Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PFSense IPSec VPN - Tunnel enabled jedoch kein Ping ins Netzwerk

Frage Sicherheit Firewall

Mitglied: MisterIX

MisterIX (Level 1) - Jetzt verbinden

18.08.2014, aktualisiert 15:06 Uhr, 5124 Aufrufe, 17 Kommentare

Sehr geehrte Administratoren und Administratorinnen,

ich versuche zur Zeit eine VPN-Verbindung auf mein Arbeitsplatznetzwerk zu konfigurieren. Ausgangsbasis ist dabei eine PFSense V2.1.4 sowie der Shrewsoft VPN-Client.

Ich habe mich an diese Anleitung gehalten um zunächst einen funktionierenden Tunnel zu erhalten:

doc.pfsense.org

Dies funktioniert soweit auch, dass der Tunnel erfolgreich etabliert wird und ich meinen Client sogar von der PFSense aus anpingen kann.

Allerdings kann ich keinen erfolgreichen Ping in mein Netzwerk ausführen, obwohl ich auch in den Firewallrules eingetragen habe, dass der IPSec Bereich Zugriff hat.

Die Adressvergabe funkioniert soweit auf den Client (wie gesagt anpingbar) und der Rest sollte ja eigentlich von NAT übernommen werden (Automatic Outbound NAT Rule generation (including IPSec passthrough)).

In der IPconfig wird die Adresse richtig angezeigt, allerdings gibt es kein Gateway. Ich glaube aber, das war bei IPSec normal.

Mein Router (Fritz.Box) hat IPSec passthrough und PPTP passthrough standardmässig aktiviert:

Über die Internetverbindung der FRITZ!Box können Sie auch mit einer VPN-Software eines anderen Herstellers VPN-Verbindungen zu einem entfernten VPN-Server herstellen. Da in der FRITZ!Box standardmäßig VPN-Passthrough für die VPN-Protokolle IPSec und PPTP aktiviert ist, sind dazu keine speziellen Einstellungen erforderlich.

Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:

Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.


In meiner Software Firewall habe ich meinen Netzwerkbereich auf der Arbeit als sichere Zone hinzugefügt, und diese auch Probehalber deaktiviert. Leider ohne Ergebnis.

Die PFSense zeigt keine geblockten Zugriffe von meiner externen IP zuhause an. Im IPSec-Log der PFSense wird nur folgender Hinweis angezeigt:

racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY

Ich würde mich sehr freuen, wenn jemand eine Idee zur Lösung dieses Problems beisteuern könnte.

Vielen Dank und mit freundlichen Grüßen,

MisterIX.
Mitglied: aqui
18.08.2014, aktualisiert um 13:36 Uhr
Das hiesige Forums Tutorial zu dem Thema hast du gelesen... ??
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Das sollte alle deine Fragen beantworten !
Nur so viel:
und ich meinen Client sogar von der PFSense aus anpingen kann.
Das ist schonmal gut und zeigt das generell die IPsec verbindung funktioniert !
Allerdings kann ich keinen erfolgreichen Ping in mein Netzwerk ausführen
Ääähh, das geht auch nicht wenn du einen Client basierten Zugriff hast also von einem Einzelclient wie bei dir mit Shrew !!
Das eigene Netzwerk kannst du nur un der Gesamtheit mit dem VPN verbinden wenn z.B. deine Router (also die FB) den VPN Zugang realisiert und die eine sog LAN zu LAN Kopplung machst. Wie das geht mit einer FB erklärt dir das o.a. Tutorial auch in den weiterführenden Links.
WAS willst du also nun eine Netz zu Netz Kopplung oder lediglich die Anbindung eines einzelnen Clients ??? Das wird aus deinem thread nicht klar ?!

P.S.: Den "FPsense" Fauxpas in der Überschrift kannst du immer mit einem beherzten Klick auf "Bearbeiten" egalisieren !
Bitte warten ..
Mitglied: MisterIX
18.08.2014 um 15:11 Uhr
Hallo aqui,

den Fauxpas habe ich als erstes korrigiert. Vielen Dank. Ich möchte tatsächlich nur einen Client anbinden. Habe ich da grundsätzlich einen Denkfehler gemacht? Der Client bekommt doch eine IP aus einem anderen Subnetz. Ich dachte damit sollte die Firewall in der Lage sein den Datenverkehr aus dem Subnetz in das angegebene Zielnetz zu übertragen.

Vielen Dank auch für den Link, ist der Inhalt denn dann noch relevant? Ich verliere gerade den Überblick.

