aqui
Goto Top

IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

article-picture

back-to-topAllgemeine Einleitung

Das folgende Tutorial ist eine mehr Technik bezogene Fortsetzung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und soll in loser Folge einige Praxisbeispiele der IPsec VPN Kopplung populärer Router oder Firewall Produkte vorstellen um das Grundlagen Tutorial nicht weiter aufzublähen.
Ziel ist es bei privaten oder KMU Standort VPN Vernetzungen ohne großes Probieren schnell zu einer funktionierenden VPN Kopplung auf Basis des IPsec Protokolls zu kommen.
Die hier vorgestellten Beispiele und Screenshots können direkt auf bestehende Projekte übertragen werden, natürlich mit entsprechender Anpassung der IP Adressierung auf die eigenen Belange und Hardware.

Eine entsprechende VPN Hardware wird vorausgesetzt. Auf die Basis Konfiguration der Firewalls wie IPCop, pfSense/OPNsense oder kommerzielle Produkte wie Sophos, Zywall & Co. bzw. VPN Router wie Fritzbox, Mikrotik, Cisco usw. wird hier nicht im Detail eingegangen, sofern diese Konfigurationsschritte nicht IPsec VPN spezifisch sind.
In den weiterführenden Links unten findet man zusätzliche Informationen zu diesen Themen.
Ein klein wenig Basiswissen zum Thema IPsec VPNs generell und Cisco Command Line Interface sollte vorhanden sein ! Es empfiehlt sich das o.g. Basis Tutorial noch einmal zu lesen.
Los gehts....

back-to-topDas Internet im Labor

Das Internet wird hier in der Labor Simulation durch ein separates IP Netz 10.1.1.0 /24 dargestellt. Alle VPN Geräte arbeiten mit ihrem WAN / Internet Port per NAT (Netzwerk Adress Translation) auf diesem IP Netz und sind somit wie im Internet bzw. über den Provider direkt miteinander verbunden.
Einige Geräte nutzen dynamische (wechselnde) IP Adressen am WAN Port und benutzen eine andere Verschlüsselung (z.B. 3DES) als die hier im Tutorial beispielhaft verwendete AES-128. Alles um dem Aufbau mehr Praxisbezug zu geben.
Ein Bild sagt mehr als 1000 Worte....

169b7a913079c9ca347c6fc4a420c793

Die Internet Port Adressierung muss in real Life natürlich auf xDSL (PPPoE), Kabel Internet, Mobilfunk etc. entsprechend den individuellen Einstellungen am Provider Anschluss angepasst werden. Ebenso natürlich die IP Adressierung der verwendeten lokalen LAN Netze.

back-to-topDie Praxis

Der Cisco Router stellt hier im im Tutorial beispielhaft den zentralen VPN Zugang dar. Das muss aber in der Praxis nicht so sein. Natürlich kann das auch ein anderes Gerät aus dem hier vorgestellten Portfolio sein und der Cisco nur ein Client.
Um sich aber nicht zu verzetteln und das Tutorial mit allen möglichen Kombinationen zu überfrachten wurde dieser Weg gewählt. Zumal die IPsec Protokoll Implementation hier als fehlerfrei gilt. (Aktuellste Firmware vorausgesetzt !)
Als Verschlüsselung wird in diesem Beispiel das moderne AES-128 mit SHA verwand um Kompatibilität zu älteren ALIX Mainboards (2D13 mit IPCop, pfSense) zu haben, die dedizierte Crypto Chips an Bord haben und so Verschlüsselung in Wirespeed supporten ohne die CPU zu belasten.
Diese Crypto HW ist aber auf den 2Dx ALIX Mainboards auf 128 Bit AES beschränkt.
Besser, da sicherer, wäre es zusätzlich noch AES-256 zu aktivieren. Modernere Hardware hat da keine Limits.
Der Cisco Router und auch die pfSense stellen zusätzlich zur Standort Kopplung noch einen IPsec VPN Dialin Server zur Verfügung für mobile IPsec Clients wie iPhone/iPad, Android Smartphones, Laptop etc. VPN für mobile User.
Als Testserver für die VPN Netzwerk Erreichbarkeit dient im Zielnetz (172.16.7.0 /24) ein .

