Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Client hinter PFSense, Verbindung nicht möglich

Mitglied: ss140207

ss140207 (Level 1) - Jetzt verbinden

04.02.2020 um 12:25 Uhr, 408 Aufrufe, 20 Kommentare, 2 Danke

Hallo,
ich habe ein Problem mit meinem VPN Client L2TP/IPsec (Shrew Soft/Windows 10) hinter einer PF Sense Firewall.
- Ohne PFSense funktioniert der Verbindungsaufbau.
- mit PF Sense funktioniert der Aufbau des Tunnesl aber es ist kein Datentransfer möglich. Ping läuft ins Leere. Verbindung bricht ab.
- Die Einstellung der Firewall sind ausgehend:
IPV4* / LAN Net / * / * / * / * / nicht gesetzt
IPV6* / LAN Net / * / * / * / * / nicht gesetzt

NAT ausgehend ist auf automatisch

Hat jemand eine Idee?

Viele Grüsse
Stephan
Mitglied: aqui
04.02.2020, aktualisiert um 12:41 Uhr
Das ist auch klar, denn vermutlich hast du keinerlei Inbound Regeln am WAN Port der Firewall dafür definiert ?!
Die ausgehenden Regeln sind dafür nicht relevant. Außerdem hast du da ja eh nur "Scheunentor" Regeln definiert.
Inbound am WAN solltest du zumindest das ESP Protokoll (IP Nummer 60) und NAT Traversal (UDP 4500) auf die WAN IP der Firewall erlauben. Das sollte das Problem schon sofort lösen.
Die pfSense darf dabei dann natürlich nicht selber VPN Server sein für IPsec und L2TP da sie diese Ports sonst nicht forwardet.
Rennt die pfSense direkt am Internet mit einem reinen Modem oder in einer Router Kaskade ?
In einer Kaskade musst du ggf. auch Port Forwarding im Router davor beachten.
Infos zu Kaskaden Setups findest du, wie immer hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
(Kapitel: Firewall hinter NAT Router !)
Bitte warten ..
Mitglied: ss140207
04.02.2020 um 13:30 Uhr
Die PFSense war bisher auch als VPN Server einerichtet, das heisst die Inbound Regeln sind da. Ich habe jetzt den VPN Server deaktiviert, leider bleibt das ausgehende VPN davon unbeeindruckt. Die PFSense hängt an einem reinen Modem, ohne Router Kaskade
Bitte warten ..
Mitglied: aqui
04.02.2020, aktualisiert um 13:48 Uhr
Deaktivieren nützt nichts, du musst es vollständig entfernen und danach zwingend die States löschen oder die FW rebooten.
Hast du wenigstens mal ins Firewall Log gesehen WAS denn vom L2TP Protokoll in den Regeln hängen bleibt ? Die FW loggt das doch alles mit !
Bitte warten ..
Mitglied: ss140207
04.02.2020 um 16:17 Uhr
Die VPN Tunnel sind gelöscht und die Firewall neu gestartet.
Im Log der Firewall scheinen ausgehend je ein UDP Eintrag auf Port 500 und 4500 auf der durchgeleitet wird.
Eingehend sind keine Einträge von der IP des entfernten Netzwerks vorhanden.
Bitte warten ..
Mitglied: lcer00
04.02.2020 um 21:50 Uhr
Hallo,

Ist da irgendwo ein NAT aktiv? Oder zwei?

Grüße

lcer
Bitte warten ..
Mitglied: commodity
04.02.2020, aktualisiert 05.02.2020
Zitat von aqui:

Das ist auch klar, denn vermutlich hast du keinerlei Inbound Regeln am WAN Port der Firewall dafür definiert ?!

Verständnisfrage:
Wieso benötigt er eingehende Regeln, wenn es doch um die Nutzung eines VPN-Clients geht, der hinter der pfsense liegt? Sollten da nicht die ausgehenden Regeln genügen?

Wenn das Problem noch ungelöst ist: Könnte es vielleicht hiermit zusammen hängen? Source Port Rewriting. Dort steht dann auch, wie man es löst.
However, rewriting the source port breaks some applications which require the source port to remain unmodified. Notably, there are a handful of protocols, including IPsec and some games, which suffer from this limitation.
Bitte warten ..
Mitglied: aqui
05.02.2020, aktualisiert um 21:10 Uhr
Wieso benötigt er eingehende Regeln,
Der Client nutzt L2TP mit IPsec und triggert am VPN Server dann den Aufbau eines eines ESP Tunnels den der Server dann initiiert. Die FW "sieht" also zumindestens eine eingehende ESP Session oder wenn NAT dazwischen ist ein NAT Traversal. Da der Verbindungsaufbau vom Server kommt besteht kein Eintrag in der NAT Translation Tabelle und zudem ist ESP verbindungslos so das keine SPI Beziehung besteht.
Folglich sollte zumindestens UDP 4500 und ESP eingehend am WAN erlaubt sein.
Normal reicht es vollkommen aus in der Standard default Konfig die L2TP Ports bzw. IPsec ESP Ports am WAN Port auf die WAN IP per Rewgel zu erlauben.
Funktioniert hier jedenfalls mit native IPsec vollkommen fehlerlos.
Bitte warten ..
Mitglied: commodity
05.02.2020 um 11:36 Uhr
OK, Danke. Immer wieder klasse, wie Du die Sachen hier erklärst!

