11
VPN(IPSec) mit pfsense, externe IP Adressen sind nicht erreichbar
Liebe Community,
ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ist das Ganze als Routerkaskade, da sich der Zwangsrouter nicht in einen Bridgemode versetzen lässt. Ich habe es Dank der Beschreibung von aqui geschafft, einen VPN Remotezugang via IPSec zu konfigurieren (IOS). Der VPN Zugang funktioniert soweit, dass interne IP Adressen von aussen erreichbar sind. Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht. Aus dem Heimnetzwerk sind interne sowie externe IP Adressen erreichbar.
Wie kann ich dieses Verhalten ändern, damit sowohl interne als auch externe Adressen erreichbar werden.
Version der pfsense ist 2.3.4.
Ich freue mich auf eure Kommentare.
Viele Grüsse
Stephan
ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ist das Ganze als Routerkaskade, da sich der Zwangsrouter nicht in einen Bridgemode versetzen lässt. Ich habe es Dank der Beschreibung von aqui geschafft, einen VPN Remotezugang via IPSec zu konfigurieren (IOS). Der VPN Zugang funktioniert soweit, dass interne IP Adressen von aussen erreichbar sind. Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht. Aus dem Heimnetzwerk sind interne sowie externe IP Adressen erreichbar.
Wie kann ich dieses Verhalten ändern, damit sowohl interne als auch externe Adressen erreichbar werden.
Version der pfsense ist 2.3.4.
Ich freue mich auf eure Kommentare.
Viele Grüsse
Stephan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 356131
Url: https://administrator.de/forum/vpnipsec-mit-pfsense-externe-ip-adressen-sind-nicht-erreichbar-356131.html
Ausgedruckt am: 19.04.2025 um 07:04 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @ss140207:
ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ist das Ganze als Routerkaskade, da sich der Zwangsrouter nicht in einen Bridgemode versetzen lässt. Ich habe es Dank der Beschreibung von aqui geschafft, einen VPN Remotezugang via IPSec zu konfigurieren (IOS). Der VPN Zugang funktioniert soweit, dass interne IP Adressen von aussen erreichbar sind. Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht. Aus dem Heimnetzwerk sind interne sowie externe IP Adressen erreichbar.
ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ist das Ganze als Routerkaskade, da sich der Zwangsrouter nicht in einen Bridgemode versetzen lässt. Ich habe es Dank der Beschreibung von aqui geschafft, einen VPN Remotezugang via IPSec zu konfigurieren (IOS). Der VPN Zugang funktioniert soweit, dass interne IP Adressen von aussen erreichbar sind. Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht. Aus dem Heimnetzwerk sind interne sowie externe IP Adressen erreichbar.
IP-Adressen oder Domains? Wenn zweites, tippe ich auf einen fehlenden DNS, den das iPhone nicht anfragt.
Viele Grüsse
Stephan
Schönen Abend!Stephan
Tom
Zitat von @tomolpi:
IP-Adressen oder Domains? Wenn zweites, tippe ich auf einen fehlenden DNS, den das iPhone nicht anfragt.
IP-Adressen oder Domains? Wenn zweites, tippe ich auf einen fehlenden DNS, den das iPhone nicht anfragt.
Danke für die erste Idee, aber es sind weder Domains noch aufgelöste IP-Adressen erreichbar.
Viele Grüsse
Stephan
Moin,
hast du in der FW (pfSense) denn auch zugelassen, dass der VPN-Traffic ins heimische WAN ausbrechen darf?
Edit:
existiert auch eine statische Rückroute im Kabelmodem, welche das VPN-Netz zur pfSense sendet!?
Gruß
em-pie
hast du in der FW (pfSense) denn auch zugelassen, dass der VPN-Traffic ins heimische WAN ausbrechen darf?
Edit:
existiert auch eine statische Rückroute im Kabelmodem, welche das VPN-Netz zur pfSense sendet!?
Gruß
em-pie
Hallo,
ich habe in der FW für den VPN Traffic (Reiter IPSec) folgende Regel die meiner Meinung nach für alles was aus dem VPN kommt, nach aussen offen sein sollte:
Bezüglich der statischen Rückroute im Kabelmodem: Wie hätte eine solche Regel auszusehen? Die Einstellmöglichkeiten des Kabelmodems wurden leider vom Netzbetreiber sehr stark eingeschränkt. Alles in allem ist hier nur eine Portweiterleitung und IPSec und PPTP Durchleitung sowie Multicast und UPnP konfigurierbar.
