webkamer
Goto Top

Routing im VPN mit Fritz!Box und pfSense

Hallo liebe Administratoren,

ich experimentiere gerade mit Routing und VPN zwischen verschiedenen Standorten mit pfSense und Fritz!Boxen. Hier habe ich nun ein paar Fragen und ich
hoffe ihr könnt mir Helfen.

Zu meinem Problem 1:

18deb64705280731c519c2c87bcabb70

Routing im VPN. Das habe ich hier schon aufgebaut und ich bekomme von meinem Netzwerk mit der IP 192.168.40.0/24 verbindung auf das Netzwerk mit der IP 192.168.1.0/24,
aber nicht auf das Netzwerk mit der 192.168.50.0/24 obwohl ich die Router in der pfSense (40.1) unter Remote Networks eingetragen habe. In der pfSense habe ich eine Route zum Netzwerk .50.5/24 und mit dem PC (192.168.1.1) kann ich auf das .50 Netzwerk zugreifen. Nur über den VPN Tunnel will es nicht klappen obwohl eine Route eingetragen ist.
Habt ihr hierzu eine Idee?

Zur 2. Frage:

6abf09f0b0529dfbe5e0f99dea783628

Wenn ich nun mehrere Fritz!Boxen mit dem IPSec VPN Sternförmig an die PfSense anbinde, wie stelle ich dann sicher, dass ich vom Netzwerk 192.168.60.0/24 Zugriff auf das Netzwerk mit der IP 192.168.30.0/24 habe. In der jeweiligen Fritz!Box trage ich das jeweils entfernte Netzwerk in der VPN Config ein, dass die Box weiß, das dieses Netzwerk hintern dem VPN ist. Nur was trage ich in die "Zentrale" pfSense ein?

Ich hoffe meine Ideen sind nicht zu exotisch.
Würde mich über Antworten und Lektüre Links freuen.

Danke und Gruß

Webkamer

Content-Key: 233737

Url: https://administrator.de/contentid/233737

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: orcape
orcape 26.03.2014 aktualisiert um 19:36:37 Uhr
Goto Top
Hi Webkamer,
Sorry, zu Fritten und IPsec habe ich keinen Bezug aber folgendes...
zu Problem 1
Nur über den VPN Tunnel will es nicht klappen obwohl eine Route eingetragen ist.
Normalerweise verbindet man die LAN-Seiten der pfSense mit dem Tunnel.
Da die Tunnel aber über das WAN-Interface laufen und dort Dein Netz 192.168.50.0/24 verbunden ist, müsstest Du da noch entsprechende Firewallrules erstellen.
Ausserdem solltest Du mal den Versuch machen, die Route außer dem Routing Eintrag, zusätzlich zu "pushen".
Wenn Du damit nicht klar kommst, wären Deine Routing Protokolle interessant, ausserdem ist es sinnvoll die Rules mit zu loggen, zumindest bis das ganze klappt.
Gruß orcape
PS: Vielleicht nützt Dir bei Problem 2 ja Aqui´s Tutorial...
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mitglied: aqui
aqui 27.03.2014 um 11:50:46 Uhr
Goto Top
Problem 1:
Das ist kein Routing Problem und hat damit rein gar nix zu tun, sondern ein reines Firewall Problem. Deine pfSense hängt sicher mit dem WAN Port im .50.0er Netz und mit dem LAN Port im .1.0er Netz, richtig ?
2 Dinge sind da zu beachten:
  • Im Default macht die pfSense NAT am WAN Port, du kannst also so nicht transparent routen, da die NAT Firewall das verhindert. Hier musst du mit Port Forwarding arbeiten wenn du einzelne Hosts im 50er Netz erreichen willst oder das NAT ganz deaktivieren bzw. das 50er Netz auf einen anderen Port (OPTx) legen !
  • Zusätzlich ist am WAN Port per Default ein Blocker für RFC 1918 IP Netze (private IPs) aktiv. DEN muss du natürlich in den "Generals Settings" oder in den Firewall Regeln deaktivieren (Haken entfernen), denn sonst werden alle 10er, 172.16-32er und alle 192.168er Netz am WAN Port per se voll geblockt ! Es ist halt eine Firewall !!
Hier müsstest du also zusätzlich auch Hand anlegen !!
Hast du das alles beachtet ?!

Frage 2:
Die Router "kennen" diese Netze da sie beim Verbindungsaufbau bei IPsec gegenseitig bekannt gemacht werden. Der VPN Tunnel verhält sich quasi so wie ein lokales Interface an dem direkt dieses Netz dran ist.
Allein bei der pfSense kommen zusätzlich noch wieder die Firewall Regeln dazu ! Hier musst du aufpassen das du den Zugriff auf diese IP erlaubst denn per Default blockt die pfSense alles als Firewall. Hier gilt es also "Regeln anpassen".
Dieses Tutorial erklärt dir alle IPsec Schritte dazu im Detail:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mitglied: Webkamer
Webkamer 01.04.2014 um 10:25:29 Uhr
Goto Top
Danke aqui für deine Antworten,
Ich habe nun Szenario 1 völlig verworfen und alles jetzt nun so aufgebaut wie in Bild 2:
d.h. alle Clients Sternförmig an die PfSense angebunden:
- Teils mit Fritz!Boxund DynDns
- Teils mit OpenVPN, wenn keine öffentliche IP vorhanden war.

