Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec VPN Praxis mit Standort Kopplung zw. Cisco, IPCop, pfSense, FritzBox und mehr

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

25.02.2016, aktualisiert 02.05.2019, 19478 Aufrufe, 20 Kommentare, 5 Danke


Allgemeine Einleitung

Das folgende Tutorial ist eine Erweiterung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und soll in loser Folge einige Praxisbeispiele der IPsec VPN Kopplung populärer Router oder Firewall Produkte vorstellen um das Grundlagen Tutorial nicht weiter aufzublähen.
Ziel ist es bei privaten oder KMU Standort VPN Vernetzungen ohne großes Probieren schnell zu einer funktionierenden Kopplung zu kommen.
Die hier vorgestellten Beispiele und Screenshots können direkt auf bestehende Projekte übertragen werden, natürlich mit entsprechender Anpassung der IP Adressierung auf die eigenen Belange.

Eine entsprechende Hardware wird vorausgesetzt. Auf die grundlegende Einrichtung der Firewalls wie IPCop, pfSense oder kommerzielle Produkte wie Sophos, Zywall & Co. bzw. VPN Router wie Fritzbox, Mikrotik, Cisco usw. wird hier nicht im Detail eingegangen, sofern diese Konfigurationsschritte nicht IPsec VPN spezifisch sind.
In den weiterführenden Links unten findet man zusätzliche Informationen zu diesen Themen.
Ein klein wenig Basiswissen zum Thema IPsec VPNs generell und Cisco Command Line Interface sollte vorhanden sein ! Es empfiehlt sich das o.g. Basis Tutorial noch einmal zu lesen.
Los gehts....


Das Internet im Labor

Das Internet wird hier in der Labor Simulation durch ein separates IP Netz 10.1.1.0 /24 dargestellt. Alle VPN Geräte arbeiten mit ihrem WAN / Internet Port per NAT (Netzwerk Adress Translation) auf diesem IP Netz und sind somit wie im Internet bzw. über den Provider direkt miteinander verbunden.
Einige Geräte nutzen dynamische (wechselnde) IP Adressen am WAN Port und benutzen eine andere Verschlüsselung (z.B. 3DES) als die hier im Tutorial beispielhaft verwendete AES-128. Alles um dem Aufbau mehr Praxisbezug zu geben.
Ein Bild sagt mehr als 1000 Worte....


169b7a913079c9ca347c6fc4a420c793 - Klicke auf das Bild, um es zu vergrößern

Die Internet Port Adressierung muss in real Life natürlich auf xDSL (PPPoE), Kabel Internet, Mobilfunk etc. entsprechend den individuellen Einstellungen am Provider Anschluss angepasst werden. Ebenso natürlich die IP Adressierung der verwendeten lokalen LAN Netze.


Die Praxis

Der Cisco Router stellt hier im im Tutorial beispielhaft den zentralen VPN Zugang dar. Das muss aber in der Praxis nicht so sein. Natürlich kann das auch ein anderes Gerät aus dem hier vorgestellten Portfolio sein und der Cisco nur ein Client.
Um sich aber nicht zu verzetteln und das Tutorial mit allen möglichen Kombinationen zu überfrachten wurde dieser Weg gewählt. Zumal die IPsec Protokoll Implementation hier als fehlerfrei gilt. (Aktuellste Firmware vorausgesetzt !)
Als Verschlüsselung wird in diesem Beispiel das moderne AES-128 mit SHA verwand um Kompatibilität zu älteren ALIX Mainboards (2D13 mit IPCop, pfSense) zu haben, die dedizierte Crypto Chips an Bord haben und so Verschlüsselung in Wirespeed supporten ohne die CPU zu belasten.
Diese Crypto HW ist aber auf den 2Dx ALIX Mainboards auf 128 Bit AES beschränkt.
Besser, da sicherer, wäre es zusätzlich noch AES-256 zu aktivieren. Modernere Hardware hat da keine Limits.
Der Cisco Router und auch die pfSense stellen zusätzlich zur Standort Kopplung noch einen IPsec VPN Dialin Server zur Verfügung für mobile IPsec Clients wie iPhone/iPad, Android Smartphones, Laptop etc. VPN für mobile User.
Als Testserver für die VPN Netzwerk Erreichbarkeit dient im Zielnetz (172.16.7.0 /24) ein Raspberry_Pi mit installierten Apache Webserver und einer index.php Datei im Apache Dokumenten Root Verzeichnis, die die Absender IP des Clients angibt. Die entsprechende fertige HTML Datei dafür findet man zum cut and pasten hier.

