem kein Traffic auf LAN 2. Die SPD's werden auf der PfSense für beide Netze korrekt gesetzt.
Wenn ich jedoch auf der Fritte eine 2. VPN-Verbindung einrichte mit einer identischen Phase 1 und einer für LAN2 angepassten Phase 2 geht es. Allerdings nicht stabil.
Alle paar Sekunden ein rekeying auf der pfSense. Also offenbar nicht im Sinne des Erfinders.
2 komplett getrennte Phase 1 + 2 Verbindungen gehen auch nicht, da sie wohl letztlich doch im selben Tunnel auflaufen.
Wie wäre das zu lösen? Die PfSense kann es angeblich, die Fritte auch.
Das ist aktuell nur zu Testzwecken, im Zweifel kann ich produktiv auch hinter die Fritte ne PfSense setzen, wenn es das löst.
Trotzdem, ihr kennt das... ich kann erst wieder ruhig schlafen, wenn ich das irgendwie gelöst habe.
Buc
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 503506
Url: https://administrator.de/contentid/503506
Ausgedruckt am: 21.11.2024 um 14:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
besser ist es, sowieso eine pfSense oder eine UTM hinter der Fritzbox (wenn es sein muss) zu betreiben - da Safer. Nebenbei ist eine VPN natürlich auch eine Einbruchsfront.
Daher, besser gleich so lösen, kannst noch besser schlafen.
Viele Grüße,
Christian
besser ist es, sowieso eine pfSense oder eine UTM hinter der Fritzbox (wenn es sein muss) zu betreiben - da Safer. Nebenbei ist eine VPN natürlich auch eine Einbruchsfront.
Daher, besser gleich so lösen, kannst noch besser schlafen.
Viele Grüße,
Christian
Ich kann aber nicht schlafen, weil es mir keine Ruhe lässt, dass es nicht geht, obwohl es sollte...
Aber diese AVM-IPSec-Syntax zu verstehen ist was für ne Masterarbeit.
Ich weiss ja nichtmal, ob die Pakete für LAN2 auf der PfSense ankommen oder nicht, da die PfSense auf dem IPSec bei tracert immer und als Feature *** ausspuckt. Ist kein Bug, da es auf dem Interface kein normales Routing ist oder so ähnlich. Grmpfff...
Trotzdem schonmal Danke certified!
Evtl. blickt ja wer da durch? @aqui:
Buc
Die Fritz vpn ist nicht so schwer zu verstehen, komplexe Setups damit zu machen ist aber ein Ding der Unmöglichkeit, da AVM das auch nur sehr schwach Supported
Wie es in der FritzBox einzustellen ist hast du ja schon oben richtig zitiert. Wichtig ist dort die Subnetzmaske der propagierten remoten Netze in der Phase 2 SA.
Genau das stellt man auch so an der pfSense ein. Wenn du dort z.B. mehrere Netze im Bereich 172.16.x.y hast dann gibst du dort als Maske eben für remote 172.16.0.0 /16 ein und das routet dann alle 172.16.0.0er Netze in den Tunnel.
Wenn du nicht zusammengehörige Netze hast musst du diese mit einer Komma Liste einzeln eingeben. Damit bestimmt man dann welche remoten IPs in den Tunnel gesendet werden.
Genau das stellt man auch so an der pfSense ein. Wenn du dort z.B. mehrere Netze im Bereich 172.16.x.y hast dann gibst du dort als Maske eben für remote 172.16.0.0 /16 ein und das routet dann alle 172.16.0.0er Netze in den Tunnel.
Wenn du nicht zusammengehörige Netze hast musst du diese mit einer Komma Liste einzeln eingeben. Damit bestimmt man dann welche remoten IPs in den Tunnel gesendet werden.
Danke, aber wie gebe ich denn in der PfSense mit einer Kommaliste verschiedene Netze ein? Ich kann da immer nur 1 Netz pro Phase 2 eintragen. Muss ich auch zum Augenarzt, wie der Doktor?
Zitat von @certifiedit.net:
Die Fritz vpn ist nicht so schwer zu verstehen, komplexe Setups damit zu machen ist aber ein Ding der Unmöglichkeit, da AVM das auch nur sehr schwach Supported
Die Fritz vpn ist nicht so schwer zu verstehen, komplexe Setups damit zu machen ist aber ein Ding der Unmöglichkeit, da AVM das auch nur sehr schwach Supported
Hätten die das mal ordentlich dokumentiert, ginge das auch. Ich weiss, die Fahrradkette...
Scheint zu grassieren...
Also in der Pfsense kann ich auch mit Brille keine Kommagetrennten Werte eingeben. Was allerdings nun funktioniert, ist via Netzwerkrange.
War trotzdem etwas strange. Ursprünglich ging es wieder nicht, dann habe ich es über nacht so gelassen, unruhig geschlafen und nun geht es. Zwangstrennung hat es gefixt???
Nun muss ich nur noch 2 Ports die auf dem WAN der Fritte auflaufen durch den Tunnel natten. Ob das auch geht???
VG Buc
War trotzdem etwas strange. Ursprünglich ging es wieder nicht, dann habe ich es über nacht so gelassen, unruhig geschlafen
und nun geht es. Zwangstrennung hat es gefixt???Nun muss ich nur noch 2 Ports die auf dem WAN der Fritte auflaufen durch den Tunnel natten. Ob das auch geht???
VG Buc
Beim Client Dialin gibt es noch den Haken Networklist : IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Der dürfte aber bei einer Site to Site Kopplung natürlich wenig bis gar nix bewirken...
Ein zweiter Phase 2 Eintrag sollte das Problem elegant lösen:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Ansonsten eben Supernetting wie oben wenn man nur einen P2 Eintrag hat.
Der dürfte aber bei einer Site to Site Kopplung natürlich wenig bis gar nix bewirken...
Ein zweiter Phase 2 Eintrag sollte das Problem elegant lösen:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Ansonsten eben Supernetting wie oben wenn man nur einen P2 Eintrag hat.
Sag ich doch!
Wäre evtl. me Ergänzung fürs Tutorial, auch wenn ich nicht verstanden habe, warum die Einstellungen erst nach dem nächtlichen reconnect griffen.
Den Service hatte ich immer mal wieder neu gestartet.
Jetzt teste ich die 2. Phse 2 und lasse mich zwangstrennen.
offline ist das neue bio
buc
Wäre evtl. me Ergänzung fürs Tutorial, auch wenn ich nicht verstanden habe, warum die Einstellungen erst nach dem nächtlichen reconnect griffen.
Den Service hatte ich immer mal wieder neu gestartet.
Jetzt teste ich die 2. Phse 2 und lasse mich zwangstrennen.
offline ist das neue bio
buc
Du hast Recht. Ich ergänze das IPsec Tutorial nochmal um diesen Punkt.
Mit 2 Phase 2 kein Erfolg. Netzwerkrange geht aber. Doof nur, wenn die nicht direkt benachbart sind...
VG
Buc
VG
Buc
