it-stefan
Goto Top

VPN Verbindung zwischen pfSense und Fritzbox mit IPsec

Hallo,

ich möchte von zuhause auf das Arbeitsnetz (Schule) mit der Firewall pfSense zugreifen.

Mein Wunsch: VPN Tunnel zuhause aufbauen und dann per Remotedesktop auf mein AdministrationsPC zugreifen.

HomePC: 192.168.178.57 (per DHCP) ---> VPN ---> AdminPC 10.1.11.11 (statisch)

Dazu habe ich als Grundlage folgendes Tutorial von Aqui genommen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Von Zuhause aus habe ich eine wechselnde externe und interne IP-Addresse und in der
Schule ist eine statische externe IP-Adresse die ich auch per Eingabeaufforderung anpingen kann.

Aus Sicherheitsgründen erfinde ich folgenden ähnlichen IP-Adressbereich der Schule:
131.60.180.224/27
131.60.180.225 ist der Cico Router der auch per Ping von zuhause erreichbar ist
131.60.180.239 ist die PFSENSE Firewall die nicht per Ping von Zuhause erreichbar ist.

Folgendes habe ich als Test in pfSense eingetragen:
fd810dc74aa9b825c40390e1396b139e
450bedb25daff9ba73909fd69f7694d5
63981cad5399f4a5663a82fc5a3141a3
0c70be9bdf238f08f746842184d101fc
974e45456162cd428e9f6d1e5f0fd48a

Wie muss ich die Fritzbox konfigurieren?
Es wird eine KEY-ID und Preshared Key verlangt, wo finde ich diese in pfSense?
6d653ae09052af280ffb1904e7a10c99

Fragen allgemein:
1) Ist IPsec für mein Problem die richtige VPN Methode?
2) Stimmt die Konfiguration von pfSense?
3) Wie kann ich jetzt die Fritzbox oder meinen PC dafür konfigurieren?
4) Wo liegt der Unterschied zu OpenVPN?
(habe ich auch probiert einzurichten, jedoch war mir da nicht klar weshalb ich dyndns.org benötige)

Ich freue mich auf eure hilfreichen Tipps und Hinweise.
___________________________________________________________
Update 1:
Danke für die bisherigen Hinweise und Tipps, leider habe ich es noch nicht ganz geschafft. Jedoch bin ich etwas weiter.

Grundsätzlich ist es für mich egal ob ich eine VPN Verbindung zwischen Fritzbox und pfsense habe oder PC und pfsense.
Da ich nur die Anleitung mit der Fritzbox habe versuche ich es hiermit...

Da ich wie jeder Homeuser eine sich ändernde externe IP habe,
habe ich mich bei anydns.info kostenlos angemeldet und folgende Daten
in meine Fritzbox eingepflegt:
594c3ab9db3f96df02af7cd9ca71c0ae
Dabei habe ich die bei anydns angelegten Benutzernamen und PW verwendet.
In der Fritzbox zeigt es nun an, dass ich erfolgreich angemeldet sei:
def33d595f11fdaf67e9c874f0cd6e26

Dann habe ich PFSense so wie in dieser Anleitung beschrieben eingestellt.
Über IPsec und das präzise Zusammenspiel zwischen Fritz Box und pfSense

Folgendes ist jetzt eingestellt:
d082e04314447f7f80c26f05eede9506
Phase1:
af91b91b7e1c5e0529c19851d1f24a61
63981cad5399f4a5663a82fc5a3141a3
Phase2:
329b5719d0b65abfbbe7d28d57cf8881
13ee2442867ecb0c33fb80ed69a11999

Ist diese Einstellung nun korrekt?

