10
VPN funktioniet nicht mehr
Hallo,
wir haben seit kurzem ein Problem mit VPN. Und zwar haben wir ein Netzwerk wo pfsense als Firewall und PPPOE Router eingerichtet ist.
Bisher konnte ich mich immer von einem internen Client auf eine entfernte Fritzbox verbinden (mit VPN Client von FAVM). Seit ein paar Tagen
bringt er mir "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden" obwohl die Gegenstelle erreichbar ist (Ping). Andere
Kollegen haben das gleiche Problem mit VPN Verbindungen (zu anderen Gegenstellen), und auch eine PPTP Verbindung baut nicht mehr auf.
Die Firewall ist "eigentlich" so eingestellt das sie alles durchlässt was von innen nach aussen geht, deswegen weiss ich mom. nicht mehr so
recht wo ich noch einhacken könnte. Ich hoff mir kann jemand helfen...
mfg
wir haben seit kurzem ein Problem mit VPN. Und zwar haben wir ein Netzwerk wo pfsense als Firewall und PPPOE Router eingerichtet ist.
Bisher konnte ich mich immer von einem internen Client auf eine entfernte Fritzbox verbinden (mit VPN Client von FAVM). Seit ein paar Tagen
bringt er mir "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden" obwohl die Gegenstelle erreichbar ist (Ping). Andere
Kollegen haben das gleiche Problem mit VPN Verbindungen (zu anderen Gegenstellen), und auch eine PPTP Verbindung baut nicht mehr auf.
Die Firewall ist "eigentlich" so eingestellt das sie alles durchlässt was von innen nach aussen geht, deswegen weiss ich mom. nicht mehr so
recht wo ich noch einhacken könnte. Ich hoff mir kann jemand helfen...
mfg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 166124
Url: https://administrator.de/contentid/166124
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Du hast einen Fehler beim Setup der pfSense Firewall gemacht. Von innen nach außen reicht nämlich nicht bei IPsec VPNs wie es die FB verwendet und auch nicht bei PPTP VPNs !!!
Du musst auf dem WAN Interface der pfSense die entsprechenden Ports für IPsec und PPTP auch explizit zulassen denn sonst blockt die Firewall diese denn du nutzt einen Firewall und keinen Router !
Schalte also am WAN
Du musst auf dem WAN Interface der pfSense die entsprechenden Ports für IPsec und PPTP auch explizit zulassen denn sonst blockt die Firewall diese denn du nutzt einen Firewall und keinen Router !
Schalte also am WAN
- UDP 500
- UDP 4500
- GRE Protokoll
- ESP Protokoll
ok das wusste ich nicht, hab gedacht damit ist alles frei, zumindest von innen nach aussen. Hab jetzt die Ports und Protokolle mal zusätzlich freigeschaltet aber leider bekommen wir immer noch den gleichen Fehler. Die Firewall Logs zeigen nichts an, obwohl das Häckchen in der Regel gesetzt ist das er mitlogen soll.
Irgendwo hab ich wohl noch einen Fehler, was könnte denn noch sein? Hab noch zusätzlich den TCP port 10000 freigeschalten aber das wars auch nicht
Irgendwo hab ich wohl noch einen Fehler, was könnte denn noch sein? Hab noch zusätzlich den TCP port 10000 freigeschalten aber das wars auch nicht
Ach ja, wie ist denn das gemeint das ich einen Firewall nutze und keinen Router? Die pfSense ist in meinem Fall beides denn die Einwahl ins Inet, Nat... macht sie ja auch. Dahinter ist nur noch ein reines DSL Modem zum Internet.
Wieso müssen denn die Ports und Protokolle am WAN freigeschalten werden und nicht am LAN? Ist glaub ich ne blöde Frage aber ich versteh grad nicht den Unterschied zu "normalen" Regeln die ja alle das LAN Interface betreffen
Wieso müssen denn die Ports und Protokolle am WAN freigeschalten werden und nicht am LAN? Ist glaub ich ne blöde Frage aber ich versteh grad nicht den Unterschied zu "normalen" Regeln die ja alle das LAN Interface betreffen
Der LAN Port ist ja offen wie du selber unschwer in den Firewall regeln zum LAN sehen kannst. IPsec und PPTP eröffnen dir aber vom Server einen GRE Tunnel (PPTP) oder einen ESP Tunnel (IPsec).
