comtel
Goto Top

PfSense IPsec Unitymedia

Hallo,

Ich habe eine pfSense Installation auf einem PC Engines APU1D4 Board laufen.
Internetanbieter ist Unitymedia Business IPv4 (Feste IP)

Unter WAN habe ich diese IPv4 Adresse eingetragen und habe als Gateway die IPv4 Adresse der Fritz!Box 6360 angegeben.
Als Subnet habe ich 255.255.255.252 (30) eingetragen. (Wie Unitymedia mir schriftlich mitteilte)

Die Internetverbindung klappt, lokales Netz läuft auch sauber.

Nun habe ich IPsec VPN für den Mobile Zugriff aktiviert (Wie auch bei fast jeder xDSL PPPoE Installation)
daraufhin habe ich dann noch OpenVPN aktiviert.

Regeln in der Firewall angepasst und dann einen Test vom iPhone aus gestartet (Über das LTE Netz)

OpenVPN klappte sofort und ich bin sowohl im lokalen Netz und komme auch über die Verbindung ins Internet, perfekt.
Dann habe ich die IPsec auf dem iPhone eingerichtet, Verbindung steht, nur ich komme darüber weder auf die pfSense IP noch in ein anderes Netz.
Ich habe daraufhin alles überprüft, keinen Fehler entdeckt.

Ich habe dann die WAN mit einem DSL6000 Anschluss verbunden und die PPPoE Zugangsdaten eingetragen, siehe da IPsec klappt sofort und OpenVPN sowieso.

Kann mir jemand einen Tipp geben, warum es gerade mit dem Unitymedia-Anschluss solch ein Problem geben kann?

Content-Key: 284623

Url: https://administrator.de/contentid/284623

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: comtel
comtel 04.10.2015 um 18:02:19 Uhr
Goto Top
Habe nur eine IPv4 bestellt.
Mitglied: aqui
aqui 05.10.2015 aktualisiert um 09:29:11 Uhr
Goto Top
Unitymedia nutzt wie viele Kabel TV Provider DS-Lite. Sprich also ein IPv6 Netz mit zentralem Provider Tunneling der IPv4 Adressen und zentralem NAT beim Provider.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_.28DS-Lite.29
Damit scheitern dann sofort alle VPN Protokolle die immer ein statisches Port Forwarding erfordern um einen NAT Router zu überwinden.
Da das durch das zentralisierte NAT beim Provider dann nicht mehr möglich ist technsich, scheitern alle VPN Versuche an solchen Anschlüssen.
Ist ein bekanntes Problem !
Es gibt aber ein Workaround:
DS-Lite IPv6 Geräte im Heimnetz über VPN erreichbar machen
Oder eben feste statische IPv4 Adressen vom Provider, was aber in der Regel bei DS-Lite Providern immer kostenpflichtig ist sofern überhaupt möglich.
Mitglied: comtel
comtel 05.10.2015 um 09:49:14 Uhr
Goto Top
Hallo aqui,
danke für deine Antwort.
Ich habe kein DS-Lite!
Ich habe einen Unitymedia Business Anschluss mit echter Fester IPv4 Adresse!
Ich komme mit der OpenVPN Verbindung auch auf die pfSense.
LG
Mitglied: aqui
aqui 05.10.2015 aktualisiert um 10:04:14 Uhr
Goto Top
Dann ist ja alles gut ! Wo ist denn jetzt noch das Problem ?
Klar ist wenn an einem anderen Provider Anschluss IPsec fehlerlos funktioniert, das dein Provider dann zu 98% ESP filtert. Nicht unüblich bei Providern die das nur etwas teureren Business Anschlüssen vorbehalten.
Du kannst das ja auch ganz schnell verifizieren wenn du über die Packet Sniffer Funktion unter "Diagnostics" einmal ESP und oder UDP 500 und 4500 mittraced. Kommt das bei DSL an aber bei identischer Konfig bei Unitymedia nicht ist die Sache klar !
Möglich wäre auch noch das das vermeintliche Modem vor der pfSense beim KabelTV Anbieter kein Modem ist sondern ein NAT Router und du die IPsec Ports UDP 500, 4500 und das ESP protokoll dort noch explizit forwarden musst ?!
Da die pfSense ja kein Modem hat muss ja noch irgendwas "davor" sein zu dem du ja recht wenig Infos lieferst face-sad

Die o.a. FritzBox ist ja de facto KEIN reines Modem sondern ein vollständiger Router !! Ohne ein Port Forwarding von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die lokale IP Adresse des pfSense WAN Ports geht da dann gar nichts. Logisch, denn ohne PFW kann die NAT Firewall der FB nicht überwunden werden.
Guckst du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mitglied: comtel
comtel 05.10.2015 um 11:40:16 Uhr
Goto Top
Bei Unitymedia wird die besagte Fritz!Box nur noch als Kabel-Modem benutzt. Es wird alles 1zu1 an die pfSense übergeben.
Ich hatte vorher eine Zywall Firewall (USG100) an dem Anschluss hier klappte die IPsec und L2TP auch. OpenVPN klappt auch ohne probleme.
Ich denke auch das es an dem UM-Anschluss liegt, nur wie gerade beschrieben finde ich es etwas seltsam.