Jetzt müsste ich ja nur noch die Fritzbox konfigurieren, dafür habe ich die Configdatei der Anleitung bearbeitet und in die Fritzbox hochgeladen.
Leider kommt nie das grüne Lämpchen face-sad dass ich verbunden bin mit der PFSense ...
561061eabe23a4d784488af1fdbc0539

Ich vermute, dass der Haken noch bei meiner Zweirouterlösung liegt.
Zu der Frage, weshalb ich zwei Router in der Schule habe, liegt an dem Schul-Anschluss. Der Anschluss ist über den Anbieter Belwue.
Dieser hat einen komplett vorkonfigurierten Cisco Router, der folgendes Netz bereit hällt: 131.60.180.224/27
(Ich habe keinen Zugriff auf diesen und kann auch nicht einsehen, um welches Gerät es sich handelt)
Der Cisco Router selbst hat die IP: 131.60.180.225 und ist per Ping von zuhause zu erreichen.
131.60.180.228 ist die PFSENSE Firewall die nicht per Ping von Zuhause erreichbar ist.
Muss ich jetzt diese IP oder die IP der PFSense in die Config Datei einpflegen? Ich habe beides schon ohne Erfolg probiert ...
(Wenn sich jemand wundert, dass die PFSense plötzlich die IP131.60.180.228 und zuvor 239 hatte. Dies liegt daran, dass diese IP von Belwue freigeschalten wurde für einen internen Router ... VPN wird darüber aufjedenfall durchgelassen) (Ping geht jedoch auch nicht von zuhause... Meldung "Zielnetz nicht erreichbar")

Leider komme ich immer noch nicht zum Ziel.

Hoffentlich hat jemand von euch meinen Fehler gesehen und kann mir helfen face-smile .

_________________________________________________________________________
Update 2:
Wo sich meine PFSense nach dem Cisco Router befindet:
9e758ca49d86c7946354596cf97a31e4

Cisco Router: Kein Zugriff - Belwue hat aber alles was benötigt wird freigeschalten:
Port:
UDP 500 /4500
Protokol ESP (Nr. 50)

Protokoll was der Cisco durchlässt:
Die 131.60.180.228 ist die Firewall Internes Netz (Octogate)
und 131.60.180.239 (PFSense) (Siehe mein Übersichtsplan, weiter oben gepostet).

Access Liste von Belwue:
access-lists 102
Extended IP access list 102
10 permit ip 129.143.2.0 0.0.0.255 any (8 matches)
20 permit ip host 193.196.190.141 131.60.180.224 0.0.0.31
(226502 matches)
30 permit tcp any host 131.60.180.228 eq 1723 (4 matches)
40 permit gre any host 131.60.180.228
50 permit tcp any host 131.60.180.228 eq www (57 matches)
60 permit tcp any host 131.60.180.228 eq ftp (6 matches)
70 permit udp any host 131.60.180.228 eq 4290
80 permit udp any host 131.60.180.228 eq 4293
90 permit udp any host 131.60.180.228 eq domain (11 matches)
100 permit tcp any host 131.60.180.228 eq domain (1 match)
110 permit tcp any host 131.60.180.228 eq 123
120 permit udp any host 131.60.180.228 eq ntp (17 matches)
130 permit tcp any host 131.60.180.228 eq 443 (188 matches)
140 permit tcp any host 131.60.180.228 eq 902
150 permit tcp any host 131.60.180.228 eq 143 (1 match)
160 permit tcp any host 131.60.180.228 eq pop3 (22 matches)
170 permit tcp any host 131.60.180.228 eq 995
180 permit tcp any host 131.60.180.228 eq 465
190 permit tcp any host 131.60.180.228 eq 585
200 permit tcp any host 131.60.180.228 eq smtp (49 matches)
210 permit udp any host 131.60.180.228 eq 1194
220 permit tcp any host 131.60.180.228 eq 1863
230 permit tcp any host 131.60.180.228 eq 22 (73 matches)
240 permit tcp any host 131.60.180.228 range 3000 3010
250 permit udp any host 131.60.180.239 eq isakmp (11 matches)
260 permit udp any host 131.60.180.239 eq non500-isakmp (1
match)
270 permit esp any host 131.60.180.239