Cisco Router Konfiguration

!
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 172.16.7.1 172.16.7.150
=> DHCP Pool im lokalen LAN .151 bis .199
ip dhcp excluded-address 172.16.7.200 172.16.7.254
!
ip dhcp pool local
network 172.16.7.0 255.255.255.0
default-router 172.16.7.1
dns-server 172.16.7.1
domain-name test.intern
!
ip domain lookup source-interface Vlan99
ip domain name test.intern
ip name-server 123.4.5.6
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw smtp
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
<-- Firewall App. Gateway f. IPsec
ip inspect name myfw sip
ip inspect name myfw rtsp
!
username admin password 0 admin
username vpntest password 0 test123
!
!
crypto keyring Labtest
=> Setzt die Pre Shared Passwörter für die einzelnen Tunnel
pre-shared-key address 10.1.1.87 key test123
pre-shared-key address 10.1.1.86 key test123
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim123
!
crypto isakmp policy 10
=> Erlaubt AES 128 Bit und SHA
encr aes
authentication pre-share
group 2
!
crypto isakmp policy 15
=> Erlaubt 3DES und SHA
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group VPNdialin
=> VPN Dialin für mobile IPsec Clients (Smartphone, iOS, MacOS etc.)
key cisco321
dns 192.168.7.254
domain vpn.test.intern
pool VPNPool
save-password
max-logins 3
banner # Willkommen im Test VPN (Cisco880) #
!
crypto isakmp profile pfSense
=> Tunnel Profil für die pfSense
description IPsec VPN pfSense
keyring Labtest
match identity address 10.1.1.87 255.255.255.255
!
crypto isakmp profile IPCop
=> Tunnel Profil für den IP-Cop
description IPsec VPN IPCop
keyring Labtest
match identity address 10.1.1.86 255.255.255.255
!
crypto isakmp profile VPNclient
=> Tunnel Profil für die VPN Dialin User
description VPN clients profile
match identity group VPNdialin
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto isakmp profile DynDialin
=> Tunnel Profil für IPsec Tunnel von Geräten mit dynamischer Provider IP
description VPNs mit dyn. IP
keyring Labtest
match identity address 0.0.0.0
!
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set testset2 esp-3des esp-sha-hmac
mode tunnel
!
!
crypto ipsec profile test-vti2
set transform-set testset
!
!
crypto dynamic-map dynmap 10
=> Weist Tunneln mit dyn.IP Profil zu und erlaubt 3DES
description Tunnel dyn.IP Cisco 800
set transform-set testset2
set isakmp-profile DynDialin
match address vpndyn1
!
crypto dynamic-map dynmap 15
=> Weist Mikrotik dyn.IP Profil zu und erlaubt AES
description Tunnel dyn.IP Mikrotik 2011
set transform-set testset
set isakmp-profile DynDialin
match address vpndynmt
!
crypto dynamic-map dynmap 20
=> Weist FritzBox dyn.IP Profil zu und erlaubt 3DES
description Tunnel dyn.IP FritzBox
set transform-set testset2
set isakmp-profile DynDialin
match address vpnfritz
!
!
crypto map vpntest 10 ipsec-isakmp
=> Weist der festen Test Internet IP Adresse .87 pfSense Profil zu
description Tunnel Static IP pfSense
set peer 10.1.1.87
set transform-set testset
set isakmp-profile pfSense
match address vpnpfsense
crypto map vpntest 15 ipsec-isakmp
=> Weist der Test Internet IP .86 IP Cop Profil zu
description Tunnel Static IP IP-Cop
set peer 10.1.1.86
set transform-set testset
set isakmp-profile IPCop
match address vpnipcop
crypto map vpntest 20 ipsec-isakmp dynamic dynmap
=> Weist das dynamische Profil zu
!
!
interface Virtual-Template2 type tunnel
=> Virtuelles Interface für mobile VPN Dialin User
ip unnumbered Vlan1
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile test-vti2
!
interface Vlan1
description Lokales LAN
ip address 172.16.7.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan99
=> Dies kann auch ein xDSL Interface sein ! Beispiel HIER
description Internet Anschluss
ip address 10.1.1.88 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
crypto map vpntest
=> VPN Profil aktiv auf dem Internet Interface
!
ip dns server
!
ip local pool VPNPool 172.16.7.70 172.16.7.73
=> IP Adresspool für mobile VPN Dialin User
!
ip nat inside source list 101 interface Vlan99 overload
!
ip access-list extended vpndyn1
=> Bestimmt zu verschlüsselnden Traffic für VPN mit Cisco 800
permit ip 172.16.7.0 0.0.0.255 10.100.200.0 0.0.0.255
ip access-list extended vpndynmt
=> Bestimmt zu verschlüsselnden Traffic für VPN mit Mikrotik
permit ip 172.16.7.0 0.0.0.255 192.168.88.0 0.0.0.255
ip access-list extended vpnfritz
=> Bestimmt zu verschlüsselnden Traffic für VPN mit FritzBox
permit ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255
ip access-list extended vpnipcop
=> Bestimmt zu verschlüsselnden Traffic für VPN mit IP Cop
permit ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255
ip access-list extended vpnpfsense
=> Bestimmt zu verschlüsselnden Traffic für VPN mit pfSense
permit ip 172.16.7.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
access-list 101 deny ip 172.16.7.0 0.0.0.255 10.10.200.0 0.0.0.255
=> Kein NAT für das VPN mit dynamischer IP
access-list 101 deny ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255
=> Kein NAT für das IP Cop VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.1.0 0.0.0.255
=> Kein NAT für das pfSense VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.88.0 0.0.0.255
=> Kein NAT für das Mikrotik VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255
=> Kein NAT für das FritzBox VPN
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 111 permit icmp any host 10.1.1.88 administratively-prohibited
=> Wichtige administrative ICMPs erlauben
access-list 111 permit icmp any host 10.1.1.88 echo-reply
access-list 111 permit icmp any host 10.1.1.88 packet-too-big
access-list 111 permit icmp any host 10.1.1.88 time-exceeded
access-list 111 permit icmp any host 10.1.1.88 unreachable
access-list 111 permit udp any host 10.1.1.88 eq isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any host 10.1.1.88 eq non500-isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit esp any host 10.1.1.88
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any eq ntp host 10.1.1.88
=> NTP, Uhrzeit Abfrage erlauben
access-list 111 permit udp any eq domain host 10.1.1.88
=> DNS Abfrage erlauben, Router ist Proxy
access-list 111 permit tcp any eq domain host 10.1.1.88
=> DNS Abfrage erlauben, Router ist Proxy
access-list 111 deny ip any any
!
ntp server ntp0.fau.de
!
end


