VPN-Verbindung auf Loxone Webinterface hinter Fritzbox-pfSense Kaskade

Mitglied: snah0815

snah0815 (Level 1) - Jetzt verbinden

09.01.2021 um 12:06 Uhr, 671 Aufrufe, 21 Kommentare

Hallo Zusammen,

ich möchte gerne von meinem Android Handy von unterwegs auf die Visualisierung meiner Loxone Steuerung zugreifen können (Handy App, nutzt default Port80).
Die Loxone Steuerung befindet sich in einem privaten Netzwerk hinter Kaskade aus Fritzbox 7590 und pfSense Firewall.
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?

Geh ich da prinzipiell so vor wie in der Anleitung von aqui "IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten" beschrieben, nur mit IKEv1 (Fritzbox kann nur dies) und dann wie ganz unten beschrieben der Portfreigabe oder wäre auch die bei AVM beschriebene MyFRITZ!App und eine Site-to-Site Verbindung (hab ich bei youtube ein Video dazu gesehen) zwischen Fritzbox und pfSense eine gute Möglichkeit.

Vielleicht hat jemand einen Tipp wie ich sicher und schnell zum Ziel komme.

Vielen Dank und Gruß
Hans
Mitglied: aqui
09.01.2021 um 12:33 Uhr
Du kannst alternativ auch L2TP nehmen das ist etwas einfacher zu konfigurieren ohne Zertifikate:
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...

Das Port Forwarding auf der davor kaskadierten FritzBox ist hier im Detail erklärt:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...

Wenn du danach vorgehst kommt das sofort zum Fliegen.
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 13:01 Uhr
Hallo,

danke für die Info, dann versuche ich es evtl. mal so.
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen (hat bisher noch nicht geklappt).

Gruß Hans
Bitte warten ..
Mitglied: aqui
09.01.2021, aktualisiert um 13:10 Uhr
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Die Frage ist jetzt irgenwie verwirrend ?? Was meinst du genau damit ? Du willst doch das VPN auf der pfSense terminieren ?? Oder willst du es auf der FritzBox terminieren ??
Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen
Das ist doch kein Problem. Das kommt weil es ein selbst signiertes Zertifikat ist. Du hast das Default US Zertifikat ja hoffentlich durch ein eigens mit eigener CA ersetzt ?!
Bei eigenen Zertifikaten fragen die Browser zur Sicherheit dann immer lieber nach. Aber wenn du dein eigenes Zertifikat im Browser logischerweise als vertrauenswürdig abnickst fragt er nicht mehr nach und dein "Problem" ist keins mehr und final gelöst. Einfacher gehts doch nicht, oder ? ;-) face-wink
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 13:21 Uhr
Zitat von aqui:

Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Die Frage ist jetzt irgenwie verwirrend ?? Was meinst du genau damit ? Du willst doch das VPN auf der pfSense terminieren ?? Oder willst du es auf der FritzBox terminieren ??
Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??

Schon auf der pfSense. Dann hab ich das in dem Video von Raspberry Pi Cloud bezüglich Site-to-Site Verbindung falsch verstanden.
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 13:25 Uhr
Zitat von aqui:


Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen
Das ist doch kein Problem. Das kommt weil es ein selbst signiertes Zertifikat ist. Du hast das Default US Zertifikat ja hoffentlich durch ein eigens mit eigener CA ersetzt ?!
Bei eigenen Zertifikaten fragen die Browser zur Sicherheit dann immer lieber nach. Aber wenn du dein eigenes Zertifikat im Browser logischerweise als vertrauenswürdig abnickst fragt er nicht mehr nach und dein "Problem" ist keins mehr und final gelöst. Einfacher gehts doch nicht, oder ? ;-) face-wink

Doch hab ich mittlerweile schon gemacht ;-) face-wink
Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Bekomme immer folgende Meldung (IP ist geschwärzt):
meldung - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
09.01.2021 um 13:29 Uhr
Schon auf der pfSense. Dann hab ich das in dem Video von Raspberry Pi Cloud bezüglich Site-to-Site Verbindung falsch verstanden.
Ja, das musst du dann wohl falsch verstanden haben !
Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Musst du auch gar nicht. Es reicht wenn du im Browser diese Verbindung (Zertifikat) als vertrauenswürdig global abnickst dann fragt der Browser auch nicht mehr nach. ;-) face-wink
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 13:46 Uhr
Zitat von aqui:

Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Musst du auch gar nicht. Es reicht wenn du im Browser diese Verbindung (Zertifikat) als vertrauenswürdig global abnickst dann fragt der Browser auch nicht mehr nach. ;-) face-wink

Und wo geht das, steh auf dem Schlauch?
Muss ich vorher alte Zertifikate löschen?
Bitte warten ..
Mitglied: altmetaller
09.01.2021, aktualisiert um 14:27 Uhr
Hallo,

Zitat von snah0815:

Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?

VPNs verbinden Netze - keine Anwendungen.

Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.

Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.

Gruß,
Jörg
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 15:01 Uhr

So jetzt hab ich es endgültig zerstört 🙈
Hab in der Zwischenzeit wie in deiner Anleitung beschrieben ein neues Zertifikat für das IKEv2 erstellt und nun kommt folgendes.
Was ist denn da jetzt schon wieder los?
Beim Übernehmen von Zertifikat in den allgemeinen Einstellungen bin ich rausgefallen und jetzt komme ich nicht mehr drauf.
2021-01-09 14_58_31-window - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 15:04 Uhr
Zitat von altmetaller:

Hallo,

Zitat von snah0815:

Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?