Viele Grüsse
Stephan
ich habe in der FW für den VPN Traffic (Reiter IPSec) folgende Regel die meiner Meinung nach für alles was aus dem VPN kommt, nach aussen offen sein sollte:
Bezüglich der statischen Rückroute im Kabelmodem: Wie hätte eine solche Regel auszusehen? Die Einstellmöglichkeiten des Kabelmodems wurden leider vom Netzbetreiber sehr stark eingeschränkt. Alles in allem ist hier nur eine Portweiterleitung und IPSec und PPTP Durchleitung sowie Multicast und UPnP konfigurierbar.
Viele Grüsse
Stephan
Fein.
eine Any-to-Any Regel :/
Hoffentlich ist die nur zum Test aktiv..
Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Apps dafür gibt es hier: https://itunes.apple.com/us/app/inettools-ping-dns-traceroute-port-scan- ...
Dann mal sehen, wo der "Knabe" hängen bleibt...
Zu meinem obigen und der Rückroute: die macht auch nur Sinn, wenn die pfSense kein NAT aktiv hat...
Von welchem Hersteller und welches Modell ist denn dein Kabelmodem?
eine Any-to-Any Regel :/
Hoffentlich ist die nur zum Test aktiv..
Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Apps dafür gibt es hier: https://itunes.apple.com/us/app/inettools-ping-dns-traceroute-port-scan- ...
Dann mal sehen, wo der "Knabe" hängen bleibt...
Zu meinem obigen und der Rückroute: die macht auch nur Sinn, wenn die pfSense kein NAT aktiv hat...
Von welchem Hersteller und welches Modell ist denn dein Kabelmodem?
Die pfsense befindet sich hinter einem Kabelmodem.
Ist das wirklich ein reines Modem oder ist das ein Router ?? Die beiden Begriffe Modem und Router werden hier im Foirum leider immer und immer wieder irrtümlich verwechselt und durcheinenader gewürfelt 
Ein Modem ist ein reiner Medienwandler und am Paket Forwarding nicht beteiligt.
Eine Router mach IP Paket Handling und wird dann oft in einer doppelten NAT Kaskade betrieben !
Siehe auch Tutorial hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Aber da es ja klappt hast du das richtig gemacht.
Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht.
Das ist klar, denn der VPN Client macht einen vollständigen Gateway Redirect, also alles wird über den VPN Tunnel geschickt.Dann musst du natürlich auch entsprechende regeln einrichten das dein VPN IP Traffic auch nach draussen darf. Vermutlich fehlt das in deinem Regelewerk, denn das klappt fehlerlos.
Traceroute, die Firewall Logs usw. sind hier wieder wie immer deine Freunde. Siehe Kollege em-pie.
Dem ist so.
Technicolor TC7200.U gebranded und kastriert von UPC. Es sind nur noch minimale Einstellmöglichkeiten vorhanden.
Routerfunktion ist nicht abschaltbar. Aber die Routerkaskade funktioniert ja.
Ich habe die Regeln überarbeitet und siehe da, es funktionier für die Windows Rechner. Der gesamte Traffic wird über den Tunnel geleitet und sowohl Domains als auch IP Adressen sind erreichbar.
Die schlechte Nachricht ist von IOS Geräten aus sind nach wie vor nur Adressen im LAN erreichbar. Prinzipiell kann ich damit leben, aber irgendwie interessiert es mich doch warum das nicht geht.
Bis hier hin erst mal vielen Dank an tomolpi, em-pie und aqui für die Unterstützung. Falls jemand noch eine Idee zur IOS Problematik hat, würde ich mich freuen.
Schönen Abend
Stephan
Zitat von @em-pie:
Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Wenn die Verbindung über das VPN steht bricht Traceroute ab und meldet "Invalid host or IP address"Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Technicolor TC7200.U gebranded und kastriert von UPC. Es sind nur noch minimale Einstellmöglichkeiten vorhanden.
Routerfunktion ist nicht abschaltbar. Aber die Routerkaskade funktioniert ja.
Zitat von @aqui:
Dann musst du natürlich auch entsprechende regeln einrichten das dein VPN IP Traffic auch nach draussen darf. Vermutlich fehlt das in deinem Regelewerk, denn das klappt fehlerlos.
Traceroute, die Firewall Logs usw. sind hier wieder wie immer deine Freunde. Siehe Kollege em-pie.
Dann musst du natürlich auch entsprechende regeln einrichten das dein VPN IP Traffic auch nach draussen darf. Vermutlich fehlt das in deinem Regelewerk, denn das klappt fehlerlos.
Traceroute, die Firewall Logs usw. sind hier wieder wie immer deine Freunde. Siehe Kollege em-pie.
Ich habe die Regeln überarbeitet und siehe da, es funktionier für die Windows Rechner. Der gesamte Traffic wird über den Tunnel geleitet und sowohl Domains als auch IP Adressen sind erreichbar.
Die schlechte Nachricht ist von IOS Geräten aus sind nach wie vor nur Adressen im LAN erreichbar. Prinzipiell kann ich damit leben, aber irgendwie interessiert es mich doch warum das nicht geht.