back-to-topCisco Router Konfiguration

!
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 172.16.7.1 172.16.7.150
=> DHCP Pool im lokalen LAN .151 bis .199
ip dhcp excluded-address 172.16.7.200 172.16.7.254
!
ip dhcp pool local
network 172.16.7.0 255.255.255.0
default-router 172.16.7.1
dns-server 172.16.7.1
domain-name test.intern
!
ip domain lookup source-interface Vlan99
ip domain name test.intern
ip name-server 123.4.5.6
=> Ersetzen mit Provider DNS IP oder internem DNS
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw smtp
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
<-- Firewall App. Gateway f. IPsec
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp
ip inspect name myfw udp
!
username admin password 0 admin
username vpntest password 0 test123
!
!
crypto keyring Labtest
=> Setzt die Pre Shared Passwörter für die einzelnen Tunnel
pre-shared-key address 10.1.1.87 key test123
pre-shared-key address 10.1.1.86 key test123
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim123
!
crypto isakmp policy 10
=> Erlaubt AES 256 Bit und SHA256 und DH Group 14 (2048)
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 20
=> Erlaubt AES 128 Bit und SHA, DH Group 2 (1048)
encr aes
authentication pre-share
group 2
!
crypto isakmp client configuration group VPNdialin
=> VPN Dialin für mobile IPsec Clients (Smartphone, iOS, MacOS etc.)
key cisco321
dns 192.168.7.254
domain vpn.test.intern
pool VPNPool
save-password
max-logins 3
banner # Willkommen im Test VPN (Cisco880) #
!
crypto isakmp profile pfSense
=> Tunnel Profil für die pfSense
description IPsec VPN pfSense
keyring Labtest
match identity address 10.1.1.87 255.255.255.255
!
crypto isakmp profile IPCop
=> Tunnel Profil für den IP-Cop
description IPsec VPN IPCop
keyring Labtest
match identity address 10.1.1.86 255.255.255.255
!
crypto isakmp profile DynDialin
=> Tunnel Profil für IPsec Tunnel von Geräten mit dynamischer Provider IP
description VPNs mit dyn. IP
keyring Labtest
match identity address 0.0.0.0
!
crypto isakmp profile VPNclient
=> Tunnel Profil für die VPN Dialin User
description VPN clients profile
match identity group VPNdialin
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile test-vti2
set transform-set testset
!
!
crypto dynamic-map dynmap 10
=> Weist Tunneln mit dyn.IP Profil zu
description Tunnel dyn.IP Cisco 800
set transform-set testset
set isakmp-profile DynDialin
match address vpndyn1
!
crypto dynamic-map dynmap 15
=> Weist Mikrotik dyn.IP Profil zu
description Tunnel dyn.IP Mikrotik 2011
set transform-set testset
set isakmp-profile DynDialin
match address vpndynmt
!
crypto dynamic-map dynmap 20
=> Weist FritzBox dyn.IP Profil zu
description Tunnel dyn.IP FritzBox
set transform-set testset
set isakmp-profile DynDialin
match address vpnfritz
!
!
crypto map vpntest 10 ipsec-isakmp
=> Weist der festen Test Internet IP Adresse .87 pfSense Profil zu
description Tunnel Static IP pfSense
set peer 10.1.1.87
set transform-set testset
set isakmp-profile pfSense
match address vpnpfsense
!
crypto map vpntest 15 ipsec-isakmp
=> Weist der festen Test Internet IP .86 IP Cop Profil zu
description Tunnel Static IP IP-Cop
set peer 10.1.1.86
set transform-set testset
set isakmp-profile IPCop
match address vpnipcop
!
crypto map vpntest 20 ipsec-isakmp dynamic dynmap
=> Weist das dynamische Profil zu
!
interface Virtual-Template2 type tunnel
=> Virtuelles Interface für mobile VPN Dialin User
ip unnumbered Vlan1
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile test-vti2
!
interface Vlan1
description Lokales LAN
ip address 172.16.7.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan99
=> Dies kann auch ein xDSL Interface sein ! Beispiel HIER
description Internet Anschluss
ip address 10.1.1.88 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
crypto map vpntest
=> VPN Profil aktiv auf dem Internet Interface
!
ip dns server
!
ip local pool VPNPool 172.16.7.70 172.16.7.73
=> IP Adresspool für mobile VPN Dialin User
!
ip nat inside source list 101 interface Vlan99 overload
!
ip access-list extended vpndyn1
=> Bestimmt zu verschlüsselnden Traffic für VPN mit Cisco 800
permit ip 172.16.7.0 0.0.0.255 10.100.200.0 0.0.0.255
ip access-list extended vpndynmt
=> Bestimmt zu verschlüsselnden Traffic für VPN mit Mikrotik
permit ip 172.16.7.0 0.0.0.255 192.168.88.0 0.0.0.255
ip access-list extended vpnfritz
=> Bestimmt zu verschlüsselnden Traffic für VPN mit FritzBox
permit ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255
ip access-list extended vpnipcop
=> Bestimmt zu verschlüsselnden Traffic für VPN mit IP Cop
permit ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255
ip access-list extended vpnpfsense
=> Bestimmt zu verschlüsselnden Traffic für VPN mit pfSense
permit ip 172.16.7.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
access-list 101 deny ip 172.16.7.0 0.0.0.255 10.10.200.0 0.0.0.255
=> Kein NAT für das VPN mit dynamischer IP
access-list 101 deny ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255
=> Kein NAT für das IP Cop VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.1.0 0.0.0.255
=> Kein NAT für das pfSense VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.88.0 0.0.0.255
=> Kein NAT für das Mikrotik VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255
=> Kein NAT für das FritzBox VPN
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 111 permit icmp any host 10.1.1.88 administratively-prohibited
=> Wichtige administrative ICMPs erlauben
access-list 111 permit icmp any host 10.1.1.88 echo-reply
access-list 111 permit icmp any host 10.1.1.88 packet-too-big
access-list 111 permit icmp any host 10.1.1.88 time-exceeded
access-list 111 permit icmp any host 10.1.1.88 unreachable
access-list 111 permit udp any host 10.1.1.88 eq isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any host 10.1.1.88 eq non500-isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit esp any host 10.1.1.88
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any eq ntp host 10.1.1.88
=> NTP, Uhrzeit Abfrage erlauben
access-list 111 permit udp any eq domain host 10.1.1.88
=> DNS Abfrage erlauben, Router ist Proxy
access-list 111 permit tcp any eq domain host 10.1.1.88
=> DNS Abfrage erlauben, Router ist Proxy
access-list 111 deny ip any any
!
ntp server ntp0.fau.de
!
end


Ein paar Erklärungen zur obigen Konfiguration:
crypto isakmp client configuration group VPNdialin = Definiert das IPsec Profil für die mobilen Clients (Laptops, Smartphones, Tablets etc.)
ip local pool VPNPool = IP Adresspool für mobile Clients. ACHTUNG !: Muss ausserhalb des DHCP Bereichs liegen
access-list 111 = Regelt die Firewall am Internet Port. Diverse ICMP Dienste, DNS, NTP und natürlich der IPsec Traffic dürfen auf die WAN / Internet IP des Routers zugreifen. Alles andere nicht.

