Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Pfsense PPTP - IPsec VPN Server einrichten

Frage Netzwerke Router & Routing

Mitglied: Grave111

Grave111 (Level 1) - Jetzt verbinden

12.06.2014, aktualisiert 17.06.2014, 3304 Aufrufe, 7 Kommentare

Guten Tag,

ich habe seit kurzem als Gateway und Firewall die Pfsense im Einsatz. Diese hängt jedoch noch hinter einem KabelModem das ich von KD bekommen habe und im Bridge Mode läuft.
Da die Firewall ja einige VPN Typen unterstützt und diese angeblich auch relativ einfach eingerichtet können so zumindest nach recherchen im Internt sowie einige Anleitungen hier im Forum dachte ich mir ich versuche die VPN direkt über die Pfsense laufen zu lassen.

Auch nach Anleitungen im Internet zufolge habe ich noch nicht geschafft die VPN aufzubauen.

Mein Netz ist die 192.168.10.0/24

Pfsense = 192.168.10.1
DNS Server = 192.168.10.100
DHCP Server = 192.168.10.101
DynDns = eingerichtet auf Pfsense


Zunächst hab ich es mit PPTP versucht:

IP Andresse des PPTP Server habe ich eine freie Adresse gegeben und zwar die 192.168.10.5
Clients hab ich auf 10 gesetzt
Startadresse für die VPN Clients hab ich auf die 192.168.10.240 gesetzt.
Als DNS Server habe ich die 192.168.10.100 & 192.168.10.1 eingetragen.

dann noch User und Passwort eingetragen.

Anschließend bei Firewall - Rule - PPTP den Durchgang eingerichtet.


Doch leider kein Erfolg


Spielt hier das Kabel Modem evtl. eine Rolle?
Was mach ich hier falsch?

Ichz wäre euch sehr dankbar für ein paar Tipps rund um die Pfsense.

Gruß,
Grave



Mitglied: aqui
12.06.2014, aktualisiert um 12:16 Uhr
Diese hängt jedoch noch hinter einem KabelModem das ich von KD bekommen habe und im Bridge Mode läuft.
Warum denn "jedoch" ?? Das ist technisch doch immer die beste Kombination wenn sie denn wirklich im Bridge Mode rennt also das dann die öffentliche Provider IP direkt am pfSense WAN Port anliegt ?!
Besser kann es nicht sein im VPN Umfeld, weil du so ggf. davorliegenden NAT Problemen sauber aus dem Wege gehst !
Das Kabelmodem kann also keinerlei Rolle spielen, denn es ist an der IP Kommunikation ja gar nicht beteiligt ! Es reicht einfach nur durch !
Wichtig ist aber das es das auch wirklich macht und nicht doch als NAT Router arbeitet ??!
Checke das indem du dir mal den Interfaces Status ansiehst ! Am WAN Port sollte dann IMMER die öffentliche IP des Providers liegen und keine RFC 1918 private IP Adresse !!!
Vorsicht auch wenn dein Kabel Anbieter DS-lite einsetzt: http://www.heise.de/netze/meldung/Kabel-Deutschland-stellt-Internetzuga ... da kann es bei Port Weiterleitungen und allgemein VPN generell Probleme geben die nichts mit dir zu tun haben sondern mit der DS-lite Funktion !!

Wenn du die entsprechenden Tutorials zu PPTP und IPsec hier im Forum umsetzt wird das im Handumdrehen zum Fliegen kommen. Das sind alles lauffähig getestet Konfig Anleitungen:

PPTP:
http://www.administrator.de/wissen/vpns-mit-dd-wrt-m0n0wall-oder-pfsens ...
Wichtig auch für die Client PPTP Konfig:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html

IPsec:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Anschließend bei Firewall - Rule - PPTP den Durchgang eingerichtet.
Vermutlich vergessen beide Ports einzurichten auf die pfSense WAN IP ?! TCP 1723 und das GRE Protokoll (Nr. 47 nicht TCP oder UDP 47 !!)
Analog IPsec (UDP 500, UDP 4500 und ESP Protokoll Nr. 50)
Steht aber alles in den o.a. Tutorials !!

Wichtiger Tip: Sieh IMMER in das Firewall UND in das VPN Log der pfSense !!! (Unter "Miscellaneus Settings" im Log dort am besten die Anzeige Reihenfolge so setzen das aktuelle Log Messages immer OBEN erscheinen zur besseren Übersicht !)
Dort steht ganz genau wenn irgendwo was geblockt ist oder unter den Protokollen WAS beim VPN Aufbau nicht funktioniert !
Bitte warten ..
Mitglied: lindi200000
12.06.2014 um 13:50 Uhr
Hallo

Wie alt ist der Kabelanschluss?