Von intern in die Welt ist (fast) alles offen:
access-lists 101
Extended IP access list 101
10 deny tcp any any range 135 139 (1352 matches)
20 deny udp any any range 135 netbios-ss (6800524 matches)
30 deny tcp any any eq 445 (3628 matches)
40 deny tcp any any range 4661 4662
50 permit ip 131.60.180.224 0.0.0.31 any (275767155 matches)

== Nach Aussagen von Forumsmitgliedern müsste diese Einstellung auch alles benötigte durchlassen.
Ich bin mir sicher, dass sie dabei recht haben face-smile

__________________________________________________
Update3:

Jetzt habe ich die alle Einstellungen bzgl. VPN gelöscht um mögliche falsche Konfigurationen auszuschließen.
Als Grundlage der Konfiguration habe ich versucht nach aquis Anleitung einzustellen (nur mit 3des).
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
- Ich habe nur unter der Rubrik vpn - ipsec die Phase 1 und 2 eingerichtet (PFSense 2.24)
- Zusätzlich unter der Firewall bei ipsec (alles Zulassen)
Keine Benutzer oder CAs!

Bezüglich der Verbindung habe ich versucht von meinem PC direkt eine VPN Verbindung zu der PFSense aufzubauen. Dafür habe ich mit Windowsbordmitteln (Version: Win10Pro) VPN Verbindung hinzugefügt:
Benutzername: meine Anydns.info (von Zuhause)
PW: Preshared Key den ich auch in der PFSENSE eingetragen habe.
1d6d5018aff7ddd1dc5e660c3fb2ee5f
Bei VPN Typ habe ich auch Auto probiert ...

Folgendes Log zeigt die PFSense (bei VPN Typ Auto)
fd3b1e9871ee77c7abfe2c109be9bf12
Vermutlich habe ich auf der Seite des PCs es fehlerhaft konfiguriert ...

Leider kommt noch kein Tunnel zustande. Vielleicht könnt Ihr mir mit der Logfile
oder der VPN Konfig des PCs noch Hilfestellung geben ...

Content-ID: 283369

Url: https://administrator.de/forum/vpn-verbindung-zwischen-pfsense-und-fritzbox-mit-ipsec-283369.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

Pjordorf
Pjordorf 19.09.2015 um 20:22:28 Uhr
Goto Top
Hallo,

Zitat von @IT-Stefan:
HomePC: 192.168.178.57 (per DHCP) ---> VPN ---> AdminPC 10.1.11.11 (statisch)
OK.

Von Zuhause aus habe ich eine wechselnde externe
Haben doch fast alle eine Dynamische IP mit Zwnagstrennung, oder. Dyndns und Co. helfen da.

und interne IP-Addresse
Wieso wechselt die Interne denn laufend, keine Reservierung in der Fritte? Aber egal, wenn du ein Standort - Standort LAN mittels IPsec aufmachst können all deine Rechner von zuhause zur Schule gehen face-smile

Aus Sicherheitsgründen erfinde ich folgenden ähnlichen IP-Adressbereich der Schule:
Gut erfunden.

131.60.180.224/27
OK, 30 nutzbare Hosts.

131.60.180.225 ist der Cico Router der auch per Ping von zuhause erreichbar ist
131.60.180.239 ist die PFSENSE Firewall
Warum zwei Router und wie sind die denn eingerichtet bzw. Konfiguriert? Welcher Router macht was
Wie nennt sich dein Cisco?
Auf welchen VPN Server soll denn per VPN (IPSec) Verbunden werden?

die nicht per Ping von Zuhause erreichbar ist.
Ist denn die PFSense auch konfiguriert auf Pings am WAN zu Antworten?
Welche genaue Meldung kommt denn bei dir wenn du versuchst der PFSense ein Ping zu entlocken? Aufgrund der Antwort kann schon erkannt werden ob dort ein Gerät dran hängt oder nicht.

Folgendes habe ich als Test in pfSense eingetragen:
http://www.networkmonkey.de/ipsec-vpn-zwischen-pfsense-20-und-avm-route ...
https://forum.pfsense.org/index.php?topic=5470.0
Site to Site VPN IPSec PfSense -- Fritzbox Tunnel down nach Disconnect oder Reboot
http://fun.kyco.de/2011/12/04/vpn-ipsec-tunnel-between-a-pfsense-2-0-ro ...
http://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_ ...