Mit freundlichen Grüßen, MisterIX
Bitte warten ..
Mitglied: aqui
18.08.2014, aktualisiert um 16:39 Uhr
Der Client bekommt doch eine IP aus einem anderen Subnetz. Ich dachte damit sollte die Firewall in der Lage sein den Datenverkehr aus dem Subnetz in das angegebene Zielnetz zu übertragen.
Ja, das ist genau richtig.
ist der Inhalt denn dann noch relevant?
Äääähhh ja !! Deshalb ist er hier nochmal gepostet für dich, da er die Lösung enthält !
Du scheinst wirklich komplett den Überblick verloren zu haben ?!
Bitte warten ..
Mitglied: matthew77
18.08.2014, aktualisiert um 21:57 Uhr
Hallo,

so wie ich es verstanden habe, sieht das bei dir so aus :

(IPsec-Client-Shrew)---------------Internet-----------------(FritzBox)-------Ethernet-------(PFsense)---------Ethernet---------Netzwerk

Versuch in Shrew alles durch den Tunnel zu leiten :
Policy --> Add --> Include 0.0.0.0 0.0.0.0 (Unique)

Was sagt "pathping <client-ip aus dem Pfsense-Netz> ?

Ist vielleicht auf den Clients eine lokale Firewall aktiviert ?


Eine ausfürliche Konfig :

https://doc.pfsense.org/index.php/IPsec_for_road_warriors_in_PfSense_2.0 ...

Wichtig sind dabei :

Policy Generation : Unique -----> Might prevent traffic to the lan if set to something else.
Proposal Checking : Strict
Bitte warten ..
Mitglied: MisterIX
19.08.2014 um 13:57 Uhr
Jep. ich mache gerade zu viele Dinge parallel. Habe mein neues Netzwerk erst seit sechs Wochen. Dann werde ich mir den Artikel noch mal in Ruhe zu Gemüte führen.

Vielen Dank ersteinmal.
Bitte warten ..
Mitglied: MisterIX
19.08.2014 um 15:59 Uhr
@Mathew Danke für die zusätzliche Anleitung. Wiederum wird der Tunnel enabled, nur diesmal kann die FW nicht einmal die zugewiesene IP anpingen, und das obwohl der Willkommensgruß sogar angezeigt und der Tunnel als enabled zu sehen ist (Clientseitig.)

Ich versuche es morgen nochmal. Bis bald!
Bitte warten ..
Mitglied: aqui
19.08.2014 um 16:14 Uhr
Sieh dir immer das Firewall Log an ! Irgendwas wird bei dir geblockt bzw. es fehlt eine Regel irgendwo !
Bitte warten ..
Mitglied: matthew77
22.08.2014 um 18:27 Uhr
..... hat sich das erledigt oder ?

Gruß
Bitte warten ..
Mitglied: MisterIX
24.08.2014 um 11:32 Uhr
Hi mathew77,

vielen Dank zunächst nochmal an alle, die sich hier einbringen, und nein, das Thema ist noch nicht vom Tisch. Es ist nur so, dass ich das Thema Backup in der letzten Woche hoch priorisieren musste, was auch Anfang der Woche dann fertig sein sollte.

Außerdem muss ich immer darauf achten, dass auf meinem privaten Laptop ein Teamviewer läuft, damit ich überhaupt testen kann.

Die Firewall zeigt übrigens keinerlei geblockte Einträge hinsichtlich des IPSec-Tunnels an. Ich werde am Dienstag versuchen diesen Thread um Protokolle u.ä. zu bereichern, um die Problematik von meiner Seite aus professioneller zu präsentieren.

Bis dahin alles Gute!

MisterIX
Bitte warten ..
Mitglied: aqui
25.08.2014 um 09:40 Uhr
Das sind wir dann mal gespannt auf die Doku...
Bitte warten ..
Mitglied: MisterIX
26.08.2014, aktualisiert um 14:30 Uhr
Hallo liebe Administratoren,

zunächst möchte ich noch etwas zum Ping anmerken, wie er im Moment aussieht:

Ping output:

PING 192.168.250.1 (192.168.250.1): 56 data bytes
60 bytes from business-085-079-139-145.static.arcor-ip.net (85.79.139.145): Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 13cc 0 0000 3f 01 c54e 85.79.139.149 192.168.250.1

60 bytes from business-085-079-139-145.static.arcor-ip.net (85.79.139.145): Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 cd1a 0 0000 3f 01 0c00 85.79.139.149 192.168.250.1


--- 192.168.250.1 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Das sieht mir aus, als ob die PFSense selbst den VPN Tunnel nicht nutzt um die IP anzupingen, wieso sollte Arcor sonst den ping erkennen und korrekterweise ausfiltern?