Ein paar Erklärungen zur obigen Konfiguration:
crypto isakmp client configuration group VPNdialin = Definiert das IPsec Profil für die mobilen Clients (Laptops, Smartphones, Tablets etc.)
ip local pool VPNPool = IP Adresspool für mobile Clients. ACHTUNG !: Muss ausserhalb des DHCP Bereichs liegen
access-list 111 = Regelt die Firewall am Internet Port. Diverse ICMP Dienste, DNS, NTP und natürlich der IPsec Traffic dürfen auf die WAN / Internet IP des Routers zugreifen. Alles andere nicht.

Das alle 3 IPsec Tunnel aktiv sind (3ter dyn. Tunnel ist ein Cisco 800 Testsystem) zeigt wie üblich immer ein schnelles show Kommando auf dem Router CLI:
Cisco-VPNTest#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.1.1.88       10.1.1.108      QM_IDLE           2025 ACTIVE
10.1.1.88       10.1.1.86       QM_IDLE           2031 ACTIVE
10.1.1.88       10.1.1.87       QM_IDLE           2032 ACTIVE 
Mobile VPN Client Konfiguration:
Die o.a. Konfig erlaubt außer der Standort Kopplung auch das gleichzeitige Einwählen mit einem IPsec VPN Client. Ein MacBook Screenshot des Onboard IPsec Clients sieht so aus:
vpnclient - Klicke auf das Bild, um es zu vergrößern
Die Settings bei Apple Smartphones oder entsprechenden VPN Clients auf anderen Geräten sind identisch.

pfSense IPsec VPN Konfiguration


IPsec aktivieren und Phase 1 konfigurieren:
831c9c248dfe0d4e04e7ba75f78389e0 - Klicke auf das Bild, um es zu vergrößern

Es folgt die Phase 2:
1e5003a9bf3c43de4b36ce74b7cfc3a2 - Klicke auf das Bild, um es zu vergrößern

Den Pre Shared Key definieren:
dde2fe370309be35f7fc004da42d82f5 - Klicke auf das Bild, um es zu vergrößern

Phase 2 lokales und remotes Netzwerk konfigurieren:
f7747bca3233814df563ac80abd57a09 - Klicke auf das Bild, um es zu vergrößern
b35574b2aa02f0e686831eb87eb93809 - Klicke auf das Bild, um es zu vergrößern

Wichtig: Firewall Regeln auf dem VPN Interface die den VPN Zugang erlauben !: (VPN Netze sind in Firewall => Aliases vordefiniert !)
7275bbc3c2a98eb374b048fca6247abc - Klicke auf das Bild, um es zu vergrößern

Firewall Regel auf dem Internet Interface NICHT vergessen damit IPsec dort passieren kann (UDP 500, 4500 und ESP) !!:
92c674ce6d28689fceb3dcc872742799 - Klicke auf das Bild, um es zu vergrößern
(Anm: Die UDP 500, 4500 und ESP Regeln auf dem WAN Port oben können entfallen. Siehe Kommentar @Valexus unten im Thread !)

FritzBox Konfiguration für VPN

Getestet mit der FritzBox 7240 und der aktuellen Firmware 6.06
Wichtig bei der FritzBox IPsec Verbindung ist das Aktivieren von 3DES. Ohne 3DES Option wird kein IPsec Tunnel aufgebaut.

VPN Tunnel (Cisco, pfSense) direkt auf der FritzBox definieren:
ada0f3a334d91a2c7b6191c77d6461c6 - Klicke auf das Bild, um es zu vergrößern
Der Tunnel zur pfSense wird identisch definiert nur mit der 10.1.1.87 als Tunnel IP.

Beide VPN Tunnel sind aktiv:
b30d60f0cae8df2280d4811f1c4d0d7c - Klicke auf das Bild, um es zu vergrößern

IP Cop Konfiguration fürs VPN

Der IP Cop als weitere Firewall bietet nicht ganz so viele Optionen wie die pfSense ist aber auch weit verbreitet und supportet natürlich auch IPsec VPNs

IPsec aktivieren und Peer definieren:
ac75956f89fa7dec44af1c0add8e3af0 - Klicke auf das Bild, um es zu vergrößern

Phase 1 und 2 Schlüsselparameter und lokales und remotes Netzwerk definieren:
49c4864cfc1e18f50b9e4e5ca0c6fe43 - Klicke auf das Bild, um es zu vergrößern
Tip: PFS (Perfect Forward Secrecy) sollte man aktivieren (anhaken) !