Bis hier hin erst mal vielen Dank an tomolpi, em-pie und aqui für die Unterstützung. Falls jemand noch eine Idee zur IOS Problematik hat, würde ich mich freuen.
Schönen Abend
Stephan
aber irgendwie interessiert es mich doch warum das nicht geht.
Nimm mal einen Wireshark oder noch besser den pfSense interne Sniffer Tool unter Diagnostics --> Packet Capture und sieh dir mal den Traffic der IOS Geräte an der ins Internet geht oder gehen soll, ob der überhaupt dort ankommt und was mit ihm passiert !Das wäre eine große Hilfe um erstmal zu sehen WO diese Pakete landen bzw. welchen Weg sie nehmen.
Es sieht ein bischen so danach aus das die Windows Clients den Redirekt umsetzen, die IOS Clients aber nicht oder nicht richtig.
Ggf. müsste man zusätzlich dann nochmal eine Default Route (0.0.0.0/0) über das IPsec propagieren unter Network list (Provide a list of accessible networks to clients) und checken ob das damit gefixt ist.
Zitat von @ss140207:
Dann klappt ja nicht mals die Namensauflösung, auf den ersten Blick jedenfalls. Löse mal die IP von administrator.de woanders auf und versuch dann nochal ein Traceroute. Für gewöhnlich zeigt er dir dann jeden Router an, an dem die Netze gewechselt werden (i.d.R. jedenfalls)Zitat von @em-pie:
Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Wenn die Verbindung über das VPN steht bricht Traceroute ab und meldet "Invalid host or IP address"Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Technicolor TC7200.U gebranded und kastriert von UPC. Es sind nur noch minimale Einstellmöglichkeiten vorhanden.
Routerfunktion ist nicht abschaltbar. Aber die Routerkaskade funktioniert ja.
Ach, wie ich diese Dinger ha... nicht mag..Routerfunktion ist nicht abschaltbar. Aber die Routerkaskade funktioniert ja.
Die schlechte Nachricht ist von IOS Geräten aus sind nach wie vor nur Adressen im LAN erreichbar. Prinzipiell kann ich damit leben, aber irgendwie interessiert es mich doch warum das nicht geht.
Was ergibt hier denn ein Traceroute?Bis hier hin erst mal vielen Dank an tomolpi, em-pie und aqui für die Unterstützung.
Kein Ding...
Packet Capture hat gezeigt das kein Traffic über den IPSec Tunnel kommt, wenn eine Domain eingetragen wird.
Die Eintragung der LAN IP der PFSense unter "VPN->IPSec->Mobile Clients->Provide a DNS server list to clients" hat Abhilfe gebracht.
Warum bei Eingabe einer IP Adresse zwar Kommunikation im Tunnel stattfindet aber keine Daten im Browser ankommen verstehe ich noch immer nicht.
Die Eintragung der LAN IP der PFSense unter "VPN->IPSec->Mobile Clients->Provide a DNS server list to clients" hat Abhilfe gebracht.
Warum bei Eingabe einer IP Adresse zwar Kommunikation im Tunnel stattfindet aber keine Daten im Browser ankommen verstehe ich noch immer nicht.
Was heisst das jetzt genau ?? Klappt es nun mit den iOS Clients nachdem du einen DNS Server angegeben hast ??
Würde auch Sinn machen, denn wenn ein Redirect stattfindet als DNS aber noch ein DNS eines anderen Providers aktiv ist und der nicht erreicht werden kann scheitert die Namensauflösung. Das hätte aber ein Ping auf eine "nackte" Internet Adresse wie z.B. 8.8.8.8 dann gezeigt, denn das hätte in jedem Falle auch ohne DNS geklappt !
Mit einen kostenlosen iOS IP Tool aus dem App Store wie: https://itunes.apple.com/de/app/he-net-network-tools/id858241710?mt=8 geht das problemlos.
Würde auch Sinn machen, denn wenn ein Redirect stattfindet als DNS aber noch ein DNS eines anderen Providers aktiv ist und der nicht erreicht werden kann scheitert die Namensauflösung. Das hätte aber ein Ping auf eine "nackte" Internet Adresse wie z.B. 8.8.8.8 dann gezeigt, denn das hätte in jedem Falle auch ohne DNS geklappt !
Mit einen kostenlosen iOS IP Tool aus dem App Store wie: https://itunes.apple.com/de/app/he-net-network-tools/id858241710?mt=8 geht das problemlos.
Warum bei Eingabe einer IP Adresse zwar Kommunikation im Tunnel stattfindet aber keine Daten im Browser
Auch da die Frage wie du das meinst ?? Bezogen auf den Packet Capture unter Diagnostics oder allgemein auf den Internet Zugriff via VPN ??