Das alle 3 IPsec Tunnel aktiv sind (3ter dyn. Tunnel ist ein Cisco 800 Testsystem) zeigt wie üblich immer ein schnelles show Kommando auf dem Router CLI:
Cisco-VPNTest#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.1.1.88       10.1.1.108      QM_IDLE           2025 ACTIVE
10.1.1.88       10.1.1.86       QM_IDLE           2031 ACTIVE
10.1.1.88       10.1.1.87       QM_IDLE           2032 ACTIVE 

back-to-topMobile VPN Client Konfiguration

Die o.a. Konfig erlaubt außer der Standort Kopplung auch das gleichzeitige Einwählen mit einem IPsec VPN Client. Ein MacBook Screenshot des Onboard IPsec Clients sieht so aus:
vpnclient
Die Settings bei Apple Smartphones oder entsprechenden VPN Clients auf anderen Geräten sind identisch.

back-to-toppfSense Firewall IPsec VPN Konfiguration

IPsec aktivieren und Phase 1 konfigurieren:
831c9c248dfe0d4e04e7ba75f78389e0

Es folgt die Phase 2:
1e5003a9bf3c43de4b36ce74b7cfc3a2

Den Pre Shared Key definieren:
dde2fe370309be35f7fc004da42d82f5

Phase 2 lokales und remotes Netzwerk konfigurieren:
f7747bca3233814df563ac80abd57a09
b35574b2aa02f0e686831eb87eb93809

Wichtig: Firewall Regeln auf dem VPN Interface die den VPN Zugang erlauben !: (VPN Netze sind in Firewall => Aliases vordefiniert !)
7275bbc3c2a98eb374b048fca6247abc

Firewall Regel auf dem Internet Interface NICHT vergessen damit IPsec dort passieren kann (UDP 500, 4500 und ESP) !!:
92c674ce6d28689fceb3dcc872742799
(Anm: Die UDP 500, 4500 und ESP Regeln auf dem WAN Port oben können entfallen. Siehe Kommentar @119944 unten im Thread !)

back-to-topMehrere IP Netze hinter der pfSense in den Tunnel routen

Mehrere Netze routet man entweder mit einem Supernetting Eintrag (CIDR Subnetzmaske) im remote network sofern diese zusammenhängend sind. Oder alternativ mit weiteren Phase 2 Einträgen wenn diese IP Netze nicht zusammenhängend sind. Die pfSense_Dokumentation erklärt dies im Detail.

back-to-topFritzBox Konfiguration

Getestet mit der FritzBox 7240 und der aktuellen Firmware 6.06
Wichtig bei der FritzBox IPsec Verbindung ist das Aktivieren von 3DES. Ohne 3DES Option wird kein IPsec Tunnel aufgebaut.
Update !
⚠️ Dies ist nicht mehr gültig !!!
Natürlich kann die FritzBox auch das moderne AES aber man muss unbedingt die Hash und DH Group Einstellungen beachten. Dies Tutorial erklärt alle Details:
Fritzbox VPN Krypto Profile
Dies muss man unbedingt in den pfSense / OPNsense Proposals beachten !
Eine aktuelle Praxis taugliche Konfig mit den aktuellen GUI Screenshots findet man HIER!

VPN Tunnel (Cisco, pfSense) direkt auf der FritzBox definieren:
ada0f3a334d91a2c7b6191c77d6461c6
Der Tunnel zur pfSense wird identisch definiert nur mit der 10.1.1.87 als Tunnel IP.

Beide VPN Tunnel sind aktiv:
b30d60f0cae8df2280d4811f1c4d0d7c

back-to-topIP Cop Konfiguration

Der IP Cop als weitere Firewall bietet nicht ganz so viele Optionen wie die pfSense ist aber auch weit verbreitet und supportet natürlich auch IPsec VPNs

IPsec aktivieren und Peer definieren:
ac75956f89fa7dec44af1c0add8e3af0

Phase 1 und 2 Schlüsselparameter und lokales und remotes Netzwerk definieren:
49c4864cfc1e18f50b9e4e5ca0c6fe43
Tip: PFS (Perfect Forward Secrecy) sollte man aktivieren (anhaken) !

VPN Tunnel aktivieren:
9228d25446c9ffe899336d9f2f911fe8

back-to-topVPN Kopplung pfSense mit IP-Cop und FritzBox

Ziel ist es nun ein vermaschtes VPN der Standorte zu realisieren für eine Standort übergreifende VPN Vernetzung. Deshalb ist der nächste Schritt die direkte IPsec VPN Kopplung des IP-Cop und FritzBox mit der pfSense Firewall.
Das entsprechende Design mit den Tunnelbeziehungen sieht man wieder oben im Designschaubild !

Wir starten mit der pfSense...

Zweiten Phase 1 und 2 konfigurieren für den IP-Cop und FritzBox:
a705e152b41db556ca13207cbd582643
2316916ffa4b31569b524cbb3d795838
Die Konfig ist vollkommen identisch zu der mit dem Cisco. Es ist lediglich die Tunnel Ziel IP Adresse IPCop anzupassen und das remote lokale Netzwerk des IP Cop.