Das Kabel-Modem (Fritz!Box) bekommt bei UM im Business bereich eine Feste IP z.B. 130.188.67.23 dann hat man die IP 130.188.67.24 für seine Firewall, diese IP ist dann direkt und (ohne) Filter aktiv.
Glücklich bin ich mit UM auch nicht, aber leider ist hier sonst nur DSL6000 möglich.... face-sad
Mitglied: comtel
comtel 05.10.2015 um 12:53:05 Uhr
Goto Top
Die Kollegen vom pfSense Forum haben einen Tipp gegeben.
Es liegt wohl an iOS 9

Link zu pfSense Support Forum: Link

Apple: Link
Mitglied: aqui
aqui 05.10.2015 um 16:47:28 Uhr
Goto Top
Möglich, denn die erzwingen TLS 1.2
Mitglied: the-buccaneer
the-buccaneer 05.10.2015 aktualisiert um 22:11:47 Uhr
Goto Top
Danke für die Links!
Das ist ja ein spannendes Thema und ich kann wohl von Glück reden, dass meine Unitymedia Kunden keine mobilen Apples hatten...

Kann jemand erklären, was der Hintergrund sein könnte, dass Unitymedia ALLE Pakete mit ECN Flag 0x3 ausstattet?
Soweit ich mich eben kurz eingelesen habe, sollte das standardmässig auf 0x0 stehen und nur bei Verstopfung ("congestion") vom jeweiligen Router auf 0x3 gesetzt werden um zeitaufwendigere retransmits zu vermeiden (?)
Alles war mir einfällt, wäre ein Trick seitens Unitymedia um bei hohen Latenzzeiten schnellere Verbindungen zu bekommen, da ECM die Retransmits vermeiden kann.

@aqui: Du bist doch da der Fachmann. face-wink

Das Problem besteht seit min. 2008!

Das Problem wird sich wohl nur lösen lassen, wenn einer von beiden sich bewegt. Entweder impementiert UM das Protokoll wie vorgesehen (aber hallo!) oder Apple bietet die Möglichkeit das zu ignorieren.

Ich befürchte, dass alle IPSEC-VPN Verbindungen mit Unitymedia nur funktionieren, weil beide Endpunkte die nicht vorhandene aber grunsätzlich gesetzte Verstopfung des Unitymedia Netzes ignorieren.

Da das ein Businessanschluss ist, würde ich versuchen, Kontakt zum zuständigen Regionalbetreuer von UM aufzunehmen, da das deine einzige Verbindung nach "weiter oben" ist. Die wollen sehr gerne die Business-Kunden aber ich befürchte, dass deren Netz zusammenbricht, wenn die das Flag nicht mehr setzen. Aber wer weiss. Evtl. gibt es eine Info ob und wie daran gearbeitet wird.

Ich habe in der Richtung noch nie etwas unternommen, könnte mir aber auch vorstellen, dass die Bundesnetzagentur ein Interesse daran hat, dass Protokolle von den ISP's halbwegs standardkonform eingesetzt werden... Das scheint hier nicht der Fall zu sein.

Ansonsten: Mein ehrliches herzliches Beileid, Da macht der Job so richtig Spass. face-wink (siehe mein ewiges "VPN-mit der-Fritzbox-Leid" bei KD)

Buc
Mitglied: comtel
comtel 06.10.2015 um 07:21:19 Uhr
Goto Top
Unitymedia interessiert es nicht wirklich. Die sitzen die Probleme aus und kümmern sich nicht!
Da steht zwar Business "dran" ist es aber nicht wirklich. IPv4 wird aber leider nur noch so offiziell vermarktet.
Ich sage immer, wenn es läuft, läuft es face-smile Wenn nicht, Pech gehabt face-wink
Da habe ich jetzt wohl Pech gehabt.

Ich finde es nur sehr ärgerlich, da es einfach nur zeit kostet bezüglich der Fehlersuche....

Unter iOS 8.4.1 funktioniert es, hatte es gestern noch mit einem iPhone testen können.

Was ich jetzt noch mit iOS 9 / 9.1 Testen möchte ist L2TP. Muss ich allerdings noch an der pfSense einrichten.
Mitglied: aqui
aqui 06.10.2015 um 19:38:59 Uhr
Goto Top
Warum Unitymedia das macht weis wohl nur der Wind. Völlig unsinnig ist es ja ECN auf 0x03 zu setzen was ja eine de facto Congestion signalisiert auch wenn keine vorhanden ist. Sinniger wäre da 01 oder 02 so das es negotatable ist.
Ist so oder so sinnfrei da keiner das wirklich ausnutzt im Endkundebereich. Dort hätte man es auf alle Fälle wieder löschen sollen.
Na ja egal..wird man wohl nie erfahren was die geritten hat.
Aber das Apple iOS (und auch andere wie Cisco) da dann auch mit einem Forwarding Stop antwortet ist verwunderlich.
Na ja bleibt wohl für gebeutelete Unitymedia Kunden nur warten...oder den provider wechseln um das final zu lösen face-wink