Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN funktioniet nicht mehr

Mitglied: Coachi81

Coachi81 (Level 1) - Jetzt verbinden

12.05.2011 um 11:29 Uhr, 4354 Aufrufe, 10 Kommentare

Hallo,

wir haben seit kurzem ein Problem mit VPN. Und zwar haben wir ein Netzwerk wo pfsense als Firewall und PPPOE Router eingerichtet ist.
Bisher konnte ich mich immer von einem internen Client auf eine entfernte Fritzbox verbinden (mit VPN Client von FAVM). Seit ein paar Tagen
bringt er mir "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden" obwohl die Gegenstelle erreichbar ist (Ping). Andere
Kollegen haben das gleiche Problem mit VPN Verbindungen (zu anderen Gegenstellen), und auch eine PPTP Verbindung baut nicht mehr auf.
Die Firewall ist "eigentlich" so eingestellt das sie alles durchlässt was von innen nach aussen geht, deswegen weiss ich mom. nicht mehr so
recht wo ich noch einhacken könnte. Ich hoff mir kann jemand helfen...

mfg
Mitglied: aqui
12.05.2011 um 12:43 Uhr
Du hast einen Fehler beim Setup der pfSense Firewall gemacht. Von innen nach außen reicht nämlich nicht bei IPsec VPNs wie es die FB verwendet und auch nicht bei PPTP VPNs !!!
Du musst auf dem WAN Interface der pfSense die entsprechenden Ports für IPsec und PPTP auch explizit zulassen denn sonst blockt die Firewall diese denn du nutzt einen Firewall und keinen Router !

Schalte also am WAN
  • UDP 500
  • UDP 4500
  • GRE Protokoll
  • ESP Protokoll
Von any nach any frei und dann klappt das auf Anhieb ! Wenn du nur einmal ins Firewall Log der pfSense gesehen hättest dann hätte sich dieser Thread vermutlich erübrigt. Dort steht nämlich was die pfSense blockt und das sind im mindesten ESP und GRE so das der VPN Tunnel nicht aufgebaut wird !
Bitte warten ..
Mitglied: Coachi81
12.05.2011 um 14:10 Uhr
ok das wusste ich nicht, hab gedacht damit ist alles frei, zumindest von innen nach aussen. Hab jetzt die Ports und Protokolle mal zusätzlich freigeschaltet aber leider bekommen wir immer noch den gleichen Fehler. Die Firewall Logs zeigen nichts an, obwohl das Häckchen in der Regel gesetzt ist das er mitlogen soll.
Irgendwo hab ich wohl noch einen Fehler, was könnte denn noch sein? Hab noch zusätzlich den TCP port 10000 freigeschalten aber das wars auch nicht
Bitte warten ..
Mitglied: Coachi81
12.05.2011 um 19:21 Uhr
Ach ja, wie ist denn das gemeint das ich einen Firewall nutze und keinen Router? Die pfSense ist in meinem Fall beides denn die Einwahl ins Inet, Nat... macht sie ja auch. Dahinter ist nur noch ein reines DSL Modem zum Internet.

Wieso müssen denn die Ports und Protokolle am WAN freigeschalten werden und nicht am LAN? Ist glaub ich ne blöde Frage aber ich versteh grad nicht den Unterschied zu "normalen" Regeln die ja alle das LAN Interface betreffen
Bitte warten ..
Mitglied: aqui
13.05.2011 um 09:49 Uhr
Der LAN Port ist ja offen wie du selber unschwer in den Firewall regeln zum LAN sehen kannst. IPsec und PPTP eröffnen dir aber vom Server einen GRE Tunnel (PPTP) oder einen ESP Tunnel (IPsec).
Der kommt nun am WAN Port an und wird dort geblockt, denn am WAN Port ist per default alles geblockt wie sich das gehört für eine FW. Deshalb musst du für GRE und ESP diese Ausnahme einrichten.
Bitte warten ..
Mitglied: Coachi81
13.05.2011 um 10:55 Uhr
Es hat sich mittlerweile herausgestellt das eine VPN Gegenstelle (IPSEC) ein Problem hatte und bei meinen Kollegen, die PPTP nutzen scheint es so zu sein dass das Load Balancing das wir auch noch eingerichtet haben ein Problem macht. Anscheindend kann man sich nur jedes zweite oder dritte mal zur Gegenstelle verbinden. Also hab gedacht eine DSL Leitung hat ein Problem, ist aber nicht so, wenn ich mir eine DSL Leitung fest zuweise funktioniert PPTP ohne Probleme. Nur über Load Balancing geht es nicht immer.
Hab an der Firewall mal bisschen rumgespielt und rausgefunden das es vollkommen egal ist welche Freischaltungen ich mach, es funktioniert grundsätzlich ohne "TCP 1723, UDP 500..." nur nicht bei PPTP bzw. da nur jedes 2te oder 3te mal. Naja, ich könnte es mir jetzt leicht machen und den entsprechenden Clients einfach eine festen DSL Leitung zuweisen quasi ohne Load Balancing aber mich würde interessieren wo die Ursache ist. Die Firewall zeigt im Log keine blockierten Ports an.
Hat jemand eine Idee was da noch sein könnte?

