VPN-Verbindung auf Loxone Webinterface hinter Fritzbox-pfSense Kaskade
Hallo Zusammen,
ich möchte gerne von meinem Android Handy von unterwegs auf die Visualisierung meiner Loxone Steuerung zugreifen können (Handy App, nutzt default Port80).
Die Loxone Steuerung befindet sich in einem privaten Netzwerk hinter Kaskade aus Fritzbox 7590 und pfSense Firewall.
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Geh ich da prinzipiell so vor wie in der Anleitung von aqui "IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten" beschrieben, nur mit IKEv1 (Fritzbox kann nur dies) und dann wie ganz unten beschrieben der Portfreigabe oder wäre auch die bei AVM beschriebene MyFRITZ!App und eine Site-to-Site Verbindung (hab ich bei youtube ein Video dazu gesehen) zwischen Fritzbox und pfSense eine gute Möglichkeit.
Vielleicht hat jemand einen Tipp wie ich sicher und schnell zum Ziel komme.
Vielen Dank und Gruß
Hans
ich möchte gerne von meinem Android Handy von unterwegs auf die Visualisierung meiner Loxone Steuerung zugreifen können (Handy App, nutzt default Port80).
Die Loxone Steuerung befindet sich in einem privaten Netzwerk hinter Kaskade aus Fritzbox 7590 und pfSense Firewall.
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Geh ich da prinzipiell so vor wie in der Anleitung von aqui "IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten" beschrieben, nur mit IKEv1 (Fritzbox kann nur dies) und dann wie ganz unten beschrieben der Portfreigabe oder wäre auch die bei AVM beschriebene MyFRITZ!App und eine Site-to-Site Verbindung (hab ich bei youtube ein Video dazu gesehen) zwischen Fritzbox und pfSense eine gute Möglichkeit.
Vielleicht hat jemand einen Tipp wie ich sicher und schnell zum Ziel komme.
Vielen Dank und Gruß
Hans
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen21 Antworten
- LÖSUNG aqui schreibt am 09.01.2021 um 12:33:49 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 13:01:56 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 13:06:28 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 13:21:46 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 13:25:56 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 13:29:19 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 13:46:24 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 13:29:19 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 13:06:28 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 13:01:56 Uhr
- LÖSUNG altmetaller schreibt am 09.01.2021 um 14:27:13 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 14:39:23 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 15:01:40 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 15:04:37 Uhr
- LÖSUNG altmetaller schreibt am 09.01.2021 um 15:11:38 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 15:21:21 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 16:29:59 Uhr
- LÖSUNG altmetaller schreibt am 09.01.2021 um 16:46:02 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 16:46:59 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 17:18:18 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 19:00:45 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 19:14:44 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 19:24:31 Uhr
- LÖSUNG aqui schreibt am 10.01.2021 um 12:20:02 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 19:24:31 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 19:14:44 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 19:00:45 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 17:18:18 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 16:46:59 Uhr
- LÖSUNG altmetaller schreibt am 09.01.2021 um 16:46:02 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 16:29:59 Uhr
- LÖSUNG snah0815 schreibt am 09.01.2021 um 15:21:21 Uhr
- LÖSUNG altmetaller schreibt am 09.01.2021 um 15:11:38 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 14:39:23 Uhr
LÖSUNG 09.01.2021 um 12:33 Uhr
Du kannst alternativ auch L2TP nehmen das ist etwas einfacher zu konfigurieren ohne Zertifikate:
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
Das Port Forwarding auf der davor kaskadierten FritzBox ist hier im Detail erklärt:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Wenn du danach vorgehst kommt das sofort zum Fliegen.
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
Das Port Forwarding auf der davor kaskadierten FritzBox ist hier im Detail erklärt:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Wenn du danach vorgehst kommt das sofort zum Fliegen.
LÖSUNG 09.01.2021 um 13:01 Uhr
Hallo,
danke für die Info, dann versuche ich es evtl. mal so.
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen (hat bisher noch nicht geklappt).
Gruß Hans
danke für die Info, dann versuche ich es evtl. mal so.
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen (hat bisher noch nicht geklappt).
