coachi81
Goto Top

VPN funktioniet nicht mehr

Hallo,

wir haben seit kurzem ein Problem mit VPN. Und zwar haben wir ein Netzwerk wo pfsense als Firewall und PPPOE Router eingerichtet ist.
Bisher konnte ich mich immer von einem internen Client auf eine entfernte Fritzbox verbinden (mit VPN Client von FAVM). Seit ein paar Tagen
bringt er mir "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden" obwohl die Gegenstelle erreichbar ist (Ping). Andere
Kollegen haben das gleiche Problem mit VPN Verbindungen (zu anderen Gegenstellen), und auch eine PPTP Verbindung baut nicht mehr auf.
Die Firewall ist "eigentlich" so eingestellt das sie alles durchlässt was von innen nach aussen geht, deswegen weiss ich mom. nicht mehr so
recht wo ich noch einhacken könnte. Ich hoff mir kann jemand helfen...

mfg

Content-ID: 166124

Url: https://administrator.de/contentid/166124

Ausgedruckt am: 24.11.2024 um 10:11 Uhr

aqui
aqui 12.05.2011 um 12:43:23 Uhr
Goto Top
Du hast einen Fehler beim Setup der pfSense Firewall gemacht. Von innen nach außen reicht nämlich nicht bei IPsec VPNs wie es die FB verwendet und auch nicht bei PPTP VPNs !!!
Du musst auf dem WAN Interface der pfSense die entsprechenden Ports für IPsec und PPTP auch explizit zulassen denn sonst blockt die Firewall diese denn du nutzt einen Firewall und keinen Router !

Schalte also am WAN
  • UDP 500
  • UDP 4500
  • GRE Protokoll
  • ESP Protokoll
Von any nach any frei und dann klappt das auf Anhieb ! Wenn du nur einmal ins Firewall Log der pfSense gesehen hättest dann hätte sich dieser Thread vermutlich erübrigt. Dort steht nämlich was die pfSense blockt und das sind im mindesten ESP und GRE so das der VPN Tunnel nicht aufgebaut wird !
Coachi81
Coachi81 12.05.2011 um 14:10:31 Uhr
Goto Top
ok das wusste ich nicht, hab gedacht damit ist alles frei, zumindest von innen nach aussen. Hab jetzt die Ports und Protokolle mal zusätzlich freigeschaltet aber leider bekommen wir immer noch den gleichen Fehler. Die Firewall Logs zeigen nichts an, obwohl das Häckchen in der Regel gesetzt ist das er mitlogen soll.
Irgendwo hab ich wohl noch einen Fehler, was könnte denn noch sein? Hab noch zusätzlich den TCP port 10000 freigeschalten aber das wars auch nicht
Coachi81
Coachi81 12.05.2011 um 19:21:12 Uhr
Goto Top
Ach ja, wie ist denn das gemeint das ich einen Firewall nutze und keinen Router? Die pfSense ist in meinem Fall beides denn die Einwahl ins Inet, Nat... macht sie ja auch. Dahinter ist nur noch ein reines DSL Modem zum Internet.

Wieso müssen denn die Ports und Protokolle am WAN freigeschalten werden und nicht am LAN? Ist glaub ich ne blöde Frage aber ich versteh grad nicht den Unterschied zu "normalen" Regeln die ja alle das LAN Interface betreffen
aqui
aqui 13.05.2011 um 09:49:26 Uhr
Goto Top
Der LAN Port ist ja offen wie du selber unschwer in den Firewall regeln zum LAN sehen kannst. IPsec und PPTP eröffnen dir aber vom Server einen GRE Tunnel (PPTP) oder einen ESP Tunnel (IPsec).
Der kommt nun am WAN Port an und wird dort geblockt, denn am WAN Port ist per default alles geblockt wie sich das gehört für eine FW. Deshalb musst du für GRE und ESP diese Ausnahme einrichten.
Coachi81
Coachi81 13.05.2011 um 10:55:51 Uhr
Goto Top
Es hat sich mittlerweile herausgestellt das eine VPN Gegenstelle (IPSEC) ein Problem hatte und bei meinen Kollegen, die PPTP nutzen scheint es so zu sein dass das Load Balancing das wir auch noch eingerichtet haben ein Problem macht. Anscheindend kann man sich nur jedes zweite oder dritte mal zur Gegenstelle verbinden. Also hab gedacht eine DSL Leitung hat ein Problem, ist aber nicht so, wenn ich mir eine DSL Leitung fest zuweise funktioniert PPTP ohne Probleme. Nur über Load Balancing geht es nicht immer.
Hab an der Firewall mal bisschen rumgespielt und rausgefunden das es vollkommen egal ist welche Freischaltungen ich mach, es funktioniert grundsätzlich ohne "TCP 1723, UDP 500..." nur nicht bei PPTP bzw. da nur jedes 2te oder 3te mal. Naja, ich könnte es mir jetzt leicht machen und den entsprechenden Clients einfach eine festen DSL Leitung zuweisen quasi ohne Load Balancing aber mich würde interessieren wo die Ursache ist. Die Firewall zeigt im Log keine blockierten Ports an.
Hat jemand eine Idee was da noch sein könnte?

mfg
aqui
aqui 13.05.2011 um 16:08:35 Uhr
Goto Top
IPsec oder GRE kann man nur Session basierend Load Balancen ! Darauf solltest du achten. Per Packet Round Robin ist nicht möglich !
Coachi81
Coachi81 13.05.2011 um 16:33:03 Uhr
Goto Top
Ok, hab mir schon sowas gedacht. IPSEC funktioniert anscheinend, es geht tatsächlich nur um PPTP. Hab jetzt schon versucht das ich nur die Protokolle und Ports für PPTP immer über eine DSL Leitung laufen lass und nur der "Rest" läuft übers Load Balancing. Leider bisher ohne Erfolg. Vielleicht weiss ja noch einer was... ansonsten muss ich es leider echt so machen das ich Reservierungen für die PC`s mach die das brauchen und diese über "feste" DSL Leitungen laufen lass, das wär aber nur die zweitbeste Möglichkeit

Oder gibts da vielleicht einen Trick um das ganze sessionbasierend zu machen?
aqui
aqui 13.05.2011 um 17:35:52 Uhr
Goto Top
Ggf. solltest du die pfSense mal rebooten. GRE hat keine Portnummern sondern nur Session IDs. Wenn diese alten noch im Cache stehen (Um GRE Sessions über NAT zu bringen müssen die Session ID zu lokalen IP Adressen gecacht werden !) blockieren die ggf. den Timeout und es können keine weiteren GRE Session mehr passieren.
Zur Sicherheit also mal rebooten um den Cache sicher zu löschen und dann den Test wiederholen.
Coachi81
Coachi81 16.05.2011 um 08:26:53 Uhr
Goto Top
Ich hab heut den Test mal mit Reboot von pfSense gemacht, doch es ist das gleiche Problem. Hier meine Regeln am LAN Interface.

GRE 192.168.2.1 * * * W2 failed to W1

TCP 192.168.2.1 1723 (PPTP) * * W2 failed to W1

Was könnte das denn noch für ein Problem sein?
Coachi81
Coachi81 20.05.2011 um 14:45:42 Uhr
Goto Top
Ich hab jetzt rausgefunden wo der Fehler lag. Und zwar muss in der Firewall bei den Regeln der Port 1723 nicht die Quelle sein sondern das Ziel
dann funktionierts auch