Konfig aller VPN Tunnel (Cisco, IP Cop, FritzBox):
71d76790f06ba24919d5b4b1d6fa87ea
Wichtig hier: Zusätzlich 3DES aktivieren für die FritzBox !!
⚠️ Dies ist nicht mehr gültig !!!
Natürlich kann die FritzBox auch das moderne AES aber man muss unbedingt die Hash und DH Group Einstellungen beachten. Dies Tutorial erklärt alle Details:
Fritzbox VPN Krypto Profile

Preshared Key nicht vergessen...:
8a30f07de4a5197d1c33fd197c499922

Weiter gehts jetzt mit dem IP Cop....
ae3421e49ff6039511211bfc02be8e23
55fc5dfb57ed15cdc4298e15aefd3045

Der IPsec Tunnel ist aktiv...!
5d58ff7ba193864bacdbe93d292b5de1

Stimmt das auch wirklich... ?
Doublecheck auf der pfSense:

2ba9267756a8e185f68efe389458fdb4
Alle VPNs sind beidseitig aktiv !! 👍

Klappt die LAN Kopplung? (Ping eines MS Clients im lokalen pfSense LAN auf die IPCop LAN IP):

427a530cb9f07da63efd6fbc2f94be90
Ist OK...!
Fazit: Eine vollständige LAN zu LAN Vernetzung aller Standorte per IPsec VPN wurde erreicht !

back-to-topMikrotik IPsec VPN Konfiguration

Auf dem Mikrotik ist die IPsec VPN Tunnel Konfiguration entweder über das WinBox Tool oder auch das Browser GUI schnell erledigt.
Testsystem ist ein RB2011 mit aktiver Default Konfig (ether1 als Internet Port mit NAT Firewall und DHCP)

IPsec Policy anlegen: (Bestimmt den zu encrytenden Traffic und die Tunnelendpunkte)
d4d65c3b5a365ffd95bd70eb607a7f5d
(Die Tunnel Source IP ist bewusst auf 0.0.0.0 belassen da der MT mit dynamischer Internet IP konfiguriert wurde. Hat man einen feste IP muss man die hier eintragen)

Proposals definieren (Schlüsselverfahren)
01d4034bb8b936ca533807616b6e85b2

Wichtig: Ausnahme in der NAT Firewall definieren das VPN Traffic nicht geNATet wird:
5ff1dc41c4d87bdfff72dbc798c91950
Fürs CLI lautet die Regel:
/ip firewall nat
add chain=srcnat action=accept place-before=0 src=address=192.168.88.0/24 dst-address=172.16.7.0/24


Den Tunnel Peer konfigurieren:
f7ad63998faf7d832f03c1faa657690f

Die Installed SAs zeigen das der Tunnel aktiv
cb0cfbbb3944aab93d990d86e000ef8b

Für ein Peering auf Ip Cop, pfSense etc. richtet man einfach einen weiteren Peer ein und konfiguriert die Gegenstelle entsprechend nach den obigen Mustern.

back-to-topWeiterführende Links und VPN Lösungen mit VPN Praxisbeispielen


back-to-topPraxis: LAN zu LAN VPN Verbindungen mit FritzBox, Mikrotik und pfSense/OPNsense Firewall

Fritzbox mit Mikrotik für Home Office Anbindung
PFsense VPN tunnel zur FritzBox 7390 (IPSec)
VPN zwischen 2 Fritzboxen klappt aber kein zugriff ins pfsense netz?
VPN Pfsense 2.2.x mit Fritzbox im Einsatz?
Fritzbox 7590 x opnsense

back-to-topFritzBox VPNs mit DS-Lite / CGNAT Anschlüssen


Standardkonfig:
Site to Site Netzwerk mit Fritzboxen (gemeinsame Netzwerkumgebung)

FritzBox VPN mit mehreren lokalen Netzen betreiben:
Routingprobleme unter VPN

FritzBox LAN-zu-LAN VPN mit pfSense/OPNsense und mehreren lokalen LAN Netzen:
Mehrere lokale Netze mit Fritzbox VPN und OPNsense/pfSense routen
PFSense mit Fritzboxen verbinden

FritzBox LAN-zu-LAN VPN mit pfSense/OPNsense und beidseitiger DynDNS WAN Adressierung:
VPN mit beidseitigem DDNS zwischen Fritzbox und OPNsense/pfSense

FritzBox-pfSense Standort VPN mit VoIP Telefonie:
Zwei Standorte in Deutschland und EU mit pfSense und FritzBox 7490 für VoIP verbinden

FritzBox VPN auf Mikrotik Router o. Switches:
Fritz!Box VPN Mikrotik als VPN Client
VPN zu FritzBox über Hardware?

FritzBox IPsec VPN auf StrongSwan Server:
Mehrere Fritzboxen per VPN an Strongswan Server koppeln
Fritzbox an Jumphost vServer koppeln
Site-2-Site-VPN wird nach Zwangstrennung getrennt
Hilfe bei Strongswan VPN (ikev1)
VPN auf Dedicated Server

FritzBox VPN auf Zyxel USG:
ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden

FritzBox VPN auf ausgewählte LAN Ports der FB beschränken:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...