Gruß Hans
LÖSUNG 09.01.2021, aktualisiert um 13:10 Uhr
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Die Frage ist jetzt irgenwie verwirrend ?? Was meinst du genau damit ? Du willst doch das VPN auf der pfSense terminieren ?? Oder willst du es auf der FritzBox terminieren ??Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen
Das ist doch kein Problem. Das kommt weil es ein selbst signiertes Zertifikat ist. Du hast das Default US Zertifikat ja hoffentlich durch ein eigens mit eigener CA ersetzt ?!Bei eigenen Zertifikaten fragen die Browser zur Sicherheit dann immer lieber nach. Aber wenn du dein eigenes Zertifikat im Browser logischerweise als vertrauenswürdig abnickst fragt er nicht mehr nach und dein "Problem" ist keins mehr und final gelöst. Einfacher gehts doch nicht, oder ?
LÖSUNG 09.01.2021 um 13:21 Uhr
Zitat von aqui:
Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Die Frage ist jetzt irgenwie verwirrend ?? Was meinst du genau damit ? Du willst doch das VPN auf der pfSense terminieren ?? Oder willst du es auf der FritzBox terminieren ??Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??
Schon auf der pfSense. Dann hab ich das in dem Video von Raspberry Pi Cloud bezüglich Site-to-Site Verbindung falsch verstanden.
LÖSUNG 09.01.2021 um 13:25 Uhr
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen
Das ist doch kein Problem. Das kommt weil es ein selbst signiertes Zertifikat ist. Du hast das Default US Zertifikat ja hoffentlich durch ein eigens mit eigener CA ersetzt ?!Bei eigenen Zertifikaten fragen die Browser zur Sicherheit dann immer lieber nach. Aber wenn du dein eigenes Zertifikat im Browser logischerweise als vertrauenswürdig abnickst fragt er nicht mehr nach und dein "Problem" ist keins mehr und final gelöst. Einfacher gehts doch nicht, oder ?
Doch hab ich mittlerweile schon gemacht
Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Bekomme immer folgende Meldung (IP ist geschwärzt):
LÖSUNG 09.01.2021 um 13:29 Uhr
Schon auf der pfSense. Dann hab ich das in dem Video von Raspberry Pi Cloud bezüglich Site-to-Site Verbindung falsch verstanden.
Ja, das musst du dann wohl falsch verstanden haben !Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Musst du auch gar nicht. Es reicht wenn du im Browser diese Verbindung (Zertifikat) als vertrauenswürdig global abnickst dann fragt der Browser auch nicht mehr nach. LÖSUNG 09.01.2021 um 13:46 Uhr
Zitat von aqui:
Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Musst du auch gar nicht. Es reicht wenn du im Browser diese Verbindung (Zertifikat) als vertrauenswürdig global abnickst dann fragt der Browser auch nicht mehr nach. Und wo geht das, steh auf dem Schlauch?
Muss ich vorher alte Zertifikate löschen?
LÖSUNG 09.01.2021, aktualisiert um 14:27 Uhr
Hallo,
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
Zitat von snah0815:
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
LÖSUNG 09.01.2021 um 14:39 Uhr
LÖSUNG 09.01.2021 um 15:01 Uhr
Zitat von aqui:
https://support.mozilla.org/de/kb/sicherheitszertifikate-von-webseiten
https://support.mozilla.org/de/kb/fehlermeldung-sec_error_unknown_issuer
Und wo geht das, steh auf dem Schlauch?
https://wiki.natenom.de/sammelsurium/selbst-signierte-zertifikatehttps://support.mozilla.org/de/kb/sicherheitszertifikate-von-webseiten
https://support.mozilla.org/de/kb/fehlermeldung-sec_error_unknown_issuer
So jetzt hab ich es endgültig zerstört 🙈
Hab in der Zwischenzeit wie in deiner Anleitung beschrieben ein neues Zertifikat für das IKEv2 erstellt und nun kommt folgendes.
Was ist denn da jetzt schon wieder los?
Beim Übernehmen von Zertifikat in den allgemeinen Einstellungen bin ich rausgefallen und jetzt komme ich nicht mehr drauf.
LÖSUNG 09.01.2021 um 15:04 Uhr
Zitat von altmetaller:
Hallo,
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
Hallo,
Zitat von snah0815:
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
Hallo Jörg,
die Router Kaskade kommt eigentlich davon, da ich mir nicht so wirklich sicher war ob das mit der pfSense was wird und so hab ich zumindest den Basisschutz hab ich mir gedacht. Außerdem habe ich diese vom Provider bekomme und was mich vor allem dazu bewegt diese drinnen zu lassen ist, dass ich diese als Telefonanlage nutze und auch eine Rückfallebene habe wenn die Festplatt der pfSense mal den Geist aufgibt.