PFSense 2.2?
http://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_ ...

1) Ist IPsec für mein Problem die richtige VPN Methode?
Ja.

3) Wie kann ich jetzt die Fritzbox oder meinen PC dafür konfigurieren?
Willst du ein Standort - Standort VPN oder ein Client zu Standort VPN?

4) Wo liegt der Unterschied zu OpenVPN?
Andere Technik?

Gruß,
Peter
114757
114757 19.09.2015 um 22:05:40 Uhr
Goto Top
IT-Stefan
IT-Stefan 20.09.2015 um 17:00:30 Uhr
Goto Top
@Pjordorf: Danke für deine ausführlichen Hinweise.
DNS habe ich jetzt, Weshalb zwei Router ... siehe Unten in dem Update1 (Letzter großer Absatz), Intern zuhause ist vermutlich auch ein Reservierung in der Fritzbox voreingestellt wie du vermutet hast..., bzgl. Ping zur PFSense es kommt die Meldung "Zielnetz nicht erreichbar", Version: PFSense 2.2.4, Eigentlich würde mir ein Client Standort VPN genügen ... Bekomme ich aber leider auch nicht zum laufen ...

@114757: Danke für den Link zu der Anleitung.
Leider hat es nicht funktioniert. Im Update1 habe ich exakt beschrieben, was ich gemacht habe...


___________________________________________________________
Update 1:
Danke für die bisherigen Hinweise und Tipps, leider habe ich es noch nicht ganz geschafft. Jedoch bin ich etwas weiter.

Grundsätzlich ist es für mich egal ob ich eine VPN Verbindung zwischen Fritzbox und pfsense habe oder PC und pfsense.
Da ich nur die Anleitung mit der Fritzbox habe versuche ich es hiermit...

Da ich wie jeder Homeuser eine sich ändernde externe IP habe,
habe ich mich bei anydns.info kostenlos angemeldet und folgende Daten
in meine Fritzbox eingepflegt:
594c3ab9db3f96df02af7cd9ca71c0ae
Dabei habe ich die bei anydns angelegten Benutzernamen und PW verwendet.
In der Fritzbox zeigt es nun an, dass ich erfolgreich angemeldet sei:
def33d595f11fdaf67e9c874f0cd6e26

Dann habe ich PFSense so wie in dieser Anleitung beschrieben eingestellt.
Über IPsec und das präzise Zusammenspiel zwischen Fritz Box und pfSense

Folgendes ist jetzt eingestellt:
d082e04314447f7f80c26f05eede9506
Phase1:
af91b91b7e1c5e0529c19851d1f24a61
63981cad5399f4a5663a82fc5a3141a3
Phase2:
329b5719d0b65abfbbe7d28d57cf8881
13ee2442867ecb0c33fb80ed69a11999

Ist diese Einstellung nun korrekt?

Jetzt müsste ich ja nur noch die Fritzbox konfigurieren, dafür habe ich die Configdatei der Anleitung bearbeitet und in die Fritzbox hochgeladen.
Leider kommt nie das grüne Lämpchen face-sad dass ich verbunden bin mit der PFSense ...
561061eabe23a4d784488af1fdbc0539