VPN Tunnel aktivieren:
9228d25446c9ffe899336d9f2f911fe8 - Klicke auf das Bild, um es zu vergrößern

VPN Kopplung pfSense mit IP-Cop und FritzBox

Ziel ist es nun ein vermaschtes VPN der Standorte zu realisieren für eine Standort übergreifende VPN Vernetzung. Deshalb ist der nächste Schritt die direkte IPsec VPN Kopplung des IP-Cop und FritzBox mit der pfSense Firewall.
Das entsprechende Design mit den Tunnelbeziehungen sieht man wieder oben im Designschaubild !

Wir starten mit der pfSense...

Zweiten Phase 1 und 2 konfigurieren für den IP-Cop und FritzBox:
a705e152b41db556ca13207cbd582643 - Klicke auf das Bild, um es zu vergrößern
2316916ffa4b31569b524cbb3d795838 - Klicke auf das Bild, um es zu vergrößern
Die Konfig ist vollkommen identisch zu der mit dem Cisco. Es ist lediglich die Tunnel Ziel IP Adresse IPCop anzupassen und das remote lokale Netzwerk des IP Cop.

Konfig aller VPN Tunnel (Cisco, IP Cop, FritzBox):
71d76790f06ba24919d5b4b1d6fa87ea - Klicke auf das Bild, um es zu vergrößern
Wichtig hier: Zusätzlich 3DES aktivieren für die FritzBox !!

Preshared Key nicht vergessen...:
8a30f07de4a5197d1c33fd197c499922 - Klicke auf das Bild, um es zu vergrößern

Weiter gehts jetzt mit dem IP Cop....
ae3421e49ff6039511211bfc02be8e23 - Klicke auf das Bild, um es zu vergrößern
55fc5dfb57ed15cdc4298e15aefd3045 - Klicke auf das Bild, um es zu vergrößern

Der IPsec Tunnel ist aktiv...!
5d58ff7ba193864bacdbe93d292b5de1 - Klicke auf das Bild, um es zu vergrößern

Stimmt das auch wirklich... ?
Doublecheck auf der pfSense:

2ba9267756a8e185f68efe389458fdb4 - Klicke auf das Bild, um es zu vergrößern
Alle VPNs sind beidseitig aktiv !! 👍

Klappt die LAN Kopplung? (Ping eines MS Clients im lokalen pfSense LAN auf die IPCop LAN IP):

427a530cb9f07da63efd6fbc2f94be90 - Klicke auf das Bild, um es zu vergrößern
Ist OK...!
Fazit: Eine vollständige LAN zu LAN Vernetzung aller Standorte per IPsec VPN wurde erreicht !

Mikrotik IPsec VPN Konfiguration

Auf dem Mikrotik ist die IPsec VPN Tunnel Konfiguration entweder über das WinBox Tool oder auch das Browser GUI schnell erledigt.
Testsystem ist ein RB2011 mit aktiver Default Konfig (ether1 als Internet Port mit NAT Firewall und DHCP)

IPsec Policy anlegen: (Bestimmt den zu encrytenden Traffic und die Tunnelendpunkte)
d4d65c3b5a365ffd95bd70eb607a7f5d - Klicke auf das Bild, um es zu vergrößern
(Die Tunnel Source IP ist bewusst auf 0.0.0.0 belassen da der MT mit dynamischer Internet IP konfiguriert wurde. Hat man einen feste IP muss man die hier eintragen)

Proposals definieren (Schlüsselverfahren)
01d4034bb8b936ca533807616b6e85b2 - Klicke auf das Bild, um es zu vergrößern

Wichtig: Ausnahme in der NAT Firewall definieren das VPN Traffic nicht geNATet wird:
5ff1dc41c4d87bdfff72dbc798c91950 - Klicke auf das Bild, um es zu vergrößern
Fürs CLI lautet die Regel:
/ip firewall nat
add chain=srcnat action=accept place-before=0 src=address=192.168.88.0/24 dst-address=172.16.7.0/24


Den Tunnel Peer konfigurieren:
f7ad63998faf7d832f03c1faa657690f - Klicke auf das Bild, um es zu vergrößern

Die Installed SAs zeigen das der Tunnel aktiv
cb0cfbbb3944aab93d990d86e000ef8b - Klicke auf das Bild, um es zu vergrößern

Für ein Peering auf Ip Cop, pfSense etc. richtet man einfach einen weiteren Peer ein und konfiguriert die Gegenstelle entsprechend nach den obigen Mustern.


Ausblick

Das Praxistutorial wird in loser Reihenfolge weitergeführt mit anderen VPN Routern und Firewalls (Mikrotik, Juniper) und auch dem VPN Routing mehrerer IP Netze pro Standort. Entsprechende Vorschläge oder auch laufende Konfigs gerne per PM.


Weiterführende Links und Lösungen:

IPsec VPN Vernetzung mit GRE Tunnel und dynamischem Routing mit RIPv2 Protokoll auf Mikrotik und Cisco Routern:
https://administrator.de/content/detail.php?id=396127&token=466#comm ...
https://administrator.de/content/detail.php?id=397059&token=888#

pfSense Firewall für mobile, bordeigene Windows, Linux, Mac OS und Smartphone VPN Clients einrichten:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...