Gruß Hans
LÖSUNG 09.01.2021 um 15:11 Uhr
Hallo,
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
- Falls nein, würde ich die pfSense als "Exposed Host" in der FRITZ!Box angeben
- Falls ja, würde ich in der FRITZ!Box nur die Ports für das entsprechende VPN-Protokoll an die pfSense weiterleiten
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
LÖSUNG 09.01.2021 um 15:21 Uhr
Zitat von altmetaller:
Hallo,
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
Hallo,
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
- Falls nein, würde ich die pfSense als "Exposed Host" in der FRITZ!Box angeben
- Falls ja, würde ich in der FRITZ!Box nur die Ports für das entsprechende VPN-Protokoll an die pfSense weiterleiten
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
So ist es, hab alles hinter der pfSense.
Das mit dem "Exposed Host" bedeutet genau?
Ist der Schutz durch die Fritzbox dann aufgehoben und ich muss auch die Provider Daten und DNS an der pfSense eingeben oder wäre das wieder ein anderer Modus?
Gruß Hans
LÖSUNG 09.01.2021 um 16:29 Uhr
LÖSUNG 09.01.2021 um 16:46 Uhr
LÖSUNG 09.01.2021 um 16:46 Uhr
LÖSUNG 09.01.2021, aktualisiert um 17:21 Uhr
Die Warnung verhindert aber, dass ich auf die pfSense komme?
Sorry, aber das ist doch Quatsch. Wenn du das Zertifikat als OK abnickst in der Vertrauensfrage gibt der Browser IMMER den Zugriff auf das GUI frei.Zumindesten ist das so bei Firefox, Safari und Chrome. Lerne mal deinen Browser und dessen Bedienung besser kennen !!
LÖSUNG 09.01.2021 um 19:00 Uhr
Sorry, aber das ist leider kein Quatsch!
Ich nutze den Chrome beim Edge ist es übrigens das gleich.
Vorher konnte ich das zumindest immer absegnen, aber jetzt kommt aber wie gesagt diese Meldung und da gibt es nichts zum akzeptieren (zumindest sehe ich da nichts).
Was solls, dann muss ich wohl den Firefox dafür verwenden. Anfangs ging es allerdings einwandfrei mit dem Chrome, auch ohne Zertifikatsmeldung.
Danke euch und ein schönes Wochenende.
Gruß Hans
Ich nutze den Chrome beim Edge ist es übrigens das gleich.
Vorher konnte ich das zumindest immer absegnen, aber jetzt kommt aber wie gesagt diese Meldung und da gibt es nichts zum akzeptieren (zumindest sehe ich da nichts).
Was solls, dann muss ich wohl den Firefox dafür verwenden. Anfangs ging es allerdings einwandfrei mit dem Chrome, auch ohne Zertifikatsmeldung.
Danke euch und ein schönes Wochenende.
Gruß Hans
LÖSUNG 09.01.2021 um 19:14 Uhr
LÖSUNG 09.01.2021 um 19:24 Uhr
Zitat von aqui:
Das ist Unsinn...weisst du auch selber. In allen diesen Browsern kann man selbstsignierte Zertifikate mit einem simplen Mausklick abnicken. Aber egal...nimm den Firefox ist so oder so besser und sicherer da er keine Google Schnüffelei macht.
Das ist Unsinn...weisst du auch selber. In allen diesen Browsern kann man selbstsignierte Zertifikate mit einem simplen Mausklick abnicken. Aber egal...nimm den Firefox ist so oder so besser und sicherer da er keine Google Schnüffelei macht.
Konnte ich wirklich nicht!
Bin jetzt über den Firefox rein, hab Zertifikate gelöscht und nochmal eines neu erstellt und siehe das es geht.
Keine Ahnung warum, war wahrscheinlich irgendwo ein Fehler drinnen.
Eh egal, Hauptsache es geht 😉
Danke für die Hilfe und sorry, dass es so lange gedauert hat.
Jetzt brauch ich paar Tage zum durchschnaufen bis ich mir deine VPN-Anleitung genauer einziehe.
Schönes WE.
Gruß Hans
LÖSUNG 10.01.2021 um 12:20 Uhr