Ich vermute, dass der Haken noch bei meiner Zweirouterlösung liegt.
Zu der Frage, weshalb ich zwei Router in der Schule habe, liegt an dem Schul-Anschluss. Der Anschluss ist über den Anbieter Belwue.
Dieser hat einen komplett vorkonfigurierten Cisco Router, der folgendes Netz bereit hällt: 131.60.180.224/27
(Ich habe keinen Zugriff auf diesen und kann auch nicht einsehen, um welches Gerät es sich handelt)
Der Cisco Router selbst hat die IP: 131.60.180.225 und ist per Ping von zuhause zu erreichen.
131.60.180.228 ist die PFSENSE Firewall die nicht per Ping von Zuhause erreichbar ist.
Muss ich jetzt diese IP oder die IP der PFSense in die Config Datei einpflegen? Ich habe beides schon ohne Erfolg probiert ...
(Wenn sich jemand wundert, dass die PFSense plötzlich die IP131.60.180.228 und zuvor 239 hatte. Dies liegt daran, dass diese IP von Belwue freigeschalten wurde für einen internen Router ... VPN wird darüber aufjedenfall durchgelassen) (Ping geht jedoch auch nicht von zuhause... Meldung "Zielnetz nicht erreichbar")

Leider komme ich immer noch nicht zum Ziel.

Hoffentlich hat jemand von euch meinen Fehler gesehen und kann mir helfen face-smile
Pjordorf
Pjordorf 20.09.2015 um 17:19:40 Uhr
Goto Top
Hallo,

Zitat von @IT-Stefan:
Ich vermute, dass der Haken noch bei meiner Zweirouterlösung liegt.
Male mal ein Bild wie diese 2 Router (Cisco und PFSense) denn überhaupt verschaltet sind. Kann dir jemand die Bezeichnung vom CISCO ablesen?

Zu der Frage, weshalb ich zwei Router in der Schule habe, liegt an dem Schul-Anschluss.
OK.

komplett vorkonfigurierten Cisco Router, der folgendes Netz bereit hällt: 131.60.180.224/27
Das sind 30 IP Adressen für Hosts, also Geräte welche eine Öffentliche IP bekommen können, nicht müssen.

(Ich habe keinen Zugriff auf diesen
OK. Dann ist es umso wichtiger zu sehen wo dieser in dein Netz eingefügt ist.

nicht einsehen, um welches Gerät es sich handelt)
Aber vielleicht kann jemand auf das gerät draufschauen (oder drunter) und abschreiben was dort an Bezeichnungen stehen....

Der Cisco Router selbst hat die IP: 131.60.180.225 und ist per Ping von zuhause zu erreichen.
OK

131.60.180.228 ist die PFSENSE Firewall die nicht per Ping von Zuhause erreichbar ist.
Auch das ist ein Öffentliche IP. Wie ist deine PFSense eingestellt um auf WAN PINGs zu reagieren?

**Muss ich jetzt diese IP oder die IP der PFSense in die Config Datei einpflegen?
Die welches dein VPN Server darstellt.

"Zielnetz nicht erreichbar"
Die Antwort "Zielnetz nicht erreichbar" bedeutet, dass keine Route zum Ziel vorhanden ist. Siehe https://technet.microsoft.com/de-de/library/cc732509(v=ws.10).aspx

Gruß,
Peter
IT-Stefan
IT-Stefan 20.09.2015 um 19:06:16 Uhr
Goto Top
Bzgl. Cisco Router: Es müsste der Cisco 886 sein (auf einem Serverschrankbild abgelesen, muss es aber morgen überprüfen ob das noch so ist).

Konfiguration habe ich versucht zu malen ...

9e758ca49d86c7946354596cf97a31e4
114757
114757 20.09.2015 aktualisiert um 20:46:48 Uhr
Goto Top
Dann stelle sicher das der Cisco folgende Ports und Protokolle nicht blockt, ebenso wie die Pfsense an Ihrem WAN-Port:
  • UDP 500 /4500
  • Protokol ESP (Nr. 50)


Wenn du keinen Zugriff auf den Cisco hast, lass es die von Provider bestätigen.
Notfalls einfach mit Wireshark oder der PFSense selber mit einem PacketDump überprüfen, ob überhaupt Pakete am WAN eintreffen.

Gruß jodel32
IT-Stefan
IT-Stefan 21.09.2015 um 23:12:19 Uhr
Goto Top
So habe heute mir von Belwue Ports und Protokolle freischalten lassen.
Es handelt sich wie oben beschrieben um ein Cisco 886.

Es ist jetzt möglich per Ping PFsense von zuhause zu erreichen.