Der Tunnelaufbau selbst funktioniert in Shrewsoft scheinbar einwandfrei.

config loaded for site 'myside'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Jemand eine Idee?

Danke und Gruß, MisterIX.
Bitte warten ..
Mitglied: aqui
26.08.2014, aktualisiert um 13:24 Uhr
Du solltest besser deine öffentlichen IP Adressen oben anonymisieren !

Dein Ping bleibt in einer Firewall regel hängen. Sei es auf der pfSense das dort was fehlt oder nicht konfiguriert wurde oder was viel wahrscheinlicher ist die lokale Firewall auf dem Clientrechner. Wenn das ein Windows Derivat ist kann man zu 98% davon ausgehen das dort ein falsche Firewall Profil geladen ist für den virtuellen IPsec Adapter intern.
Das ist wie immer der klassische Fehler der Win Firewall intern.
Bitte warten ..
Mitglied: MisterIX
26.08.2014 um 14:37 Uhr
Hallo Aqui,

ich habe die öffentlichen IP-Adressen einfach abgewandelt, die sind nicht echt, oder gehören jedenfalls nicht uns ;) . Trotzdem ist dieses Prozedere frustrierend. Ich habe mit anderen Mitteln noch nie so lange gebraucht, um einen VPN-Tunnel anzulegen. Meine Client-Firewall war abgeschaltet, kann also den Ping nicht unterdrückt haben.

Mich wundert außerdem, dass hier Arcor involviert ist, was ja bedeutet, dass der Ping auf die 192.168.250.1 direkt über das WAN Interface rausgesendet wird, anstatt über den IPsec Tunnel.

Sieht Dir das nicht auch eher nach einem Routingfehler aus?

Gruß, MisterIX.
Bitte warten ..
Mitglied: aqui
26.08.2014, aktualisiert um 15:40 Uhr
dass der Ping auf die 192.168.250.1 direkt über das WAN Interface rausgesendet wird, anstatt über den IPsec Tunnel.
Das könnte natürlich sein ! Würde dann aber auch einen Kardinalsfehler deinerseits in der VPN Konfiguration hinweisen !
  • Was sagt denn der interne Sniffer im Diagnose menü, der zeigt dir das doch an ?
  • Was sagt denn ein Traceroute auf diese IP. Kommen da Hop Replies aus dem öffentlichen Netz ? Core Router der provider haben generell für alle RFC 1918 IP Netze einen Filter an den Userports die diese Pakete droppen.
  • Wie sieht die interne Routing Tabelle aus ? Die zeigt dir doch an welche IP Netze in den Tunnel geroutet werden ?!
Keine Ahnung was du da machst denn in der Regel ist so ein simples VPN in 5 Minuten im GUI fertiggeklickt ?!
Bitte warten ..
Mitglied: matthew77
26.08.2014 um 18:02 Uhr
Hast du in Shrew "use a virtual adapter ..... " gewählt mit einer VPN-IP?

Ich würde Pfsense als Server die IP-Adresse 10.1.1.1/24 verpassen und entspreched die Shrew mit 10.1.1.2/24 konfigurieren:


a1b34225754db797fd59c2a68f8465a9 - Klicke auf das Bild, um es zu vergrößern




Shrew hat auch eine Debug-Funktion, da kann man genau sehen, wo der Tunnel hängen bleibt, Phase1 , Phase2 , Routing ... ?

http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#cshid=e ...



Gruß
Bitte warten ..
Mitglied: MisterIX
15.10.2014 um 07:25 Uhr
Hi Matthew,

die Firewall lief schon drei Jahre und wurde mehrfach upgedatet. Dabei ist wahrscheinlich eine manuelle Einstellung in einer Konfig-Datei durchgeschleppt worden, die zu einer Warnung während des Startvorgangs geführt hat, die Firewall könne instabil werden. Und genau das wurde sie dann auch, und zwar soweit, dass das NAT komplett die Funktionalität einstellte.

Da ich das System erst wenige Wochen vorher übernommen hatte, viel mir die Warnmeldung erst auf, nachdem ich die Firewall auf die neueste Version gebracht habe. Kurz darauf fiel sie dann aus.

Ich habe dann PFSense komplett neu installiert und seitdem läuft die Firewall wieder stabil. Ich bin jedoch noch nicht dazu gekommen, erneut die VPN-Funktionalität zu testen.
Bitte warten ..
Mitglied: aqui
20.10.2014 um 19:49 Uhr
Na dann sind wir mal auf ein finales Feedback gespannt.
Sonst bitte
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Router & Routing
PfSense Routing durch VPN-Tunnel (2)

Tipp von FA-jka zum Thema Router & Routing ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...