Nun kann jeder Standort auf den Hauptstandort zugreifen, nur nicht untereinander.
D.h. von Standort 192.168.30.0/24 kann nicht auf Standort 192.168.30.0/24 zugegriffen werden.

In der IPSEC config der jeweiligen Fritz!Boxen steht aber die IP adressen des anderen Standortes mit
"permit ip any 192.168.30.0 255.255.255.0"
bzw. "permit ip any 192.168.60.0 255.255.255.0"

Ich denke, dass die PfSense hier den Zugriff nicht erlaubt, nur finde ich es nicht. In den Firewall einstellungen
hab ich schon bei IPSEC eine Rolle mit pass "any" eingetragen.

Hast du eine Idee wo ich da noch was eingeben muss?
Evtl. bei den Phase 2 Einstellungen?

Danke und Gruß

Webkamer
Mitglied: aqui
aqui 02.04.2014 um 19:26:03 Uhr
Goto Top
Nun kann jeder Standort auf den Hauptstandort zugreifen, nur nicht untereinander.
Technisch ist das aber problemlos möglich natürlich. Da hast du vermutlich die Routings vergessen in diese Netze wie so oft hier ?!
In der IPSEC config der jeweiligen Fritz!Boxen steht aber die IP adressen des anderen Standortes mit
Da müsstest du JEDEN Standort eintragen wenn es bei den Niederlassungen eine any zu any Kommunikation geben soll. Wie man das bei den Fritzen richtig einstellt kannst du hier nachlesen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
Ich denke, dass die PfSense hier den Zugriff nicht erlaubt,
Ja, genau das ist ein zweiter Punkt !
Auf den Tunnel Interfaces musst du natürlich die FW Rules anpassen das das erlaubt ist. Sieh sonst immer in das Firewall Log der pfSense dort steht genau was wo geblockt wird.
Vorher immer einmal löschen sonst sieht man viel Müll.
Mitglied: Webkamer
Webkamer 02.04.2014 um 21:31:39 Uhr
Goto Top
Erstmal danke für deine Geduld face-wink

also ich hab JEDEN Standort in der VPN Config als "permit any" eingetragen und dann noch als Route:
z.b. in der Box 192.168.60.1
Ziel 192.168.30.0
Subnetz: 255.255.255.0
Gatway: 192.168.50.1

In der PfSense .50.1 ist in den Firewall rules "pass" mit Protokoll "any" eingetragen. -> Somit sollte doch für dieses Interface die Firewall quasi "aus" sein?

Irgendwas übersehe ich in der pfsense: Evtl. in den Phase 2 Einstellungen des Tunnels:
Dort gebe ich doch "Local Network" -> "Lan Subnet" ein. Muss ich da noch was unter NAT/BINAT eintragen?

Im Firewall Log taucht nichts auf, was darauf deutet dass zwischen den Netzen was geblockt wurde.
Wenn ich am PC (Standort .60) ein Tracert mache, geht das Paket nur bis zum Gateway 192.168.60.1
Klappt die Route an der Fritz!Box nicht?

Besten Gruß
Webkamer
Mitglied: aqui
aqui 03.04.2014 aktualisiert um 09:04:00 Uhr
Goto Top
In der PfSense .50.1 ist in den Firewall rules "pass" mit Protokoll "any" eingetragen.
Mmmhhh, das sagt alles und gar nix ! WAS ist denn dort für eine Source und Destination Adresse eingetragen die durch darf ? Das ist das was zählt. (Zitat)
"After building the tunnel, you will need to add firewall rules (Firewall > Rules, IPsec tab) that govern what traffic is allowed to pass on your VPN tunnels".

Die IPsec Phases haben nichts mit dem Routing zu tun sondern lediglich mit dem Tunnelaufbau. Wenn alle deine IPsec Tunnel sauber aufbebaut sind und funktionieren ist IPsec dann aus dem Schneider !
WAS sagt denn deine Routing Tabelle auf der pfSense ??
Die kannst du dir unter "Diagnostics" ansehen und dort müssen alle Filialnetze aufgeführt sein mit ihren Gateways ! Dann "kennt" die pfSense auch alle dise Netze.
Der Knackpunkt ist vermutlich die Absender IP Adresse, das die pfSense nicht Pakete die eine Filial Source IP haben an andere Filialnetze forwardet, was dann wieder auf ein fehlerhaftes Routing schliessen lässt.
Was sagt denn ein Traceroute -n von Filiale zu Filiale. Wo bleibt das hängen ?
Vielleicht hilft das noch: http://www.youtube.com/watch?v=7txzpGaL4F8
Mitglied: Webkamer
Webkamer 03.04.2014 um 13:10:00 Uhr
Goto Top
So also langsam kommen wir der Sache näher:
Die Remote Netze sind nicht in der Routing Tabelle aufgeführt, aber wer ist der GW für das Routing?
Ich hab ja nicht klassisch durch den IPSEC eine IP im Lokalen Netz, die ich als Gateway verwenden kann.
Wer ist also Gateway für das .30 Netz? Die PfSense mit .50.1 ?
Wenn die nicht in der Routing Tabelle aufgeführt, wie funktioniert dann der Zugriff aus dem .50 Netz zu den Remotestandorten überhaupt?
Ist das durch den IPSEC Tunnel schon Standardmäßig so?