Leider komme ich so immer noch nicht weiter face-sad
Pjordorf
Pjordorf 21.09.2015, aktualisiert am 22.09.2015 um 00:02:43 Uhr
Goto Top
Hallo,

Zitat von @IT-Stefan:
So habe heute mir von Belwue Ports und Protokolle freischalten lassen.
Welche Ports genau (TCP/UDP) und welche Protokolle werden denn wohin geleitet? Du hast doch deine PFSense direkt an einer Öffentliche IP, eine aus deinen 30 Hosts. Was genau macht die 886 bei dir wenn du am WAN dort ein /27 Netz anliegen hast? Spielt das ding nur Modem und sonst nichts?

Es handelt sich wie oben beschrieben um ein Cisco 886.
Ja, aber wie ist dessen Konfiguration bzw. was ist dort eingerichtet? Macht der NAT und deine PFSense ebenfalls?

Leider komme ich so immer noch nicht weiter face-sad
"Leider" ist auch keine Fehlerbeschreibung mit dem irgend jemand etwas mit anfangen kann..... Mal am WAN geschaut was dort überhaupt ankommt?
https://www.belwue.de/ hat doch auch Ansprechpartner und dessen Netz ist doch gar nicht so komplex face-smile http://www.belwue.de/topology/

Gruß,
Peter
114757
114757 22.09.2015 aktualisiert um 10:13:14 Uhr
Goto Top
Es ist jetzt möglich per Ping PFsense von zuhause zu erreichen.
ICMP ebenfalls freigeschaltet ?
PFSense blockt auch kein ICMP ?
Lass dir von Belwue doch einfach mal die CIsco-Config des Routers geben ...

Man häng dich doch einfach mit Wireshark vor die Büchse oder checke die Firewall-Logs der PFSense dann weist du was Sache ist und musst nicht hin und her raten !!!
IT-Stefan
IT-Stefan 22.09.2015 um 19:20:08 Uhr
Goto Top
Hallo,
soweit ich es verstehe ist das Cisco 886 ein Modem mit Firewallfunktionalität
z.B. ist in dem /27er Netz Pings standardmäßig von außen geblockt etc.

Die Ports und Protokolle habe ich wie jodel32 geschrieben hat freischalten lassen
UDP 500 /4500
Protokol ESP (Nr. 50)

Es muss sich um ein großes internes Netz bei Belwue handeln
was ich aus tracert vermute bei 15hops... @Pjordorf dein Link zur Belwuetopology bestätigt das für mich face-smile ...
Tracert von zuhause zur PFSENSE:
1b812a6c8aeb65cc165c0d4f985fa2b2

Wie kann ich schauen, was am WAN ankommt?
Welche Infos werden weiter benötigt, damit ihr mir weiterhelfen könnt?

@114757: Hier ein Auszug aus meiner PFSENSE Firewall...
8dad925e8643557ae67b288a09662e1d

Schicke jetzt gleich noch eine Mail an belwue um mir die Routerconfig zukommen zu lassen...

Gruß
Stefan
the-buccaneer
the-buccaneer 23.09.2015 um 03:20:40 Uhr
Goto Top
ich klink mich auch nochmal ein...

du willst eine clientverbindung zu deiner pfsense. kein site2site um 2 schulen zu verbinden... lass die fb da raus, das ist natürlich möglich, aber egal und hier nicht zielführend.

um dich von daheim in die pfsense einzuwählen beachte bitte das bereits verlinkte tutorial von aqui. "clientverbindung mit shrew"

vorausgesetzt, die ports werden nun entsprechend weitergeleitet, bzw. deine pfsense hängt "offen" im netz (wofür sie gebaut ist)

gönn dir etwas zeit, das auszubaldowern, dein setting ist schon etwas anspruchsvoller. teste es evtl.erstmal einfacher mit einer pfsense statt oder hinter deiner fritzbox und einem externen testclient um es zu probieren und hinter dieses ipsecgedöns zu kommen. das ist kein hexenwerk, aber man muss die basics verstehen und getestet haben, um das halbwegs souverän einzurichten...