Der kommt nun am WAN Port an und wird dort geblockt, denn am WAN Port ist per default alles geblockt wie sich das gehört für eine FW. Deshalb musst du für GRE und ESP diese Ausnahme einrichten.
Der kommt nun am WAN Port an und wird dort geblockt, denn am WAN Port ist per default alles geblockt wie sich das gehört für eine FW. Deshalb musst du für GRE und ESP diese Ausnahme einrichten.
Es hat sich mittlerweile herausgestellt das eine VPN Gegenstelle (IPSEC) ein Problem hatte und bei meinen Kollegen, die PPTP nutzen scheint es so zu sein dass das Load Balancing das wir auch noch eingerichtet haben ein Problem macht. Anscheindend kann man sich nur jedes zweite oder dritte mal zur Gegenstelle verbinden. Also hab gedacht eine DSL Leitung hat ein Problem, ist aber nicht so, wenn ich mir eine DSL Leitung fest zuweise funktioniert PPTP ohne Probleme. Nur über Load Balancing geht es nicht immer.
Hab an der Firewall mal bisschen rumgespielt und rausgefunden das es vollkommen egal ist welche Freischaltungen ich mach, es funktioniert grundsätzlich ohne "TCP 1723, UDP 500..." nur nicht bei PPTP bzw. da nur jedes 2te oder 3te mal. Naja, ich könnte es mir jetzt leicht machen und den entsprechenden Clients einfach eine festen DSL Leitung zuweisen quasi ohne Load Balancing aber mich würde interessieren wo die Ursache ist. Die Firewall zeigt im Log keine blockierten Ports an.
Hat jemand eine Idee was da noch sein könnte?
mfg
Hab an der Firewall mal bisschen rumgespielt und rausgefunden das es vollkommen egal ist welche Freischaltungen ich mach, es funktioniert grundsätzlich ohne "TCP 1723, UDP 500..." nur nicht bei PPTP bzw. da nur jedes 2te oder 3te mal. Naja, ich könnte es mir jetzt leicht machen und den entsprechenden Clients einfach eine festen DSL Leitung zuweisen quasi ohne Load Balancing aber mich würde interessieren wo die Ursache ist. Die Firewall zeigt im Log keine blockierten Ports an.
Hat jemand eine Idee was da noch sein könnte?
mfg
IPsec oder GRE kann man nur Session basierend Load Balancen ! Darauf solltest du achten. Per Packet Round Robin ist nicht möglich !
Ok, hab mir schon sowas gedacht. IPSEC funktioniert anscheinend, es geht tatsächlich nur um PPTP. Hab jetzt schon versucht das ich nur die Protokolle und Ports für PPTP immer über eine DSL Leitung laufen lass und nur der "Rest" läuft übers Load Balancing. Leider bisher ohne Erfolg. Vielleicht weiss ja noch einer was... ansonsten muss ich es leider echt so machen das ich Reservierungen für die PC`s mach die das brauchen und diese über "feste" DSL Leitungen laufen lass, das wär aber nur die zweitbeste Möglichkeit
Oder gibts da vielleicht einen Trick um das ganze sessionbasierend zu machen?
Oder gibts da vielleicht einen Trick um das ganze sessionbasierend zu machen?
Ggf. solltest du die pfSense mal rebooten. GRE hat keine Portnummern sondern nur Session IDs. Wenn diese alten noch im Cache stehen (Um GRE Sessions über NAT zu bringen müssen die Session ID zu lokalen IP Adressen gecacht werden !) blockieren die ggf. den Timeout und es können keine weiteren GRE Session mehr passieren.
Zur Sicherheit also mal rebooten um den Cache sicher zu löschen und dann den Test wiederholen.
Zur Sicherheit also mal rebooten um den Cache sicher zu löschen und dann den Test wiederholen.
Ich hab heut den Test mal mit Reboot von pfSense gemacht, doch es ist das gleiche Problem. Hier meine Regeln am LAN Interface.
GRE 192.168.2.1 * * * W2 failed to W1
TCP 192.168.2.1 1723 (PPTP) * * W2 failed to W1
Was könnte das denn noch für ein Problem sein?
GRE 192.168.2.1 * * * W2 failed to W1
TCP 192.168.2.1 1723 (PPTP) * * W2 failed to W1
Was könnte das denn noch für ein Problem sein?
Ich hab jetzt rausgefunden wo der Fehler lag. Und zwar muss in der Firewall bei den Regeln der Port 1723 nicht die Quelle sein sondern das Ziel
dann funktionierts auch
dann funktionierts auch