Am Rande:
OpenVPN initialisiert die Session offenbar anders. Mein Client läuft da jedenfalls sauber durch die vor ihm liegende pfsense ohne weitere Einstellungen.

Die Hintergründe sind auch hier zu IPSEC (Abschnitt "Probleme mit einer Firewall bei NAT-Traversal") und hier zu OpenVPN (ex. für Site to Site) anschaulich erklärt (Habe ich aber erst nach Deiner Erläuterung gelesen).
Bitte warten ..
Mitglied: aqui
05.02.2020, aktualisiert um 21:15 Uhr
OpenVPN initialisiert die Session offenbar anders.
Ja, das ist logisch, denn OVPN ist ein SSL basierendes VPN. Nutzt also im Gegensatz zu IPsec nur einen einzigen Port.
L2TP nutzt derer mehrere wie UDP 1701, und dann die IPsec Suite für den eigentlichen Crypto Tunnel. Siehe RFC_3193
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
Grundsätzlich ist L2TP nicht an IPsec gebunden wird aber heute aus Sicherheitsgründen fast nur noch mit der IPsec Verschlüsselung genutzt.
Im Grunde ist es ein schlechtes VPN Protokoll weil es nur einzelne Tunnel zulässt und rein nur L2 ist. Deshalb wird es fast nicht mehr genutzt.
Native IPsec oder SSL basierende Protokolle sind da erheblich besser da flexibler.
Aber nun ist der TO wieder dran...
Bitte warten ..
Mitglied: ss140207
06.02.2020 um 10:55 Uhr
Unter den VPN Settings sind unter IPsec alle tunnels gelöscht und die PFSense neu gestartet.
NAT outbound steht auf automatisch
Eingehde Regeln sind
- IPV4 UDP / * / * / WAN Address / 4500 / * / nicht gesetzt
- IPV4 UDP / * / * / WAN Address / 500 / * / nicht gesetzt
- IPV4 ESP / * / * / WAN Address / * / * / nicht gesetzt


Im Log der Firewall scheinen ausgehend je ein UDP Eintrag auf Port 500 und 4500 auf, der durchgeleitet wird.
Eingehend sind keine Einträge von der IP des entfernten Netzwerks vorhanden.
Bitte warten ..
Mitglied: lcer00
06.02.2020 um 11:02 Uhr
Hallo,

blöde Frage vielleicht, aber stimmt Dein Routing? Poste mal die Interface-Adressen von pfsense, Internetrouter und den VPN-Server/Client sowie die Standardgateways. Insbesondere wäre es interessant zu wissen, ob die pfsense das Standardgateway ist.

Grüße

lcer
Bitte warten ..
Mitglied: ss140207
06.02.2020 um 12:30 Uhr
Die PFSense hängt direkt am Modem (Bridge Mode) und stellt die Routerfunktion. Der Rechner auf dem der VPN Client läuft, bezieht seine Konfiguration von der PFSense. Standard Gateway ist der WAN Port der PFSense. Soweit so einfach.
Bitte warten ..
Mitglied: aqui
06.02.2020, aktualisiert um 13:56 Uhr
Befürchte ich auch. Irgendwas stimmt da generell am Client nicht. Es sieht so aus als ob die lokale Windows Firewall den Client bzw. dessen virtuelles VPN Interface komplett blockt.
Sehr hilfreich wäre hier mal das Log des Shrew Clients !!
Ob dieser überhaupt eingehenden Traffic "sieht" von seinem VPN Server !
Ist am lokalen LAN Port der pfSense eine "Scheuentor" Regel, sprich also alles erlaubt oder filterst du dort ggf. auch nach Protokollen oder Ports ? Auch das könnte ein möglicher Grund sein.
Bitte warten ..
Mitglied: ss140207
06.02.2020 um 15:47 Uhr
Die Windows Firewall ist ausgeschaltet

Hier das Log der Fehlermeldungen:
20/02/06 15:40:58 !! : config packet ignored ( config already mature )
20/02/06 15:41:06 !! : config packet ignored ( config already mature )
20/02/06 15:41:14 !! : config packet ignored ( config already mature )
20/02/06 15:41:22 !! : failed to remove IPSEC policy route for ANY:192.168.0.0/24:*

Am LAN Port ist eine Scheunentor Regel
Bitte warten ..
Mitglied: lcer00
06.02.2020 um 16:06 Uhr
Zitat von ss140207:

Die Windows Firewall ist ausgeschaltet

Hier das Log der Fehlermeldungen:
20/02/06 15:40:58 !! : config packet ignored ( config already mature )
20/02/06 15:41:06 !! : config packet ignored ( config already mature )
20/02/06 15:41:14 !! : config packet ignored ( config already mature )
20/02/06 15:41:22 !! : failed to remove IPSEC policy route for ANY:192.168.0.0/24

ist das log der pfsense? In Deinem Szenario dürfte die von ipsec nix wissen! Ist das eigene ipsec der pfsense komplett deaktiviert?