VPNs verbinden Netze - keine Anwendungen.

Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.

Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.

Gruß,
Jörg

Hallo Jörg,

die Router Kaskade kommt eigentlich davon, da ich mir nicht so wirklich sicher war ob das mit der pfSense was wird und so hab ich zumindest den Basisschutz hab ich mir gedacht. Außerdem habe ich diese vom Provider bekomme und was mich vor allem dazu bewegt diese drinnen zu lassen ist, dass ich diese als Telefonanlage nutze und auch eine Rückfallebene habe wenn die Festplatt der pfSense mal den Geist aufgibt.

Gruß Hans
Bitte warten ..
Mitglied: altmetaller
09.01.2021 um 15:11 Uhr
Hallo,

ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.

Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
  • Falls nein, würde ich die pfSense als "Exposed Host" in der FRITZ!Box angeben
  • Falls ja, würde ich in der FRITZ!Box nur die Ports für das entsprechende VPN-Protokoll an die pfSense weiterleiten

Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^

Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.

Gruß,
Jörg
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 15:21 Uhr
Zitat von altmetaller:

Hallo,

ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.

Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
  • Falls nein, würde ich die pfSense als "Exposed Host" in der FRITZ!Box angeben
  • Falls ja, würde ich in der FRITZ!Box nur die Ports für das entsprechende VPN-Protokoll an die pfSense weiterleiten

Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^

Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.

Gruß,
Jörg

So ist es, hab alles hinter der pfSense.
Das mit dem "Exposed Host" bedeutet genau?
Ist der Schutz durch die Fritzbox dann aufgehoben und ich muss auch die Provider Daten und DNS an der pfSense eingeben oder wäre das wieder ein anderer Modus?

Gruß Hans
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 16:29 Uhr
Kann mir mit der Fehlermeldung jemand helfen?
Bekomme keinen Zugriff mehr. Wahrscheinlich zu oft irgendwelche Zertifikate importiert um die Meldung wegzubekommen 🙈
Einzig mit dem Firefox bekomme ich es noch auf.

Gruß Hans
Bitte warten ..
Mitglied: altmetaller
09.01.2021 um 16:46 Uhr
Hallo,

das ist kein Fehler, sondern lediglich eine Warnung :-) face-smile

Firefox verwaltet die Stammzertifikate selber.

In dem Fall fehlt ihm die Stammzertifizierungsstelle, die das Zertifikat für die Webseite erstellt hat.

Gruß,
Jörg
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 16:46 Uhr
Die Warnung verhindert aber, dass ich auf die pfSense komme?
Bitte warten ..
Mitglied: aqui
09.01.2021, aktualisiert um 17:21 Uhr
Die Warnung verhindert aber, dass ich auf die pfSense komme?
Sorry, aber das ist doch Quatsch. Wenn du das Zertifikat als OK abnickst in der Vertrauensfrage gibt der Browser IMMER den Zugriff auf das GUI frei.
Zumindesten ist das so bei Firefox, Safari und Chrome. Lerne mal deinen Browser und dessen Bedienung besser kennen !!
ff - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 19:00 Uhr
Sorry, aber das ist leider kein Quatsch!
Ich nutze den Chrome beim Edge ist es übrigens das gleich.
Vorher konnte ich das zumindest immer absegnen, aber jetzt kommt aber wie gesagt diese Meldung und da gibt es nichts zum akzeptieren (zumindest sehe ich da nichts).
Was solls, dann muss ich wohl den Firefox dafür verwenden. Anfangs ging es allerdings einwandfrei mit dem Chrome, auch ohne Zertifikatsmeldung.

Danke euch und ein schönes Wochenende.

Gruß Hans
Bitte warten ..
Mitglied: aqui
09.01.2021 um 19:14 Uhr
Das ist Unsinn...weisst du auch selber. In allen diesen Browsern kann man selbstsignierte Zertifikate mit einem simplen Mausklick abnicken. Aber egal...nimm den Firefox ist so oder so besser und sicherer da er keine Google Schnüffelei macht.
Bitte warten ..
Mitglied: snah0815
09.01.2021 um 19:24 Uhr
Zitat von aqui:

Das ist Unsinn...weisst du auch selber. In allen diesen Browsern kann man selbstsignierte Zertifikate mit einem simplen Mausklick abnicken. Aber egal...nimm den Firefox ist so oder so besser und sicherer da er keine Google Schnüffelei macht.

Konnte ich wirklich nicht!
Bin jetzt über den Firefox rein, hab Zertifikate gelöscht und nochmal eines neu erstellt und siehe das es geht.
Keine Ahnung warum, war wahrscheinlich irgendwo ein Fehler drinnen.
Eh egal, Hauptsache es geht 😉
Danke für die Hilfe und sorry, dass es so lange gedauert hat.

Jetzt brauch ich paar Tage zum durchschnaufen bis ich mir deine VPN-Anleitung genauer einziehe.

Schönes WE.

Gruß Hans
Bitte warten ..
Mitglied: aqui
10.01.2021 um 12:20 Uhr
Danke für die Hilfe und sorry, dass es so lange gedauert hat.
Immer gerne ! Die Hauptsache ist eben das es jetzt klappt wie es soll ! 😊
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 14 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 16 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Hardware
Cisco C9300 - zwei Kabel und nur 1 verbindet?
gelöst PeterGygerVor 1 TagFrageHardware14 Kommentare

Hallo Wir haben gestern ein paar C9300 im Lab aufgestellt. Spasseshalber haben wir mit 2 seriellen Kabeln über Win 10 / Putty uns mit ...