Unterstützte Krypto Verfahren der FritzBox:
Fritzbox VPN Krypto Infos Teil 1
Fritzbox VPN Krypto Infos Teil 2

Fritzbox VPNs mit Wireguard:
S2S-Wireguard: AVM zu Mikrotik

back-to-topSite-to-Site IPsec VPN mit pfSense/OPNsense Firewall und Mikrotik Router mit festen Internet Adressen


Hilfe bei OpenVPN Standortvernetzung zwischen pfSense (Server) und Mikrotik (Client)
PfSense IPsec hub and spoke

Gleiches Site-to-Site Setup mit dynamischen WAN IP Adressen und Authentisierung über FQDN Namen:
Hilfe bei OpenVPN Standortvernetzung zwischen pfSense (Server) und Mikrotik (Client)

OPNsense als IPsec VPN Responder bei dynamischen WAN IPs:
Teltonika Router auf OPNsense/pfSense im Responder Mode

Site to Site VPN mit StrongSwan / OpenWRT auf pfSense/OPNsense und Sophos:
OpenWrt Client hinter FritzBox für IPsec IKEv2 aufbau in Hauptzentrale (Site-to-Site)

Bypass Regeln bei pfSense/OPNsense Gateway Redirect Designs:
pfSense/OPNsense Bypass Regeln in Redirect Designs

VxLAN Layer-2 Tunnel (Bridging) OPNsense/pfSense auf Mikrotik:
VLAN über Site2Site VPN

IPsec Standort VPN zw. Sophos UTM und OPNsense:
IPSec VPN zwischen OPNsense und Sophos UTM

IPsec Standort VPN Strongswan und Fortinet für IPv4 und IPv6:
Route-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an


back-to-topVPNs mit Mikrotik


VPN Standortvernetzung (IPsec) mit Mikrotik und FritzBox Router Kaskade:
VPN Performance durch Mikrotik erhöhen

Mikrotik IPsec Site-to-Site Grundkonfiguration:
IPsec-Site2Site-Tunnel zwischen zwei MikroTik-Routern, beide MikroTik-Router hinter NAT

Mikrotik IPsec Site-to-Site mit Sophos Firewall:
Mikrotik S2S VPN auf Sophos Firewall

Mikrotik IPsec VPN an Strongswan Server koppeln:
Mikrotik VPN an Strongswan Server

VPN IPsec Vernetzung mit GRE Tunnel und dynamischem RIPv2 Routing auf Mikrotik und Cisco:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Zwischen Miktrotik und PFSense GRE Tunnel mit IPSec Verschlüsslung

back-to-topVPNs mit Cisco Routern


IKEv2 Standort VPN mit Cisco, pfSense, Mikrotik:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik

Standardkonfiguration von Cisco VPN Routern mit ADSL/VDSL:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
und
Vernetzung zweier Standorte mit Cisco 876 Router

Klassische Cisco zu pfSense/OPNsense IKEv1 VPN Standort Kopplung:
2921 Kaskadierung mit Fritzbox für IPSEC-Tunnel

VPN IPsec Standort Kopplung mit Cisco VTI Tunnel Interface:
Cisco SVTI - Tunnel

VPN IPsec Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. OSPF Routing:
Routing Frage welches Protokoll für Mobile Geräte

IPv6 über IPv4 GRE Tunnel Interface mit OSPF übertragen (Cisco):
IPv6 über Cisco IPv4 IPsec Tunnel

Cisco RV Router mit pfSense/OPNsense Firewall per VPN verbinden:
VPN Verbindung zwischen Cisco RV180 und Cisco RV340

IPsec Tunnel mit Cisco PIX Firewall und pfSense:
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall

back-to-topGemischte VPNs (OpenVPN und IPsec Tunnel) und mehrere lokale IP Netze auf pfSense, Mikrotik und FritzBox


2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
PFSense mit Fritzboxen verbinden

back-to-topClient VPNs für mobile Nutzer


pfSense/OPNsense Firewall für mobile, bordeigene Windows, Linux, Mac OS und Smartphone VPN Clients einrichten:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

pfSense L2TP VPN für mobile Nutzer
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Mikrotik L2TP VPN für bordeigene, mobile Clients:
Scheitern am IPsec VPN mit MikroTik

FritzBox mit freiem Shrew IPsec VPN Client konfigurieren:
VPN Verbindung shrew zu Fritzbox: Routing Problem
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...

Shrew Client mit Cisco, pfSense/OPNsense und anderen Routern konfigurieren:
https://www.shrew.net/support/Main_Page

Strongswan Site2Site mit Policy based Routing:
Route-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an

back-to-topVPN Hardware


Aufbau einer pfSense/OPNsense Firewall mit dem populären APU Board:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

pfSense Firewall auf Watchguard Hardware:
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox

IP Cop Installation auf APU Board:
http://www.ipcop-forum.de/forum/viewtopic.php?f=63&t=26989

back-to-topAllgemeine VPN Themen


IPsec VPN mit verschiedenen Herstellern:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Allgemeine LAN to LAN VPN Tutorials:
http://blog.webernetz.net/site-to-site-vpn-tutorials/

Dualstack IPv4 und IPv6 auf pfSense einrichten:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...

Content-ID: 297320

Url: https://administrator.de/contentid/297320

Ausgedruckt am: 21.11.2024 um 11:11 Uhr

119944
119944 25.02.2016 um 17:48:03 Uhr
Goto Top
Moin,

nach meinen Erfahrungen braucht es bei PfSense auf dem WAN Interface keine Regeln für IPsec.
Das funktioniert bei uns problemlos ohne:
cee79a8f0da6a6516be848bbaf7dc20c

VG
Val
aqui
aqui 25.02.2016 um 19:06:22 Uhr
Goto Top
Hi Val,
Dank erstmal für den Hinweis aaaber... Ist jetzt etwas verwirrend was du genau meinst. Du hast bei dir ja eine Regel definiert wenn auch für OpenVPN was jetzt Äpfel mit Birnen wäre. IPsec ist ja ne ganz andere Baustelle.
Oder machst du jetzt OVPN und IPsec zusammen auf der pfSense ?
Generell ist das WAN Interface der Firewall komplett zu und lässt incoming keine Verbindung zu, folglich sind FW Regeln die die IPsec Protokollkomponenten passieren lassen auf die WAN IP zwingend erforderlich.
Es mag aber sein das die Einrichtung des IPsec VPNs diese Ports dynamisch in der FW öffnet wie es bei 1:1 Port Forwarding auch geschieht wenn man es im pfSense Setup zulässt.
Das wäre mal einen Test wert. Ich entferne die Regeln mal und check das.... Feedback kommt.
119944
119944 25.02.2016 aktualisiert um 20:47:14 Uhr
Goto Top
Wir setzen IPsec für unsere Site-to-Site Verbindung zu einer Partner Firma ein und OpenVPN für unseren eigenen Fernzugriff.
Das Bild sollte nur zeigen, dass wir hier nichts für IPsec konfiguriert haben.

