VPN funktioniet nicht mehr
Hallo,
wir haben seit kurzem ein Problem mit VPN. Und zwar haben wir ein Netzwerk wo pfsense als Firewall und PPPOE Router eingerichtet ist.
Bisher konnte ich mich immer von einem internen Client auf eine entfernte Fritzbox verbinden (mit VPN Client von FAVM). Seit ein paar Tagen
bringt er mir "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden" obwohl die Gegenstelle erreichbar ist (Ping). Andere
Kollegen haben das gleiche Problem mit VPN Verbindungen (zu anderen Gegenstellen), und auch eine PPTP Verbindung baut nicht mehr auf.
Die Firewall ist "eigentlich" so eingestellt das sie alles durchlässt was von innen nach aussen geht, deswegen weiss ich mom. nicht mehr so
recht wo ich noch einhacken könnte. Ich hoff mir kann jemand helfen...
mfg
wir haben seit kurzem ein Problem mit VPN. Und zwar haben wir ein Netzwerk wo pfsense als Firewall und PPPOE Router eingerichtet ist.
Bisher konnte ich mich immer von einem internen Client auf eine entfernte Fritzbox verbinden (mit VPN Client von FAVM). Seit ein paar Tagen
bringt er mir "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden" obwohl die Gegenstelle erreichbar ist (Ping). Andere
Kollegen haben das gleiche Problem mit VPN Verbindungen (zu anderen Gegenstellen), und auch eine PPTP Verbindung baut nicht mehr auf.
Die Firewall ist "eigentlich" so eingestellt das sie alles durchlässt was von innen nach aussen geht, deswegen weiss ich mom. nicht mehr so
recht wo ich noch einhacken könnte. Ich hoff mir kann jemand helfen...
mfg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 166124
Url: https://administrator.de/contentid/166124
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
10 Kommentare
Neuester Kommentar
Du hast einen Fehler beim Setup der pfSense Firewall gemacht. Von innen nach außen reicht nämlich nicht bei IPsec VPNs wie es die FB verwendet und auch nicht bei PPTP VPNs !!!
Du musst auf dem WAN Interface der pfSense die entsprechenden Ports für IPsec und PPTP auch explizit zulassen denn sonst blockt die Firewall diese denn du nutzt einen Firewall und keinen Router !
Schalte also am WAN
Du musst auf dem WAN Interface der pfSense die entsprechenden Ports für IPsec und PPTP auch explizit zulassen denn sonst blockt die Firewall diese denn du nutzt einen Firewall und keinen Router !
Schalte also am WAN
- UDP 500
- UDP 4500
- GRE Protokoll
- ESP Protokoll
Der LAN Port ist ja offen wie du selber unschwer in den Firewall regeln zum LAN sehen kannst. IPsec und PPTP eröffnen dir aber vom Server einen GRE Tunnel (PPTP) oder einen ESP Tunnel (IPsec).
Der kommt nun am WAN Port an und wird dort geblockt, denn am WAN Port ist per default alles geblockt wie sich das gehört für eine FW. Deshalb musst du für GRE und ESP diese Ausnahme einrichten.
Der kommt nun am WAN Port an und wird dort geblockt, denn am WAN Port ist per default alles geblockt wie sich das gehört für eine FW. Deshalb musst du für GRE und ESP diese Ausnahme einrichten.
Ggf. solltest du die pfSense mal rebooten. GRE hat keine Portnummern sondern nur Session IDs. Wenn diese alten noch im Cache stehen (Um GRE Sessions über NAT zu bringen müssen die Session ID zu lokalen IP Adressen gecacht werden !) blockieren die ggf. den Timeout und es können keine weiteren GRE Session mehr passieren.
Zur Sicherheit also mal rebooten um den Cache sicher zu löschen und dann den Test wiederholen.
Zur Sicherheit also mal rebooten um den Cache sicher zu löschen und dann den Test wiederholen.