carstenkl
Goto Top

Pfsense: IPsec erfolgreicher Verbindungsaufbau aber kein Ping oder dergleichen möglich

Hallo,
ich habe auf meiner PFsense (2.3.2) versucht IPsec nach dieser Anleitung einzurichten.
http://www.thegeekpub.com/5855/pfsense-road-warrior-ipsec-config-works/

Hintergrund ist, dass ich auf die Infrastruktur zugreifen will, aber auch über den VPN ins Netz will.

Jetzt ist es so, dass ich es bisher nur übers Handy testen konnte, dort wird die Verbindung auch scheinbar aufgebaut, was auch die Ansicht in der pfsense bestätigt (Status > IPsec => Overview.

Dem Client (Handy) wird auch eine entsprechende IP zugewiesen, ich erreiche allerdings keine Server innerhalb des Netzes, weder durch ein Ping noch durch Aufruf im Browser.

Hat hier vielleicht noch jemand eine Idee?
Es scheint nur eine Kleinigkeit zu fehlen.

Danke und Gruß
firewall_rules
mobile_t1
ipsec_rules
status_vpn_overview
phase2_t1
phase1_t2
phase2_t2

Content-Key: 324907

Url: https://administrator.de/contentid/324907

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: michi1983
michi1983 27.12.2016 um 16:38:51 Uhr
Goto Top
Hallo,

die IPSec Rules wären interessant face-wink

Gruß
Mitglied: CarstenKl
CarstenKl 27.12.2016 um 16:46:27 Uhr
Goto Top
Danke, hab ich gerade ergänzt oben.
Temporär ist da ein allow all drin.
Mitglied: transocean
transocean 27.12.2016 um 17:15:03 Uhr
Goto Top
Moin,

schau Dir das mal an.

Gruß

Uwe
Mitglied: CarstenKl
CarstenKl 27.12.2016 um 17:24:48 Uhr
Goto Top
Hallo Uwe,
danke für den Hinweis, die Systeme dich ich hier versuche anzupingen kann ich aus dem lokalen Netz anpingen oder auch per http/https erreichen. Das ist hier nicht der Fall, obwohl die IPsec Regel es meiner Ansicht nach erlauben sollte.

Bei den Systemen die ich versucht habe handelt es sich um Ubuntu 16.04/14.04 Server bzw. die Firewall.
Mitglied: ChriBo
Lösung ChriBo 27.12.2016 um 17:33:50 Uhr
Goto Top
Hi,
der Fehler liegt in Phase 2 (network): 0.0.0.0/24.

CH
Mitglied: CarstenKl
CarstenKl 27.12.2016 um 17:47:29 Uhr
Goto Top
Hi CH,
du hast Recht, wenn ich dort mein lan auswähle klappt es, allerdings erreiche ich dann nur die Maschinen im lan, kann aber nicht durch den VPN ins Internet, was mir wichtig ist.

In der Anleitung ist dies auch exakt so beschrieben, dass man so nur ins lan kommt, wenn man dort das lokale Netzwerk auswählt. Aus diesem Grund sollte dort 0.0.0.0 gesetzt werden.

Vielleicht noch jemand eine Idee, wie dieses Ziel noch zu erreichen ist?
Mitglied: 131381
Lösung 131381 27.12.2016 aktualisiert um 19:17:55 Uhr
Goto Top
Zitat von @CarstenKl:

Hi CH,
du hast Recht, wenn ich dort mein lan auswähle klappt es, allerdings erreiche ich dann nur die Maschinen im lan, kann aber nicht durch den VPN ins Internet, was mir wichtig ist.

Dazu legst du das Default-Gateway des Clients auf den Tunnel.
Und wenn, muss dort 0.0.0.0/0 stehen keine 24er Maske! Oder stelle es auf None, das bewirkt das gleiche.

Stelle ebenfalls sicher das das VPN-Subnetz in der Firewall auf die WAN-Adresse der PFsense geNATet wird (SRC-NAT)! Firewall->NAT. Ohne das werden die VPN-Clients aus Prinzip nicht ins Internet kommen!

Gruß mik
Mitglied: ChriBo
Lösung ChriBo 27.12.2016 um 19:12:14 Uhr
Goto Top
Hi,
nimm mal 0.0.0.0/0 anstelle von 0.0.0.0/24

CH
Mitglied: CarstenKl
CarstenKl 28.12.2016 aktualisiert um 12:57:23 Uhr
Goto Top
Das sieht jetzt soweit ganz gut (dank der Anpassung der Maske) aus, ich komme ins interne Netz und auch darüber wieder raus (Aufruf von Seiten über IP oder die im DNS-Cache des Handy's vorhanden sind).
Allerdings funktioniert die DNS-Auflösung leider noch nicht, der DNS-Server den ich konfiguriert habe existiert im LAN, laut IPsec FW-Regeln sollte er auch dort hinkommen (siehe oben). Unter DNS-Resolver stehen die Network Interfaces auf "All".

Testweise habe ich auch einen der Google-DNS Server ausprobiert, hier zeigte sich allerdings keine Besserung.

Hat hier vielleicht noch jemand eine Idee?

Vielleicht liegt auch hier das Problem, habe dies so nicht gefunden.
"Stelle ebenfalls sicher das das VPN-Subnetz in der Firewall auf die WAN-Adresse der PFsense geNATet wird (SRC-NAT)! Firewall->NAT. Ohne das werden die VPN-Clients aus Prinzip nicht ins Internet kommen!
"
firewall_nat_outbound
Mitglied: aqui
aqui 28.12.2016 um 14:53:23 Uhr
Goto Top