Offensichtlich wird hier bei einer bestehenden IPsec Config die Firewall so angepasst, das es funktioniert.

Edit:
Rules are automatically added to the WAN to allow the tunnel to connect, but if the option to disable automatic VPN rules is checked, then manual rules may be required.
https://doc.pfsense.org/index.php/VPN_Capability_IPsec

VG
Val
117471
117471 25.02.2016 um 21:07:36 Uhr
Goto Top
Duhuuu - unabhängig von unserem Austauch - ich glaube, das hier wird etwas ganz großartiges!
brammer
brammer 26.02.2016 um 10:15:10 Uhr
Goto Top
Hallo

@aqui
Da ist doch wieder mal ein Kompliment fällig!

Super!

brammer
ChriBo
ChriBo 26.02.2016 um 12:13:02 Uhr
Goto Top
gutes Manual,
imho fehlen einige Hinweise (alles auf der pfSense:
- Interfaces -> LAN -> entferne den Haken bei "Block private Networks"
- erstelle einen Alias RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- [optional] erstelle einen Alias für das Ziel VPN Netzwerk
- erstelle eine Regel auf dem Lan Interface : deny access to RFC1918, setze sie vor den allgemeinen Zugriff ins Internet
- erstelle vor dieser Regel eine Regel z.B: erlaube alles von Lan nach Ziel VPN (bzw Alias).

Ansonsten gibt es keinen Zugriff aus dem Lan zum entfernten VPN.
- optional bei der Regel auf dem IPsec interface bei Source auch den Alias verwenden.

Die expliziten Regeln auf dem WAN Interface (Allow ESP, UDP500 und 4500) sind "good practice".
Wenn vorher explizite deny all Regeln auf dem WAN Interface angelegt waren funktioniert die automatische Regelerstellung nicht ordnungsgemäß

Gruß
CH
aqui
aqui 26.02.2016, aktualisiert am 02.05.2019 um 18:04:12 Uhr
Goto Top
@119944
Offensichtlich wird hier bei einer bestehenden IPsec Config die Firewall so angepasst, das es funktioniert.
Du hast Recht. Das Einrichten des VPN erstellt die Regeln automatisch. Danke für den Hinweis !
Die UDP 500, 4500 und ESP Regeln auf dem WAN Port oben können entfallen.

@ChriBo
imho fehlen einige Hinweise (alles auf der pfSense:
- Interfaces -> LAN -> entferne den Haken bei "Block private Networks"
Der ist ja in den Default Einstellungen auf dem LAN Interface gar nicht da. Ist also überflüssig.
- erstelle einen Alias RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
Warum ?? Der Haken bei "Block private Networks hat doch den gleichen Effekt" ?! Ansonsten hast du Recht das es von Vorteil ist mit Aliases zu arbeiten.
- [optional] erstelle einen Alias für das Ziel VPN Netzwerk
Richtig das ist ein sehr guter Tip, erleichtert die Übersicht.
Es überfordert aber ggf. VPN Anfänger hier deshalb wurde darauf erstmal verzichtet.
Erfahrenere User sollten das aber immer machen, keine Frage !
- erstelle eine Regel auf dem Lan Interface : deny access to RFC1918, setze sie vor den allgemeinen Zugriff ins Internet
Kontraproduktiv wenn User mehrere IP Segmente mit RFC 1918 IPs auf der Firewall haben wie Gastnetz, WLAN, Voice usw.
Sollte jeder dann individuell customizen je nachdem in welchem Umfeld die Firewall betrieben wird.
- erstelle vor dieser Regel eine Regel z.B: erlaube alles von Lan nach Ziel VPN (bzw Alias).
Hier gilt gleiches wie oben schon gesagt. Ist individuell nach Design unterschiedlich. Nicht falsch aber das Tutorial verfährt erstmal nach dem Grundsatz keep ist simple stupid um es für Anfänger nicht zu überfrachten.
Ansonsten gibt es keinen Zugriff aus dem Lan zum entfernten VPN.
Doch, wenn man nicht so strike Regeln wie deine obigen installiert und erstmal mit dem Default arbeitet face-wink
Wichtig sind nur die Regeln auf dem VPN Interface !
- optional bei der Regel auf dem IPsec interface bei Source auch den Alias verwenden.
Da hast du Recht.
Das ist kosmetisch schöner und gilt allgemein für die Konfig mit Aliases. Siehe oben zum Thema Aliases...
Die expliziten Regeln auf dem WAN Interface (Allow ESP, UDP500 und 4500) sind "good practice".
Wenn vorher explizite deny all Regeln auf dem WAN Interface angelegt waren funktioniert die automatische Regelerstellung nicht ordnungsgemäß
Danke für den Hinweis !!
Das war auch meine Denke und es sieht so in der Tat besser aus, auch wenn der Kollege Valexus oben formal Recht hat.