Standardkonfiguration von Cisco Routern mit ADSL/VDSL:
https://www.administrator.de/contentid/179345
und
https://www.administrator.de/contentid/113776

FritzBox im IPsec Umfeld erfolgreich einsetzen:
https://www.administrator.de/forum/vpn-pfsense-2-2-x-fritzbox-einsatz-29 ...
Infos zur Phase 2 Negotiation bei der FB:
http://forum.ipfire.org/viewtopic.php?t=16254

FritzBox VPN mit Profi VPN Router u. Firewalls koppeln (ct' Artikel und Skript):
https://ct.de/ya4y

FritzBox VPN auf ausgewählte LAN Ports der FB beschränken:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...

FritzBox mit kostenlosem Shrew IPsec Client konfigurieren:
https://www.administrator.de/content/detail.php?id=279626&token=98#c ...
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...

Automatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates:
https://www.administrator.de/content/detail.php?id=378502&token=736

VPN IPsec Standort Kopplung mit Cisco VTI Tunnel Interface:
https://www.administrator.de/content/detail.php?id=332230&token=14#c ...

VPN IPsec Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. Routing (RPv2 / OSPF):
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/forum/zwischen-miktrotik-pfsense-gre-tunnel-ips ...

Shrew Client mit Cisco pfSense und anderen Routern konfigurieren:
https://www.shrew.net/support/Main_Page

Aktuelle IKEv2 VPN Konfig für iPhone, Mac OS und IPsec native Clients:
https://forum.pfsense.org/index.php?topic=106433.0

Aufbau einer pfSense Firewall mit ALIX Board:
https://www.administrator.de/contentid/149915

pfSense Firewall auf Watchguard Hardware:
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox

IPsec VPN mit verschiedenen Herstellern:
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...

IP Cop Installation auf ALIX Board:
http://www.ipcop-forum.de/forum/viewtopic.php?f=63&t=26989

IPsec Tunnel mit PIX Firewall und pfSense:
https://www.administrator.de/wissen/cisco-pix-firewall-ipsec-vpn-tunnel- ...

LAN to LAN VPN Tutorials:
http://blog.webernetz.net/site-to-site-vpn-tutorials/

FritzBox VPN auf Zyxel USG:
https://www.administrator.de/content/detail.php?id=316523&nid=298381 ...

Dualstack IPv4 und IPv6 auf pfSense einrichten:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
Mitglied: Valexus
25.02.2016 um 17:48 Uhr
Moin,

nach meinen Erfahrungen braucht es bei PfSense auf dem WAN Interface keine Regeln für IPsec.
Das funktioniert bei uns problemlos ohne:
cee79a8f0da6a6516be848bbaf7dc20c - Klicke auf das Bild, um es zu vergrößern

VG
Val
Bitte warten ..
Mitglied: aqui
25.02.2016 um 19:06 Uhr
Hi Val,
Dank erstmal für den Hinweis aaaber... Ist jetzt etwas verwirrend was du genau meinst. Du hast bei dir ja eine Regel definiert wenn auch für OpenVPN was jetzt Äpfel mit Birnen wäre. IPsec ist ja ne ganz andere Baustelle.
Oder machst du jetzt OVPN und IPsec zusammen auf der pfSense ?
Generell ist das WAN Interface der Firewall komplett zu und lässt incoming keine Verbindung zu, folglich sind FW Regeln die die IPsec Protokollkomponenten passieren lassen auf die WAN IP zwingend erforderlich.
Es mag aber sein das die Einrichtung des IPsec VPNs diese Ports dynamisch in der FW öffnet wie es bei 1:1 Port Forwarding auch geschieht wenn man es im pfSense Setup zulässt.
Das wäre mal einen Test wert. Ich entferne die Regeln mal und check das.... Feedback kommt.
Bitte warten ..
Mitglied: Valexus
25.02.2016, aktualisiert um 20:47 Uhr
Wir setzen IPsec für unsere Site-to-Site Verbindung zu einer Partner Firma ein und OpenVPN für unseren eigenen Fernzugriff.
Das Bild sollte nur zeigen, dass wir hier nichts für IPsec konfiguriert haben.

Offensichtlich wird hier bei einer bestehenden IPsec Config die Firewall so angepasst, das es funktioniert.

Edit:
Rules are automatically added to the WAN to allow the tunnel to connect, but if the option to disable automatic VPN rules is checked, then manual rules may be required.
https://doc.pfsense.org/index.php/VPN_Capability_IPsec

VG
Val
Bitte warten ..
Mitglied: FA-jka
25.02.2016 um 21:07 Uhr
Duhuuu - unabhängig von unserem Austauch - ich glaube, das hier wird etwas ganz großartiges!
Bitte warten ..
Mitglied: brammer
26.02.2016 um 10:15 Uhr
Hallo

@aqui
Da ist doch wieder mal ein Kompliment fällig!

Super!

brammer
Bitte warten ..
Mitglied: ChriBo
26.02.2016 um 12:13 Uhr
gutes Manual,
imho fehlen einige Hinweise (alles auf der pfSense:
- Interfaces -> LAN -> entferne den Haken bei "Block private Networks"
- erstelle einen Alias RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- [optional] erstelle einen Alias für das Ziel VPN Netzwerk
- erstelle eine Regel auf dem Lan Interface : deny access to RFC1918, setze sie vor den allgemeinen Zugriff ins Internet
- erstelle vor dieser Regel eine Regel z.B: erlaube alles von Lan nach Ziel VPN (bzw Alias).