mfg
Bitte warten ..
Mitglied: aqui
13.05.2011 um 16:08 Uhr
IPsec oder GRE kann man nur Session basierend Load Balancen ! Darauf solltest du achten. Per Packet Round Robin ist nicht möglich !
Bitte warten ..
Mitglied: Coachi81
13.05.2011 um 16:33 Uhr
Ok, hab mir schon sowas gedacht. IPSEC funktioniert anscheinend, es geht tatsächlich nur um PPTP. Hab jetzt schon versucht das ich nur die Protokolle und Ports für PPTP immer über eine DSL Leitung laufen lass und nur der "Rest" läuft übers Load Balancing. Leider bisher ohne Erfolg. Vielleicht weiss ja noch einer was... ansonsten muss ich es leider echt so machen das ich Reservierungen für die PC`s mach die das brauchen und diese über "feste" DSL Leitungen laufen lass, das wär aber nur die zweitbeste Möglichkeit

Oder gibts da vielleicht einen Trick um das ganze sessionbasierend zu machen?
Bitte warten ..
Mitglied: aqui
13.05.2011 um 17:35 Uhr
Ggf. solltest du die pfSense mal rebooten. GRE hat keine Portnummern sondern nur Session IDs. Wenn diese alten noch im Cache stehen (Um GRE Sessions über NAT zu bringen müssen die Session ID zu lokalen IP Adressen gecacht werden !) blockieren die ggf. den Timeout und es können keine weiteren GRE Session mehr passieren.
Zur Sicherheit also mal rebooten um den Cache sicher zu löschen und dann den Test wiederholen.
Bitte warten ..
Mitglied: Coachi81
16.05.2011 um 08:26 Uhr
Ich hab heut den Test mal mit Reboot von pfSense gemacht, doch es ist das gleiche Problem. Hier meine Regeln am LAN Interface.

GRE 192.168.2.1 * * * W2 failed to W1

TCP 192.168.2.1 1723 (PPTP) * * W2 failed to W1

Was könnte das denn noch für ein Problem sein?
Bitte warten ..
Mitglied: Coachi81
20.05.2011 um 14:45 Uhr
Ich hab jetzt rausgefunden wo der Fehler lag. Und zwar muss in der Firewall bei den Regeln der Port 1723 nicht die Quelle sein sondern das Ziel
dann funktionierts auch
Bitte warten ..
Ähnliche Inhalte
Datenbanken

Formular funktioniet nicht nach Sql Table Import

gelöst Frage von Dr.CornwallisDatenbanken

Liebe Gemeinde, in unserer Firma arbeiten wir mit Access Datenbanken, wo das Backend auf einem Netzlaufwerk liegt. Jetzt hatte ...

Cluster

VPN - Aber wie?

gelöst Frage von schneerunzelCluster5 Kommentare

Hallo zusammen. . ich brauch eine neue Lösung für VPN Verbindungen von Clients zum RZ Standort. Leider bin ich ...

LAN, WAN, Wireless

Ein VPN im VPN aufbauen

Frage von MasterSchlumpfLAN, WAN, Wireless3 Kommentare

Hallo Freunde, ich habe eine Frage. Welchern Ausgangsort habe ich, wenn ich von meinem PC aus 2 VPN Verbindungen. ...

Microsoft

VPN Client mit VPN Server

Frage von FengShuiMicrosoft5 Kommentare

Hallo zusammen, in diesem Forum habe ich vieles gelesen mit der VPN Einrichtung über den Router und sonstige VPN ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement12 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing10 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...