Verständnisfrage IPSec-VPN FB-PfSense - Wie 2 Subnetze auf Pfsense durch VPN erreichen?
Moin!
Versuche gerade ein 2. Subnetz auf der PfSense durch die VPN-Verbindung mit der Fritte erreichbar zu machen.
Anleitung AVM: https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zw ...
Hier wird beschrieben, wie ich der FB in der vpn.cfg das 2. Subnetz mitgebe.
Der Teil mit der statischen Route auf der 2. Fritte entfällt hier naturgemäß, da die PfSense ihr 2. Interface ja kennt.
Trotz anpassen der Firewallregeln auf dem IPSec-Interface kommt auf LAN2 kein Traffic an.
Das könnte nun daran liegen, dass die PfSense in der Phase 2 ja nur 1 lokales Netz definieren kann. Das ist natürlich LAN1. LAN2 kenntse nich und willse dann auch nich.
Ein 2. lokales Netz zu definieren geht aber auch nicht.
Also habe ich, schlau, wie ich bin, eine 2. Phase 2 definiert mit LAN2 als lokalem Netz.
Danach auch hier so gefunden: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Trotzdem kein Traffic auf LAN 2. Die SPD's werden auf der PfSense für beide Netze korrekt gesetzt.
Wenn ich jedoch auf der Fritte eine 2. VPN-Verbindung einrichte mit einer identischen Phase 1 und einer für LAN2 angepassten Phase 2 geht es. Allerdings nicht stabil.
Alle paar Sekunden ein rekeying auf der pfSense. Also offenbar nicht im Sinne des Erfinders.
2 komplett getrennte Phase 1 + 2 Verbindungen gehen auch nicht, da sie wohl letztlich doch im selben Tunnel auflaufen.
Wie wäre das zu lösen? Die PfSense kann es angeblich, die Fritte auch.
Das ist aktuell nur zu Testzwecken, im Zweifel kann ich produktiv auch hinter die Fritte ne PfSense setzen, wenn es das löst.
Trotzdem, ihr kennt das... ich kann erst wieder ruhig schlafen, wenn ich das irgendwie gelöst habe.
Buc
Versuche gerade ein 2. Subnetz auf der PfSense durch die VPN-Verbindung mit der Fritte erreichbar zu machen.
Anleitung AVM: https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zw ...
Hier wird beschrieben, wie ich der FB in der vpn.cfg das 2. Subnetz mitgebe.
Der Teil mit der statischen Route auf der 2. Fritte entfällt hier naturgemäß, da die PfSense ihr 2. Interface ja kennt.
Trotz anpassen der Firewallregeln auf dem IPSec-Interface kommt auf LAN2 kein Traffic an.
Das könnte nun daran liegen, dass die PfSense in der Phase 2 ja nur 1 lokales Netz definieren kann. Das ist natürlich LAN1. LAN2 kenntse nich und willse dann auch nich.
Ein 2. lokales Netz zu definieren geht aber auch nicht.
Also habe ich, schlau, wie ich bin, eine 2. Phase 2 definiert mit LAN2 als lokalem Netz.
Danach auch hier so gefunden: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Trotzdem kein Traffic auf LAN 2. Die SPD's werden auf der PfSense für beide Netze korrekt gesetzt.
Wenn ich jedoch auf der Fritte eine 2. VPN-Verbindung einrichte mit einer identischen Phase 1 und einer für LAN2 angepassten Phase 2 geht es. Allerdings nicht stabil.
Alle paar Sekunden ein rekeying auf der pfSense. Also offenbar nicht im Sinne des Erfinders.
2 komplett getrennte Phase 1 + 2 Verbindungen gehen auch nicht, da sie wohl letztlich doch im selben Tunnel auflaufen.
Wie wäre das zu lösen? Die PfSense kann es angeblich, die Fritte auch.
Das ist aktuell nur zu Testzwecken, im Zweifel kann ich produktiv auch hinter die Fritte ne PfSense setzen, wenn es das löst.
Trotzdem, ihr kennt das... ich kann erst wieder ruhig schlafen, wenn ich das irgendwie gelöst habe.
Buc
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 503506
Url: https://administrator.de/forum/verstaendnisfrage-ipsec-vpn-fb-pfsense-wie-2-subnetze-auf-pfsense-durch-vpn-erreichen-503506.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
12 Kommentare
Neuester Kommentar
Wie es in der FritzBox einzustellen ist hast du ja schon oben richtig zitiert. Wichtig ist dort die Subnetzmaske der propagierten remoten Netze in der Phase 2 SA.
Genau das stellt man auch so an der pfSense ein. Wenn du dort z.B. mehrere Netze im Bereich 172.16.x.y hast dann gibst du dort als Maske eben für remote 172.16.0.0 /16 ein und das routet dann alle 172.16.0.0er Netze in den Tunnel.
Wenn du nicht zusammengehörige Netze hast musst du diese mit einer Komma Liste einzeln eingeben. Damit bestimmt man dann welche remoten IPs in den Tunnel gesendet werden.
Genau das stellt man auch so an der pfSense ein. Wenn du dort z.B. mehrere Netze im Bereich 172.16.x.y hast dann gibst du dort als Maske eben für remote 172.16.0.0 /16 ein und das routet dann alle 172.16.0.0er Netze in den Tunnel.
Wenn du nicht zusammengehörige Netze hast musst du diese mit einer Komma Liste einzeln eingeben. Damit bestimmt man dann welche remoten IPs in den Tunnel gesendet werden.
Beim Client Dialin gibt es noch den Haken Networklist : IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Der dürfte aber bei einer Site to Site Kopplung natürlich wenig bis gar nix bewirken...
Ein zweiter Phase 2 Eintrag sollte das Problem elegant lösen:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Ansonsten eben Supernetting wie oben wenn man nur einen P2 Eintrag hat.
Der dürfte aber bei einer Site to Site Kopplung natürlich wenig bis gar nix bewirken...
Ein zweiter Phase 2 Eintrag sollte das Problem elegant lösen:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-with-multiple ...
Ansonsten eben Supernetting wie oben wenn man nur einen P2 Eintrag hat.