Ansonsten gibt es keinen Zugriff aus dem Lan zum entfernten VPN.
- optional bei der Regel auf dem IPsec interface bei Source auch den Alias verwenden.

Die expliziten Regeln auf dem WAN Interface (Allow ESP, UDP500 und 4500) sind "good practice".
Wenn vorher explizite deny all Regeln auf dem WAN Interface angelegt waren funktioniert die automatische Regelerstellung nicht ordnungsgemäß

Gruß
CH
Bitte warten ..
Mitglied: aqui
26.02.2016, aktualisiert 02.05.2019
@Valexus
Offensichtlich wird hier bei einer bestehenden IPsec Config die Firewall so angepasst, das es funktioniert.
Du hast Recht. Das Einrichten des VPN erstellt die Regeln automatisch. Danke für den Hinweis !
Die UDP 500, 4500 und ESP Regeln auf dem WAN Port oben können entfallen.

@ChriBo
imho fehlen einige Hinweise (alles auf der pfSense:
- Interfaces -> LAN -> entferne den Haken bei "Block private Networks"
Der ist ja in den Default Einstellungen auf dem LAN Interface gar nicht da. Ist also überflüssig.
- erstelle einen Alias RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
Warum ?? Der Haken bei "Block private Networks hat doch den gleichen Effekt" ?! Ansonsten hast du Recht das es von Vorteil ist mit Aliases zu arbeiten.
- [optional] erstelle einen Alias für das Ziel VPN Netzwerk
Richtig das ist ein sehr guter Tip, erleichtert die Übersicht.
Es überfordert aber ggf. VPN Anfänger hier deshalb wurde darauf erstmal verzichtet.
Erfahrenere User sollten das aber immer machen, keine Frage !
- erstelle eine Regel auf dem Lan Interface : deny access to RFC1918, setze sie vor den allgemeinen Zugriff ins Internet
Kontraproduktiv wenn User mehrere IP Segmente mit RFC 1918 IPs auf der Firewall haben wie Gastnetz, WLAN, Voice usw.
Sollte jeder dann individuell customizen je nachdem in welchem Umfeld die Firewall betrieben wird.
- erstelle vor dieser Regel eine Regel z.B: erlaube alles von Lan nach Ziel VPN (bzw Alias).
Hier gilt gleiches wie oben schon gesagt. Ist individuell nach Design unterschiedlich. Nicht falsch aber das Tutorial verfährt erstmal nach dem Grundsatz keep ist simple stupid um es für Anfänger nicht zu überfrachten.
Ansonsten gibt es keinen Zugriff aus dem Lan zum entfernten VPN.
Doch, wenn man nicht so strike Regeln wie deine obigen installiert und erstmal mit dem Default arbeitet
Wichtig sind nur die Regeln auf dem VPN Interface !
- optional bei der Regel auf dem IPsec interface bei Source auch den Alias verwenden.
Da hast du Recht.
Das ist kosmetisch schöner und gilt allgemein für die Konfig mit Aliases. Siehe oben zum Thema Aliases...
Die expliziten Regeln auf dem WAN Interface (Allow ESP, UDP500 und 4500) sind "good practice".
Wenn vorher explizite deny all Regeln auf dem WAN Interface angelegt waren funktioniert die automatische Regelerstellung nicht ordnungsgemäß
Danke für den Hinweis !!
Das war auch meine Denke und es sieht so in der Tat besser aus, auch wenn der Kollege Valexus oben formal Recht hat.

Dem Rest: Danke für die Blumen. Interessant wären jetzt Konfigs von weiteren IPsec Endgeräten die hier gepostet werden können. PM is your Friend...
Das Tutorial bekommt in loser Reihenfolge noch eine für die FritzBox, Mikrotik Router und den Shrew Client als Dialin.
Bzw. die Kombination der Tunnel untereinander aller obiger Hardware.
Bitte warten ..
Mitglied: the-buccaneer
27.02.2016 um 01:22 Uhr
@aqui: Ich will ein Kind von dir!

Nein, ernsthaft: Wie machst Du das? Es gibt so viele, die das einrichten können, aber nur einen, der das so beschreiben kann!

Kleine Anmerkung: Sollte nicht auf der PfSense bei den IPSec Interface Rules statt: 172.16.7.1/24 stehen 172.16.7.0/24 ?

Die Fritzbox muss da aber auch noch dazu. Es wäre mir eine Ehre, dazu beitragen zu dürfen.

"Keep on rockin'"

Buc
Bitte warten ..
Mitglied: aqui
27.02.2016, aktualisiert 07.05.2016
Sollte nicht auf der PfSense bei den IPSec Interface Rules statt: 172.16.7.1/24 stehen 172.16.7.0/24 ?
Das kommt darauf an was du machen willst...
Deine Regel lässt dann einzig nur Traffic für einen einzigen Rechner sprich Host zu nämlich den mit der .1 als Hostadresse.
Wäre hier fatal, denn das ist der Router. Damit könnte man dann via VPN nur auf den Router zugreifen aber zu keinem anderen Host im Subnetz....
Mit der Angabe aber des gesamten IP Netzes 172.16.7.0/24 (Alle Hostbits sind auf 0) erlaubst du aber die Kommunikation mit allen IP Hostadressen in dem Netz. Das was man ja gemeinhin will.

