Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense 2.2 LT2P IPSec Verbindung wird aufgebaut aber kein Zugriff auf das lokale Netz möglich

Frage Sicherheit Firewall

Mitglied: 12ha34

12ha34 (Level 1) - Jetzt verbinden

25.02.2015 um 15:12 Uhr, 1806 Aufrufe, 11 Kommentare

Hallo,

ich möchte mein Netzwerk umbauen und anstelle des jetzigen DSL Routers eine pfSense einsetzten, wie es aqui hier
(Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät) im Forum beschrieben hat.Ich habe mir eine kleine Testumgebung aufgebaut siehe Bild und auch einiges testen können. Aus dem LAN habe ich über die pfSense Zugriff auf WAN und Internet. FW-Regel greifen und ich kann vieles so einstellen wie ich es mir vorstelle.

8d823d85f6a531f7d7ffc67cbd3e52c8 - Klicke auf das Bild, um es zu vergrößern

Die pfSense ist so konfiguriert
(LAN IP Adressbereiche hinter der pfSense sind für VPN noch nicht optimal und werden produktiv geändert!):
WAN: 192.168.2.38 DHCP
LAN: 192.168.0.10 Static

PC im LAN 192.168.0.10

Zugriff soll über einen PC erfolgen der im "WAN" mit der IP 192.168.2.43 steh und L2TP/IPSec benutzt. Ich möchte später von außen auf das lokale Netz zugreifen oder auch via VPN Tunnel über das interne LAN - Interface (hier 192.168.0.1) die pfSense konfigurieren. Ich habe die L2TP / IPSec Verbindung laut dieser Anleitung konfiguriert https://doc.pfsense.org/index.php/L2TP/IPsec#Outbound_NAT

Die Verbindung stelle ich mit WIN7 Boardmitteln her. Die Einwahl klappt und ich sehe auch in der pfSense das die IPSec Verbindung steht. Ein Zugriff auf das interne Netz oder auf die webConfig der pfSense über das LAN-Interface ist nicht möglich. Ich vermute das noch irgendeine Regel fehlt oder ich noch irgendwelche Routen eintragen muss? Weiß aber hier nicht so recht weiter und brauche an dieser Stelle Eure Hilfe.

folgende Settings habe ich gemacht
pfSens Settings
L2TP:
168f70f54c50e7f0ef76bc2f9815f30b - Klicke auf das Bild, um es zu vergrößern

Ich habe hier auch schon getestet ob man als Remote Adress Range das lokale Subnetz al la 192.168.0.128/25 funktioniert. Einen Ping auf den LAN IP der pfSense habe ich bekommen aber kein Zugriff auf das webInterface. Bin mir an der Stelle auch unsicher ob man das überhaupt so machen darf/muss.

Phase1:
131a0ebee4539e6aa9d46979cddbfc0d - Klicke auf das Bild, um es zu vergrößern

Phase2:
6f34c14e1539e7c0c8e5bbf393d4c4ef - Klicke auf das Bild, um es zu vergrößern

MobilClient (Verbindung von WIN7 funktioniert):
23f9fc710733aa56489e6a6ae447d7ae - Klicke auf das Bild, um es zu vergrößern

Folgende Einstellung habe ich aus lauter Verzweiflung noch getestet die aber keine Verbindung zulässt:
86df9fe52fe0efc78edf13d15ff77a68 - Klicke auf das Bild, um es zu vergrößern

Ich hoffe ihr könnt mir helfen und ich habe mich einigermaßen verständlich Ausgedrückt und keine Verwirrung gestiftet.