Grüße

lcer
Bitte warten ..
Mitglied: ss140207
06.02.2020 um 16:56 Uhr
Das sind die Fehlermeldungen aus dem ShrewSoft Log.
Bitte warten ..
Mitglied: aqui
06.02.2020, aktualisiert um 17:15 Uhr
??? Bahnhof, Ägypten ???
Da ist nix mit Fehlermeldung !! Wo sind die ??
Wenn du was postest dann das Shrew Log vorher löschen...und erst dann eine Verbindung neu initiieren. Nicht das noch alte Meldungen uns dann hier verwirren !
Bitte warten ..
Mitglied: ss140207
06.02.2020 um 17:29 Uhr
20/02/06 17:25:41 ## : IKE Daemon, ver 2.2.2
20/02/06 17:25:41 ## : Copyright 2013 Shrew Soft Inc.
20/02/06 17:25:41 ## : This product linked OpenSSL 1.0.1c 10 May 2012
20/02/06 17:25:59 !! : config packet ignored ( config already mature )
20/02/06 17:26:06 !! : config packet ignored ( config already mature )
20/02/06 17:26:15 !! : config packet ignored ( config already mature )
20/02/06 17:26:23 !! : failed to remove IPSEC policy route for ANY:192.168.0.0/24:*
Bitte warten ..
Mitglied: ss140207
14.02.2020 um 09:35 Uhr
Ich wollte noch eine abschliessende Rückmeldung zu dieser Frage liefern. Das VPN funktioniert wieder.

In der PFSense sind folgende Regeln aktiv:
Inbound ist alles zu.
Outbound sind 4500 und 500 freigegeben.

Ausschlaggebend war eine fehlerhafte Konfiguration des Shrewsoft Clients (Phase 2). Der Tunnel wurde zwar korrekt aufgebaut aber es war kein Traffic möglich.

Vielen Dank für eure Beteiligung an der Fehlersuche.
Bitte warten ..
Mitglied: aqui
14.02.2020 um 10:54 Uhr
Outbound sind 4500 und 500 freigegeben.
Das ist aber nur die halbe Miete ! IPsec besteht zudem noch aus dem ESP Protokoll (IP Nummer 50). Das ist essentiell, denn der ESP Tunnel transportiert die gesamten Produktivdaten.
Nur UDP 500 und 4500 freizugeben reicht also keinesfalls.
So oder so hat man outbound ja am LAN Port meist mit einer Schrotschussregel alles freigegeben. Interface basierte Outbound Regeln supportet die pfSense ja gar nicht !
Ist also etwas verwirrend was du hier wirklich meinst.
Aber wenn der böse Buhmann der Shrew Client war ist die FW ja so oder so außen vor....
Case closed und danke fürs Feedback !

Bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Router & Routing
VPN Client - Verbindung freigeben
Frage von masterspRouter & Routing8 Kommentare

Hallo, habe bei einen Kunden (Software-Entwickler) das Problem, dass diese zu mehreren Firmen per VPN eine Verbindung aufbauen müssen. ...

Firewall

Abbruch VPN-Verbindung mit Zyxel-VPN-Client

Frage von EDVKellerFirewall1 Kommentar

Hallo Zusammen Wir betreiben einen Terminal-Server auf den von Extern vie ZyxelVPN zugegriffen wird. Nach einer gewissen Zeit (20 ...

Tipps & Tricks

Portforwarding üner VPN Verbindung Client side

gelöst Frage von fibs7000Tipps & Tricks4 Kommentare

Meine Frage wäre ob es möglich ist eine vpn Verbindung zu einem Server aufzubauen auf den ich keinen administrativen ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 1 TagHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 2 TagenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 2 TagenMicrosoft Office11 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 2 TagenNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Server-Hardware
Lieferzeiten bei einem Server - kann das sein?
gelöst Frage von samet22Server-Hardware31 Kommentare

Hallo, ich hätte an diejenigen eine Frage welche innerhalb der letzten 6-12 Monate einen Server bestellt haben. Ich habe ...

Verschlüsselung & Zertifikate
SSL Zertifikat gekauft funktioniert aber nicht
Frage von TeKiLLa1895Verschlüsselung & Zertifikate18 Kommentare

Hi, Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen. Jetzt passt aber der ...

Humor (lol)
Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden
Information von Dilbert-MDHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Linux Tools
Wert aus eine bestimmte Zeile in eine andere Spalte ändern unter Linux Bash
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOOLinux Tools15 Kommentare

Guten Tag, ich sitze gerade wiedermal vor einem Problem und muss unter Zeitdruck ein diesen lösen. Ich muss mit ...