Oder habe ich jetzt den Fehler gemacht und statt der Netzadresse die Hostadresse konfiguriert...??? Das wäre dann natürlich ein peinlicher Fauxpas. Gleich mal checken... Grrr... tatsächlich !
Shame on me...!!! Freudscher Fehler... Du hast natürlich absolut Recht. Ich werden den Screenshot korrigieren mit der Netzadresse.
Der Gestaltung von Regeln und Zugriffslisten setzt nur die Phantasie Grenzen...
Die Fritzbox muss da aber auch noch dazu. Es wäre mir eine Ehre, dazu beitragen zu dürfen.
Das sehe ich auch so....also her damit.
Das mit dem Kind überleg ich mir nochmal.... Ich denke unter Freibeutern und Piraten erfordert das dazu ne ganze Menge an gutem Karibik Rum. Es sei denn hinter dem Buccaneer verbirgt sich eine Double D Buccaneerette mit blonden Haaren und langen Beinen...
Bitte warten ..
Mitglied: the-buccaneer
28.02.2016 um 07:35 Uhr
ich sags mal mit bob dylan: "it ain't me, babe, no, no, no, it ain't me babe, it ain' me you're lookin' for , babe..." badabadidadum, badadadidadum, dubidum...

und: fasching ist schon vorbei. du wirst leider warten müssen.

die buddel rum ist aber im spiel, wenn du das hinkriegst, die pfsense 2.2.6 mit ner fritzbox 2170 zu connecten!

DD_Buc
Bitte warten ..
Mitglied: aqui
28.02.2016, aktualisiert 03.03.2016
So, mal wieder zurück zu seriöser Netzwerktechnik....!
Hab deinen Thread schon gelesen...keine Sorge
Hier erstmal die Forschungsergebnisse bei der Korrektur des von dir zu Recht angesprochenen Regelfehlers im Tutorial oben auf dem IPsec Interface :

Interessanterweise sind hier keinerlei Regeln erforderlich !
Der VPN Traffic wird auch übertragen ohne jegliche Regel auf diesem Interface. Ein Crosscheck mit einer BLOCK any any Regel die also sämtlichen Traffic blockiert verlief ebenfalls negativ. Die VPNs funktionieren trotzdem.
Als Fazit lässt sich dann daraus ziehen das Regeln auf diesem Interface gänzlich obsolet sind. Ist oben nun auch im Tutorial entsprechend korrigiert.
Was dann der Sinn dieses Interfaces ist bleibt schleierhaft.
Bitte warten ..
Mitglied: aqui
03.03.2016, aktualisiert um 22:09 Uhr
@Christoph-Bochum
Du hast Recht ! Die VPN Firewall Rules auf dem IPsec Interface müssen de facto definiert werden !
Die pfSense cacht die Statetable für eine zeitlang so das gecachte Tunnel auch ohne Regel scheinbar weiter funktionieren.
Rebootet man die Firewall aber ist es aus mit der Tunnel Connectivity ohne Regeln.
Fazit: Die Regeln sind zwingend notwendig und das Tutorial entsprechend upgedatet.

Die FritzBox ist nun integriert mit einem VPN Peer auf den Cisco 886 Router und die pfSense. Die Tunnel waren sofort aktiv.
Wichtig für die FritzBox ist nur zu wissen hier unbedingt 3DES zu aktivieren. Ohne 3DES Support werden die FritzBox VPN Tunnel nicht etabliert.
Mit der aktuellen Firmware Version 6.06 ist die VPN Konfiguration bequem über das Web GUI zu machen.
Spezielle Konfigurationen für das Routen auf mehrere IP Netze über den VPN Tunnel erfordern aber weiterhin das FritzBox Konfig Tool und das Einspielen angepasster VPN FritzBox Konfigs.

Nächster Step ist jetzt ein zweites IP Netz am Cisco zu konfigurieren um mehrere IP netze über den VPN Tunnel zu routen und die Integration zusätzlicher VPN Router wie eines Mikrotik RB2011 und einer Juniper Firewall.
Bitte warten ..
Mitglied: the-buccaneer
08.03.2016 um 01:08 Uhr
Schön, dass nun auch die FB dabei ist.
Die kann aber definitiv AES-256. Auch AES-128 sollte gehen.
Man muss sich bei den Büchsen aber evtl. immer die Mühe machen, das .cfg File händisch zu bearbeiten. Seltsam, dass die GUI offenbar aus Kompatibilitätsgründen nur 3-DES supported. (Es gibt Einstellungen, die beides ermöglichen) Hast du dir die VPN Konfig mal angeschaut? Wenn das File nicht direkt bearbeitbar ist, ist es jedenfalls in der Gesamtkonfiguration einsehbar. Den Link dazu habe ich leider gerade nicht parat, schaue ich aber gerne die Tage noch nach, wenn gefragt.

Wo du grade dabei bist: Bekommst du raus, wie man mit der FB auf virtuelle IP's connected? Das Feature ist da, vollkommen undokumentiert und ich habe es mit dem Kollegen vor ein paar Monaten nicht zum Laufen bekommen...