wenn du hier direkt weitermachen willst: richte doch mal die pfsense für mobile clients ein und den shrew entsprechend. checke die settings zum hundertstenmal. dann poste deine fehlermeldungen. face-wink

btw: dein netz 10.1.11.0 sehe ich nicht an der pfsense. hier musst du natürlich noch eine route definieren, oder es ist ein tippfehler?
lg
buc

wenn du die pfsense mit der externen ip pingen kannst, hast du den halben weg geschafft. face-wink

lg
buc
IT-Stefan
IT-Stefan 24.09.2015 um 17:20:06 Uhr
Goto Top
Hallo,

bevor ich jetzt wieder zwei Stunden probiere und nichts dabei herauskomm, erstmal meine Access Liste von Belwue:
Die 131.60.180.228 ist die Firewall Internes Netz (Octogate) und 131.60.180.239 (PFSense) (Siehe mein Übersichtsplan, weiter oben gepostet).

access-lists 102
Extended IP access list 102
10 permit ip 129.143.2.0 0.0.0.255 any (8 matches)
20 permit ip host 193.196.190.141 131.60.180.224 0.0.0.31
(226502 matches)
30 permit tcp any host 131.60.180.228 eq 1723 (4 matches)
40 permit gre any host 131.60.180.228
50 permit tcp any host 131.60.180.228 eq www (57 matches)
60 permit tcp any host 131.60.180.228 eq ftp (6 matches)
70 permit udp any host 131.60.180.228 eq 4290
80 permit udp any host 131.60.180.228 eq 4293
90 permit udp any host 131.60.180.228 eq domain (11 matches)
100 permit tcp any host 131.60.180.228 eq domain (1 match)
110 permit tcp any host 131.60.180.228 eq 123
120 permit udp any host 131.60.180.228 eq ntp (17 matches)
130 permit tcp any host 131.60.180.228 eq 443 (188 matches)
140 permit tcp any host 131.60.180.228 eq 902
150 permit tcp any host 131.60.180.228 eq 143 (1 match)
160 permit tcp any host 131.60.180.228 eq pop3 (22 matches)
170 permit tcp any host 131.60.180.228 eq 995
180 permit tcp any host 131.60.180.228 eq 465
190 permit tcp any host 131.60.180.228 eq 585
200 permit tcp any host 131.60.180.228 eq smtp (49 matches)
210 permit udp any host 131.60.180.228 eq 1194
220 permit tcp any host 131.60.180.228 eq 1863
230 permit tcp any host 131.60.180.228 eq 22 (73 matches)
240 permit tcp any host 131.60.180.228 range 3000 3010
250 permit udp any host 131.60.180.239 eq isakmp (11 matches)
260 permit udp any host 131.60.180.239 eq non500-isakmp (1
match)
270 permit esp any host 131.60.180.239

Von intern in die Welt ist (fast) alles offen:
access-lists 101
Extended IP access list 101
10 deny tcp any any range 135 139 (1352 matches)
20 deny udp any any range 135 netbios-ss (6800524 matches)
30 deny tcp any any eq 445 (3628 matches)
40 deny tcp any any range 4661 4662
50 permit ip 131.60.180.224 0.0.0.31 any (275767155 matches)

Ist es mit dieser Konfiguration überhaupt möglich per VPN zu verbinden über die 131.60.180.239 ?
Wenn ja, dann kann ich es erneut ausprobieren face-smile

@the-buccaneer: Auch dir vielen Dank für deine Hilfestellung.
Vermutlich hast du recht, dass ich einfach eine VPN Verbindung vom PC zur PFSense benötige.
Bzgl. des Netzes meinte ich das Netz 10.1.1.0/16