Grüße
Mitglied: orcape
26.02.2015 um 08:41 Uhr
Hi,
Ich vermute das noch irgendeine Regel fehlt
Dem wird wohl so sein..
Hast Du denn für das WAN-Interface und das IPSec-Interface entsprechende Rules erstellt, die einen Zugriff ins LAN erlauben ?
Dann lies Dir das mal durch.....
http://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
...unter der Rubrik...
Anpassen der pfSense Firewall Regeln f. VPN und spez. Client Parameter
...findest Du, was Du suchst.
Gruß orcape
Bitte warten ..
Mitglied: 12ha34
26.02.2015 um 19:25 Uhr
Hi,
danke für die Antwort. Die Firewallrules hatte ich bereits gesetzt. Die Verbindung kommt ja zustande aber eben kein Zugriff auf das 192.168.0.0/24 Netz. Wenn ich per L2TP/IPSEC verbunden bin kann ich die pfsense auf der VPN Remote Server IP pingen und erhalte eine Antwort von 192.168.195.1. Der VPN Adapter in Win7 erhält auch aus diesem Netz eine IP (192.168.195.128), also die erste aus dem festgelegten Bereich. Nur geht es eben nicht weiter ins andere lokale Netzt, daher meine Vermutung das ich irgendwo eine NAT Regel oder eine Gateway Eintrag vergessen habe.
Ich hab unten noch Bilder mit den Firewallrules WAN, IPSEC und L2TP angehangen.

Danke und Grüße

WAN Rules
0c1d6602d5662e0120d577729f99397d - Klicke auf das Bild, um es zu vergrößern

L2TP Rules
505a46847110f4ddbfcf66d00a534aa7 - Klicke auf das Bild, um es zu vergrößern

IPSEC Rules
886a864d9a4b9208c49aebaeef75d29d - Klicke auf das Bild, um es zu vergrößern

IPSEC Staus nach Verbindungsaufbau
d9bdb3e7a061cdb1edb2b5ee219a04fe - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
26.02.2015 um 21:26 Uhr
UDP 1701 fehlt bei dir in den L2TP Ports !
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Hier noch ein paar Tips
https://blog.andregasser.net/how-to-configure-ipsec-vpn-on-pfsense-for-u ...
Du solltest aber auch das lesen:
https://redmine.pfsense.org/issues/475
Alle Versionen vor der 2.2 konnten KEIN MS spezifisches L2TP sondern nur das was rein auf ESP basiert und mit den meisten Smartphones und Linux funktionierte aber nicht mit den onboard Windows Clients.
Das mag sich ab 2.2 geändert haben und müsstest du mal sicher recherchieren.
Bitte warten ..
Mitglied: 12ha34
26.02.2015 um 21:37 Uhr
Hi aqui,

Danke, werde die entsprechende Regel für den Port noch dazutun und testen. Beim recherchieren bin ich auch im pfsense Wiki unterwegs gewesen, aber auch da wird von dem Problem gesprochen, Aufbau ja aber kein Zugriff auf das lokale Netz auch mit der Version 2.2.
Wenn die Portregel auch nicht fruchtet steige ich auf openVPN um.

Grüße
Bitte warten ..
Mitglied: aqui
26.02.2015 um 23:00 Uhr
Ist eh der bessere Weg, da ein SSL basierendes VPN
Alternative wäre noch IPsec mit dem Shrew Client aber OpenVPN ist da einfacher zu managene.
http://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Bitte warten ..
Mitglied: 12ha34
26.02.2015, aktualisiert um 23:08 Uhr
Eintrag von Port 1701 brachte für mein Problem auch nichts. OpenVPN ging hingegen dem Wizard und dem Package "OpenVPN Client Export" auf Anhieb, ein Zugriff von Windows und Android auf das Webinterfase via VPN klappte ohne Probleme.

Mal sehen wie viel Lust ich noch zu weiteren Tests habe.



Grüße und Danke

@aqui, Deine Antwort hat sich gerade überschnitten, Shrew Soft Client hatte ich schon installiert aber noch nicht konfiguriert. Ich werde mir auf jeden Fall den Link noch einmal zu Gemüte führen. Mal sehen wann ich dazu komme, am WE kommt die Hardware (APU Board) zu pfsense

Also Danke noch mal
Bitte warten ..
Mitglied: aqui
26.02.2015 um 23:08 Uhr
Bleib bei OVPN...ist das einfachste.
Bitte warten ..
Mitglied: 12ha34
26.02.2015 um 23:21 Uhr
Mache ich... Danke!
Bitte warten ..
Mitglied: michi1983
06.03.2015, aktualisiert um 13:34 Uhr
Hallo 12ha34,

bist du dir 100% sicher, dass du eine Verbindung mit diesen Einstellungen herstellen kannst?
Also findet ein l2tp Login statt?