Dem Rest: Danke für die Blumen. Interessant wären jetzt Konfigs von weiteren IPsec Endgeräten die hier gepostet werden können. PM is your Friend... face-wink
Das Tutorial bekommt in loser Reihenfolge noch eine für die FritzBox, Mikrotik Router und den Shrew Client als Dialin.
Bzw. die Kombination der Tunnel untereinander aller obiger Hardware.
the-buccaneer
the-buccaneer 27.02.2016 um 01:22:21 Uhr
Goto Top
@aqui: Ich will ein Kind von dir! face-wink

Nein, ernsthaft: Wie machst Du das? Es gibt so viele, die das einrichten können, aber nur einen, der das so beschreiben kann!

Kleine Anmerkung: Sollte nicht auf der PfSense bei den IPSec Interface Rules statt: 172.16.7.1/24 stehen 172.16.7.0/24 ?

Die Fritzbox muss da aber auch noch dazu. Es wäre mir eine Ehre, dazu beitragen zu dürfen.

"Keep on rockin'"

Buc
aqui
aqui 27.02.2016, aktualisiert am 07.05.2016 um 09:15:04 Uhr
Goto Top
Sollte nicht auf der PfSense bei den IPSec Interface Rules statt: 172.16.7.1/24 stehen 172.16.7.0/24 ?
Das kommt darauf an was du machen willst...
Deine Regel lässt dann einzig nur Traffic für einen einzigen Rechner sprich Host zu nämlich den mit der .1 als Hostadresse.
Wäre hier fatal, denn das ist der Router. Damit könnte man dann via VPN nur auf den Router zugreifen aber zu keinem anderen Host im Subnetz....
Mit der Angabe aber des gesamten IP Netzes 172.16.7.0/24 (Alle Hostbits sind auf 0) erlaubst du aber die Kommunikation mit allen IP Hostadressen in dem Netz. Das was man ja gemeinhin will.

Oder habe ich jetzt den Fehler gemacht und statt der Netzadresse die Hostadresse konfiguriert...??? Das wäre dann natürlich ein peinlicher Fauxpas. Gleich mal checken... Grrr... tatsächlich !
Shame on me...!!! Freudscher Fehler... Du hast natürlich absolut Recht. Ich werden den Screenshot korrigieren mit der Netzadresse.
Der Gestaltung von Regeln und Zugriffslisten setzt nur die Phantasie Grenzen...
Die Fritzbox muss da aber auch noch dazu. Es wäre mir eine Ehre, dazu beitragen zu dürfen.
Das sehe ich auch so....also her damit. face-wink
Das mit dem Kind überleg ich mir nochmal.... Ich denke unter Freibeutern und Piraten erfordert das dazu ne ganze Menge an gutem Karibik Rum. Es sei denn hinter dem Buccaneer verbirgt sich eine Double D Buccaneerette mit blonden Haaren und langen Beinen... face-big-smile
the-buccaneer
the-buccaneer 28.02.2016 um 07:35:37 Uhr
Goto Top
ich sags mal mit bob dylan: "it ain't me, babe, no, no, no, it ain't me babe, it ain' me you're lookin' for , babe..." badabadidadum, badadadidadum, dubidum...

und: fasching ist schon vorbei. du wirst leider warten müssen.

die buddel rum ist aber im spiel, wenn du das hinkriegst, die pfsense 2.2.6 mit ner fritzbox 2170 zu connecten!

DD_Buc
aqui
aqui 28.02.2016, aktualisiert am 03.03.2016 um 22:06:28 Uhr
Goto Top
So, mal wieder zurück zu seriöser Netzwerktechnik....!
Hab deinen Thread schon gelesen...keine Sorge face-smile
Hier erstmal die Forschungsergebnisse bei der Korrektur des von dir zu Recht angesprochenen Regelfehlers im Tutorial oben auf dem IPsec Interface :

Interessanterweise sind hier keinerlei Regeln erforderlich !
Der VPN Traffic wird auch übertragen ohne jegliche Regel auf diesem Interface. Ein Crosscheck mit einer BLOCK any any Regel die also sämtlichen Traffic blockiert verlief ebenfalls negativ. Die VPNs funktionieren trotzdem.
Als Fazit lässt sich dann daraus ziehen das Regeln auf diesem Interface gänzlich obsolet sind. Ist oben nun auch im Tutorial entsprechend korrigiert.
Was dann der Sinn dieses Interfaces ist bleibt schleierhaft.
aqui
aqui 03.03.2016 aktualisiert um 22:09:11 Uhr
Goto Top
@christoph-bochum
Du hast Recht ! Die VPN Firewall Rules auf dem IPsec Interface müssen de facto definiert werden !
Die pfSense cacht die Statetable für eine zeitlang so das gecachte Tunnel auch ohne Regel scheinbar weiter funktionieren.
Rebootet man die Firewall aber ist es aus mit der Tunnel Connectivity ohne Regeln.
Fazit: Die Regeln sind zwingend notwendig und das Tutorial entsprechend upgedatet.

Die FritzBox ist nun integriert mit einem VPN Peer auf den Cisco 886 Router und die pfSense. Die Tunnel waren sofort aktiv.
Wichtig für die FritzBox ist nur zu wissen hier unbedingt 3DES zu aktivieren. Ohne 3DES Support werden die FritzBox VPN Tunnel nicht etabliert.
Mit der aktuellen Firmware Version 6.06 ist die VPN Konfiguration bequem über das Web GUI zu machen.
Spezielle Konfigurationen für das Routen auf mehrere IP Netze über den VPN Tunnel erfordern aber weiterhin das FritzBox Konfig Tool und das Einspielen angepasster VPN FritzBox Konfigs.