Ich tippe auch auf DS-lite. Hatte da schon mehrfach Probleme. um das ganze zu lösen gibt es nur 2 Möglichkeiten, etwa du setzt auf IPv6 und kannst deine Geräte so ansprechen oder du drängels bei KD das du einen reinen IPv4 Anschluss brauchst wegen VPN. Manchmal sind die da Einsichtig.
Ob du mit IPv6 bedient wirst, wirst du sehen wenn ein Rechner direkt am Kabelmodem kurz hängt.
Bitte warten ..
Mitglied: Grave111
12.06.2014 um 18:49 Uhr

Hallo zusammen,


Das KD Modem läuft im Bridge Mode und alles wird direkt an die Pfsense durchgereicht.
Auf meinem WAN Port der Pfsense habe ich meine Öffentliche IPv4 Adresse von KD.

Ach ja und der KD Anschluss wurde im November 2013 abgeschlossen und ist seit her aktiv.

Somit gehe ich mal davon aus das es sich hier nicht um die DS-Lite Funktion handelt, oder sehe ich da etwas falsch?

Ich kann auch andere Services von außen Problemlos erreichen.

Nach der Config in den oben gezeigten Links habe ich das PPTP Setup durchgeführt und konnte dennoch keine Verbindung aufbauen.
Ich vermute es liegt bei mir noch an der Firewall Durchleitung da steige ich noch nicht ganz durch.

Könnte mir nochmal jemand bezüglich der benötigten Firewalls Rules helfen wie ich diese genau Konfigurieren muss?

Vielen Dank und Gruß,
Grave
Bitte warten ..
Mitglied: lindi200000
LÖSUNG 13.06.2014, aktualisiert 17.06.2014
kannst du generell keine Verbindung aufbauen oder baust du eine Verbindung auf und erreichst aber keine Dienste?

1. liegt weniger an der Firewall, das managed Pfsense selber.
Als ich den letzten KD Anschluss mit IPv6 gesehen habe hatte der einen 10.*.*.* IP Anschluss. (IPv6 spricht aber dagegen wenn du schon andere Dienste erreichbar gemacht hast)
Wenn ich mich recht erinnere, dann hatte ich immer die PPTP Server ip auf die WAN IP angepasst (danach nie wieder geändert) und die PPTP Clients in einen anderen IP Bereich geschoben 172.16.0.0.
Mit welchem Fehler wird denn die Verbindung abgebrochen?

Wenn du eine Verbindung schon hast, dann ändere von deinem VPN Server mal die IP Range und leg unter Firewall -> PPTP eine Freigabe von der Client Source IP in dein grünes Netzwerk (auf Protokoll all achten).
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.06.2014, aktualisiert 17.06.2014
Somit gehe ich mal davon aus das es sich hier nicht um die DS-Lite Funktion handelt, oder sehe ich da etwas falsch?
Das kommt auf die IP Adresse an die du am WAN Port hast. Wenn der Provider dir da eine RFC 1918 IP Adresse gibt (10er, 172.16-32er, 192.168er Bereich) dann ist es DS-lite.
Leider teilst du uns die ja nicht mit und nun müssen wir mal wieder die Kristallkugel bemühen...
Es könnte aber auch dein falsch eingestelltes Modem sein das dann doch im Router Mode arbeiten würde.
Das kannst du aber recht schnell rausfinden indem du dir auf der pfSense mal die Routing Tabelle ansiehst und checkst welche IP dein Default Gateway hat.
Letzte Gewissheit gibt dann die Mac Adresse des Gateways. Ist dort die des Modems arbeitet das Modem NICHT als Modem sondern Router.
OK, wenn die WAN IP nicht aus dem RFC 1918 Kontingent ist http://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche und einen öffentliche IP dann ist so oder so alles richtig. Modem arbeitet als Modem und es ist kein DS-Lite.
Fazit: Deine WAN IP ist hier wichtig !!
Ich vermute es liegt bei mir noch an der Firewall Durchleitung da steige ich noch nicht ganz durch.
Hier siehst du wohl generell etwas falsch !!? Es ist keine "Durchleitung", das ist Unsinn.
Dein PPTP Client spricht ja als VPN Ziel IP Adresse immer die WAN IP der pfSense an ! Die pfSense fungiert hier als VPN Server !
Die pfSense blockt aber als Firewall wie es sich gehört im Default ALLES was am WAN Port eingehend aus dem Internet ankommt, deshalb musst du also den WAN Port mit einer Regel "aufmachen" für die PPTP Protokollbestandteile TCP 1723 und das GRE Protokoll. Das GRE Protokoll ist ein eigenständiges IP Protokoll mit der Nummer 47. (Kein TCP oder UDP 47 !!) Du kannst es in der Regeldefinition der pfSense unter "Protocol" auch direkt auswählen.
So sollte das dann nacher in den Regeln aussehen:
4faddd615c7dad15ba0f67baffc8f06f-monopptp5 - Klicke auf das Bild, um es zu vergrößern
Das ist jetzt ein Monowall Screenshot, der aber vollkommen analog auch für pfSense gilt !