Ich versuche seit tagen eine Verbindung mit IPSec/L2TP auf der PfSense mit was auch immer (OSx, Android, Windows 8.1) her zu bekommen, aber nichts funktioniert.

Die IPSec Verbindung findet zwar statt (laut ipsec log auf der pfsense.) Aber wenn ich die mit dem Beispiellog von der pfsense Seite hier vergleiche, wird das L2TP Interface einfach nicht aktiviert.

01.
charon: 12[NET] received packet: from 77.119.133.116[25361] to 212.108.44.53[4500] (348 bytes) 
02.
charon: 12[ENC] parsed QUICK_MODE request 3030104493 [ HASH SA No ID ID ] 
03.
charon: 12[IKE] <con1|2> received 28800s lifetime, configured 3600s 
04.
charon: 12[IKE] received 28800s lifetime, configured 3600s 
05.
charon: 12[ENC] generating QUICK_MODE response 3030104493 [ HASH SA No ID ID NAT-OA NAT-OA ] 
06.
charon: 12[NET] sending packet: from 212.108.44.53[4500] to 77.119.133.116[25361] (204 bytes) 
07.
charon: 12[NET] received packet: from 77.119.133.116[25361] to 212.108.44.53[4500] (76 bytes) 
08.
charon: 12[ENC] parsed QUICK_MODE request 3030104493 [ HASH ] 
09.
charon: 12[IKE] <con1|2> CHILD_SA con1{1} established with SPIs c54db5d1_i 01bf6250_o and TS 212.108.44.53/32|/0[udp/l2f] === 77.119.133.116/32|/0[udp] 
10.
charon: 12[IKE] CHILD_SA con1{1} established with SPIs c54db5d1_i 01bf6250_o and TS 212.108.44.53/32|/0[udp/l2f] === 77.119.133.116/32|/0[udp]
aber die Logs auf vpn Seite -> l2tp raw bleiben bei

01.
l2tps: Label 'startup' not found 
02.
l2tps: [l2tp0] using interface l2tp0 
03.
l2tps: [l2tp1] using interface l2tp1 
04.
l2tps: [l2tp2] using interface l2tp2 
05.
l2tps: [l2tp3] using interface l2tp3 
06.
l2tps: [l2tp4] using interface l2tp4 
07.
l2tps: [l2tp5] using interface l2tp5 
08.
l2tps: L2TP: waiting for connection on 0.0.0.0 1701
stehen und die Verbindung wird nicht zu Ende aufgebaut.

Ich habe OpenVPN bereits zum laufen gebracht aber hätte aus komfortechnischen (Onboard Mittel) Gründen gerne eine IPSec/L2TP Verbindung zum laufen gebracht.

Was mich auch irritiert ist, dass ich es bei einem Ubuntu 14.04 Server bereits am laufen habe, da war das auch kein Problem.
Ich kenne mich leider mit der Materie zu wenig aus um rausfinden zu können an welchem Punkt genau die Verbindung scheitert.

Beste Grüße
Bitte warten ..
Mitglied: aqui
06.03.2015 um 19:00 Uhr
her zu bekommen, aber nichts funktioniert.
Bis zur Version 2.1 war das auch klar und erwartbar, da pfSense nur RAW L2TP supportet nicht aber die Variante mit IPsec und ESP !
https://redmine.pfsense.org/issues/475
Ob das nun wirklich in der aktuellen 2.2 möglich ist die kein racoon mehr verwendet ist aus den pfSense Dokus nicht ganz klar....jedenfalls hab ich nix eindeutiges dazu gefunden ?!
Vielleicht mal eine Forumsfrage dort wert ?!
Bitte warten ..
Mitglied: orcape
06.03.2015 um 19:25 Uhr
Ich habe OpenVPN bereits zum laufen gebracht aber hätte aus komfortechnischen (Onboard Mittel) Gründen gerne eine
IPSec/L2TP Verbindung zum laufen gebracht.
...OpenVPN ist absolut kein Thema.
Bei IPSec/L2TP scheint es nach dem Upgrade auf 2.2 massiv Probleme zu geben, was auch einigen Threads im pfSense -Forum zu entnehmen ist.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...