Nächster Step ist jetzt ein zweites IP Netz am Cisco zu konfigurieren um mehrere IP netze über den VPN Tunnel zu routen und die Integration zusätzlicher VPN Router wie eines Mikrotik RB2011 und einer Juniper Firewall.
the-buccaneer
the-buccaneer 08.03.2016 um 01:08:41 Uhr
Goto Top
Schön, dass nun auch die FB dabei ist.
Die kann aber definitiv AES-256. Auch AES-128 sollte gehen.
Man muss sich bei den Büchsen aber evtl. immer die Mühe machen, das .cfg File händisch zu bearbeiten. Seltsam, dass die GUI offenbar aus Kompatibilitätsgründen nur 3-DES supported. (Es gibt Einstellungen, die beides ermöglichen) Hast du dir die VPN Konfig mal angeschaut? Wenn das File nicht direkt bearbeitbar ist, ist es jedenfalls in der Gesamtkonfiguration einsehbar. Den Link dazu habe ich leider gerade nicht parat, schaue ich aber gerne die Tage noch nach, wenn gefragt.

Wo du grade dabei bist: Bekommst du raus, wie man mit der FB auf virtuelle IP's connected? Das Feature ist da, vollkommen undokumentiert und ich habe es mit dem Kollegen vor ein paar Monaten nicht zum Laufen bekommen...

Keep on rockin'!

Buc
aqui
aqui 10.03.2016 aktualisiert um 14:30:48 Uhr
Goto Top
Die kann aber definitiv AES-256. Auch AES-128 sollte gehen.
Ja, das ist richtig. Klappt auch fehlerfrei.
Ich hatte nur AES 128 gemacht weil die ALIX 2D Mainboards eine dedizierte Crypto Hardware mit an Bord haben die das in Wirespeed machen.
Wenn man diese unter System => Advanced => Misellaneous auf AMD Geode Security block (glxsb) setzt dann limitiert das AES auf 128 Bit, da der Crypto Chip nicht mehr kann.
Wenn man es ausschaltet wären 256 Bit möglich, das passiert dann aber in Software auf der CPU und belastet diese stark bei den 2D Mainboards.
Das war der Grund.
Für das neuere APU1D Board ist das natürlich irrelevant.
Ja, die Phase 2 macht nur 3DES wenn man es nicht manuell spezifiziert. Vermutlich weil der überwiegende Rest der Welt das im Default auch macht. Manche der billigen China Router nur ausschliesslich.
Damit reduziert AVM dann die Support Kosten face-wink
Die möglichen Kombinationen sind hier ganz gut aufgelistet:
http://www.computersalat.de/linux/vpn/ipsec-vpn-zwischen-fritzbox-und-l ...
Wenn man die Konfig manuell editiert.

Was du oben ansprichst: Kann man die VPN Konfiguration einsehen die aktuell rennt wenn man das per GUI gemacht hat und nicht mit dem Fernwartungsprogramm ??
Also in dem Stil wie es das Fernzugangs Programm erstellt zum Draufladen.
Auf den Trick bin ich noch nicht gestoßen...

Was genau meinst du mit "auf virtuelle IP's connected?" ???
Virtuelle Ziel IPs für den Tunnel oder welche ??
the-buccaneer
the-buccaneer 15.03.2016 um 02:16:05 Uhr
Goto Top
Ich meinte diesen: http://fritz.box/support.lua

Naja, virtuelle IP's eben: FB hat internes Netz 192.168.177.0/24 und virtuelles Netz auf dem VPN von 192.168.99.0/24. Gegenseite hat virtuelles Netz 192.168.99.0/24 und internes Netz 192.168.1.0/24. Wie man das eben für Clients auf der PfSense z.B mit Shrew auch definieren kann. Einfach 2 getrennte Netze.
Nix mehr, nix weniger. Das Feature ist da, aber wie wirds getriggert?

Du könntest das schaffen. face-wink

LG
Buc
aqui
aqui 19.03.2016 aktualisiert um 12:06:16 Uhr
Goto Top
Hi Buc
Wenn du ein Netzwerk zwischen den beiden lokalen LANs hast, dann ist das immer ein Indix das die Endgeräte ein Tunnel Interface verwenden also auf dem VPN nochmal ein Tunneling machen.
Meist passiert das mit GRE Tunnels oder sog. IP in IP.
Das hat den Vorteil das man ein dediziertes Interface hat auf dem Router oder Firewall wo man wieder dynamische Routing Protokolle, ACLs usw. anlegen kann.
Viele Admins mögen das deswegen aber einige ncht weil es weiteren Overhead produziert als die rein native IPsec Kopplung wie oben.
Ich wusste nicht das die FB sowas kann aber das im Cisco, Mikrotik oder pfSense anzulegen ist nicht schwer.
the-buccaneer
the-buccaneer 25.03.2016 um 04:08:40 Uhr
Goto Top
Och, ich hoffte, dich zu motivieren, das auf der FB zum rennen zu bringen...

Naja, gibt wichtigeres.

Frohe Ostern!

Buc
aqui
aqui 25.03.2016 um 20:54:59 Uhr
Goto Top
Ich versuchs Ostern mal zu checken... face-wink
the-buccaneer
the-buccaneer 08.04.2016 um 00:49:17 Uhr
Goto Top
und?
ich bin aus dem osterurlaub zurück.
konntest du was virtuelles connecten mit der fb?
lg
buc
aqui
aqui 14.06.2016 um 10:50:15 Uhr
Goto Top