Dann müssen dort eingehende PPTP Pakete ankommen und sich der PPTP Tunnel sauber aufbauen !!
Hier nochmal die Bitte an dich ins Firewall und PPTP Log der pfSense zu sehen !!!
Dort kannst du alle Aktivitäten genau beobachten.

Damit auch die PPTP VPN Clients mit dem internen Netz kommunizieren können musst du eine 2te Regel erstellen für das virtuelle PPTP Interface. Als einfache "Schrotschuss" Regel (Clients dürfen mit allem auf alles zugreifen kannst du diese Regel erstellen:
9afb13bb6a509c2a9e9f46e8950640bc-monopptp2 - Klicke auf das Bild, um es zu vergrößern

Das sieht dann in der Übersicht so aus:
fb948e82e7906f1c7dd29f5a8f27939d-monopptp3 - Klicke auf das Bild, um es zu vergrößern

Eigentlich kinderleicht und funktioniert auf Anhieb !
Bitte warten ..
Mitglied: Grave111
17.06.2014 um 17:54 Uhr

Hallo aqui,

Vielen dank für die nochmals ausführliche Vorgehensweise und Erklärung ( wieder ein wenig Know-how mehr )
Nachdem ich alles noch einmal Schritt für Schritt überprüft habe und dies nach den obigen Anweisungen neukonfiguriert habe kam die VPN Verbindung nun endlich zu Stande

Nochmals zurück zur DS-Lite Funktion, diese habe ich an meinem WAN Port nicht, gemäß Aussage von Kabel Deutschland
--> Und ja es handelt sich um keine Adresse aus dem privaten Adressbereich der RFC 1918.

Was ich dennoch habe bzw mir so vorkommt das sich ich immer wieder Verbindungsabbrüche habe, gibt es hierzu etwaige Einstellungen die dazu beitragen könnten?

Des Weiteren, möchte ich eine zusätzliche andere VPN Lösung für eine Standortvernetzung benutzen da ja PPTP ja nicht mehr die sicherste VPN Lösung ist.
Was würdet ihr dazu empfehlen? IPSec ? Gegenstelle würde ich entsprechend anpassen für das gewählte VPN Protokoll.

Vielen Dank und Gruß,
Grave
Bitte warten ..
Mitglied: aqui
18.06.2014, aktualisiert um 10:35 Uhr
das sich ich immer wieder Verbindungsabbrüche habe, gibt es hierzu etwaige Einstellungen die dazu beitragen könnten?
Nein, nicht wirklich wenn du nach Tutorial vorgegangen bist. Das ist auch nicht HW bezogen, denn wenn du das mal in einer Labor "Back to Back" Umgebung ausprobierst wirst du sehen das das fehlerfrei und ohne Abbrüche funktioniert.
Wichtig ist natürlich das alle Key Timeouts auf Client und Serverseite identisch sind und es keinen Msmatch gibt. Speziell wenn du mit IPsec arbeitest. Denn das kann solche Abbrüche auch verursachen.

Viele Provider und gerade im speziellen Kabel Provider machene ein Rate Limting von VPN Traffic an Consumer Endanschlüssen die solche Abbrüche provozieren. Das soll verhindern das breitbandige Consumer Accounts quasi für Business Anwendungen großflächig benutzt werden. Dafür haben die dann meist andere Tarife ohne Limits
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Netzwerke
Open VPN Server am LINKSYS LRT214 korrekt einrichten (1)

Frage von Thomas866 zum Thema Netzwerke ...

Router & Routing
Zugriff auf pfsense mit IPsec im WLAN (1)

Frage von maddig zum Thema Router & Routing ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...