Keep on rockin'!

Buc
Bitte warten ..
Mitglied: aqui
10.03.2016, aktualisiert um 14:30 Uhr
Die kann aber definitiv AES-256. Auch AES-128 sollte gehen.
Ja, das ist richtig. Klappt auch fehlerfrei.
Ich hatte nur AES 128 gemacht weil die ALIX 2D Mainboards eine dedizierte Crypto Hardware mit an Bord haben die das in Wirespeed machen.
Wenn man diese unter System => Advanced => Misellaneous auf AMD Geode Security block (glxsb) setzt dann limitiert das AES auf 128 Bit, da der Crypto Chip nicht mehr kann.
Wenn man es ausschaltet wären 256 Bit möglich, das passiert dann aber in Software auf der CPU und belastet diese stark bei den 2D Mainboards.
Das war der Grund.
Für das neuere APU1D Board ist das natürlich irrelevant.
Ja, die Phase 2 macht nur 3DES wenn man es nicht manuell spezifiziert. Vermutlich weil der überwiegende Rest der Welt das im Default auch macht. Manche der billigen China Router nur ausschliesslich.
Damit reduziert AVM dann die Support Kosten
Die möglichen Kombinationen sind hier ganz gut aufgelistet:
http://www.computersalat.de/linux/vpn/ipsec-vpn-zwischen-fritzbox-und-l ...
Wenn man die Konfig manuell editiert.

Was du oben ansprichst: Kann man die VPN Konfiguration einsehen die aktuell rennt wenn man das per GUI gemacht hat und nicht mit dem Fernwartungsprogramm ??
Also in dem Stil wie es das Fernzugangs Programm erstellt zum Draufladen.
Auf den Trick bin ich noch nicht gestoßen...

Was genau meinst du mit "auf virtuelle IP's connected?" ???
Virtuelle Ziel IPs für den Tunnel oder welche ??
Bitte warten ..
Mitglied: the-buccaneer
15.03.2016 um 02:16 Uhr
Ich meinte diesen: http://fritz.box/support.lua

Naja, virtuelle IP's eben: FB hat internes Netz 192.168.177.0/24 und virtuelles Netz auf dem VPN von 192.168.99.0/24. Gegenseite hat virtuelles Netz 192.168.99.0/24 und internes Netz 192.168.1.0/24. Wie man das eben für Clients auf der PfSense z.B mit Shrew auch definieren kann. Einfach 2 getrennte Netze.
Nix mehr, nix weniger. Das Feature ist da, aber wie wirds getriggert?

Du könntest das schaffen.

LG
Buc
Bitte warten ..
Mitglied: aqui
19.03.2016, aktualisiert um 12:06 Uhr
Hi Buc
Wenn du ein Netzwerk zwischen den beiden lokalen LANs hast, dann ist das immer ein Indix das die Endgeräte ein Tunnel Interface verwenden also auf dem VPN nochmal ein Tunneling machen.
Meist passiert das mit GRE Tunnels oder sog. IP in IP.
Das hat den Vorteil das man ein dediziertes Interface hat auf dem Router oder Firewall wo man wieder dynamische Routing Protokolle, ACLs usw. anlegen kann.
Viele Admins mögen das deswegen aber einige ncht weil es weiteren Overhead produziert als die rein native IPsec Kopplung wie oben.
Ich wusste nicht das die FB sowas kann aber das im Cisco, Mikrotik oder pfSense anzulegen ist nicht schwer.
Bitte warten ..
Mitglied: the-buccaneer
25.03.2016 um 04:08 Uhr
Och, ich hoffte, dich zu motivieren, das auf der FB zum rennen zu bringen...

Naja, gibt wichtigeres.

Frohe Ostern!

Buc
Bitte warten ..
Mitglied: aqui
25.03.2016 um 20:54 Uhr
Ich versuchs Ostern mal zu checken...
Bitte warten ..
Mitglied: the-buccaneer
08.04.2016 um 00:49 Uhr
und?
ich bin aus dem osterurlaub zurück.
konntest du was virtuelles connecten mit der fb?
lg
buc
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aquiLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Netzwerkgrundlagen

PfSense - Kopplung dreier Netze via OpenVPN

Erfahrungsbericht von FA-jkaNetzwerkgrundlagen

Wer mich kennt weiß, ich lasse nicht locker :-) Ich habe die letzten Wochen eingehend damit verbracht, drei Netze ...

Netzwerke

FritzBox VPN funktioniert zwar, jedoch kein Internetzugriff

Tipp von pelzfruchtNetzwerke1 Kommentar

Moin, Da Ich denke dass der VPN Server der FritzBox für mich reicht, und schneller eingerichtet ist als der ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten

Anleitung von aquiNetzwerke44 Kommentare

Allgemeine Einleitung Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 18 StundenOff Topic13 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic44 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 2 TagenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Off Topic
Europawahl 2019
Information von FrankOff Topic44 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing18 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von FrankOff Topic13 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Server-Hardware
Server Umbau
Frage von cyberworm83Server-Hardware10 Kommentare

Hallo zusammen, ich habe einen 19" Server (HP ProLiant DL160 G6) dieser ist auch super. ABER jetzt meine Frage: ...