Gruß
Stefan
the-buccaneer
the-buccaneer 25.09.2015 um 02:05:52 Uhr
Goto Top
was bedeutet "eq non500-isakmp"? port 500 brauchst du. warum "non"?
ich kenne die octogate nicht, aber das "non" stösst mir auf...
du brauchst port 4500 udp, port 500 udp und das esp protokoll. alles im tutorial beschrieben. das alles weiterleiten auf die 131.60.180.239. dann auf dem ipsec interface der pfsense eine regel erstellen die testweise (!) alles erlaubt.

den shrew einrichten, wie im tutorial und im web beschrieben.

wenn die "non" regel besagt, dass die pakete erlaubt sind, ist mit den einstellungen alles gut.

ansonsten: "hau rein" das wird schon. 2h wirst du aber locker noch investieren müssen, auch in aquis zeitrechnung...
lg
buc
114757
114757 25.09.2015 aktualisiert um 09:05:19 Uhr
Goto Top
Zitat von @the-buccaneer:

was bedeutet "eq non500-isakmp"? port 500 brauchst du. warum "non"?
Die Regel besagt permit das non500-isakmp ist ein Alias für Port 4500 für NAT-Traversal ...

wenn die "non" regel besagt,
Ist keine non-Regel , siehe oben.

Die Firewall sollte also jetzt nicht mehr im Weg stehen ...kümmere ich also um die PFSense wie die Kollegen schon schreiben.
IT-Stefan
IT-Stefan 30.09.2015 um 19:35:26 Uhr
Goto Top
Jetzt habe ich die alle Einstellungen bzgl. VPN gelöscht um mögliche falsche Konfigurationen auszuschließen.
Als Grundlage der Konfiguration habe ich versucht nach aquis Anleitung einzustellen (nur mit 3des).
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
- Ich habe nur unter der Rubrik vpn - ipsec die Phase 1 und 2 eingerichtet (PFSense 2.24)
- Zusätzlich unter der Firewall bei ipsec (alles Zulassen)
Keine Benutzer oder CAs!

Bezüglich der Verbindung habe ich versucht von meinem PC direkt eine VPN Verbindung zu der PFSense aufzubauen. Dafür habe ich mit Windowsbordmitteln (Version: Win10Pro) VPN Verbindung hinzugefügt:
Benutzername: meine Anydns.info (von Zuhause)
PW: Preshared Key den ich auch in der PFSENSE eingetragen habe.
1d6d5018aff7ddd1dc5e660c3fb2ee5f
Bei VPN Typ habe ich auch Auto probiert ...

Folgendes Log zeigt die PFSense (bei VPN Typ Auto)
fd3b1e9871ee77c7abfe2c109be9bf12
Vermutlich habe ich auf der Seite des PCs es fehlerhaft konfiguriert ...

Leider kommt noch kein Tunnel zustande. Vielleicht könnt Ihr mir mit der Logfile
oder der VPN Konfig des PCs noch Hilfestellung geben ...
114757
114757 30.09.2015 aktualisiert um 19:53:46 Uhr
Goto Top
Moin,
erstens ist die obige Anleitung nur für ein "reines" IPSec und kein L2TP-IPSec Tunnel. Du musst also in dem Fall ein L2TP-IPSec VPN auf der PFSense konfigurieren weil Windows kein "pures" IPSec (nach IKEv1) machen kann sondern bei reinem IPSec nur nach IKEv2 arbeitet ( das kann die PFSense inzwischen aber dank Strongswan auch https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2)

Gruß jodel32
the-buccaneer
the-buccaneer 05.10.2015 um 23:06:01 Uhr
Goto Top
danke jodel für deine definitorische klarstellung. non-500 ist also 4500. wieder was gelernt.

aber er muss doch gerade kein L2TP via IPSec mehr verwenden, da Windows und Pfsense nun beide IKEv2 beherrschen?

@IT-Stefan: Warum nimmst du nicht die gut dokumentierte Lösung für die Mobile Clients mit Shrew? Das sind viele Schalter, aber die beschriebenen machen das, was du willst.

Die Windows-Lösung geht seit PfSense 2.2x auch, ich habe sie noch nicht getestet, da ich noch auf der 2.1x hänge...

alles wird gut.
buc