Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Pfsense Routing Probleme mit IPSEC site-to-site und OpenVPN Einwahl

Frage Netzwerke Router & Routing

Mitglied: mythice

mythice (Level 1) - Jetzt verbinden

20.02.2014 um 17:52 Uhr, 3638 Aufrufe, 3 Kommentare, 1 Danke

Hallo Zusammen,


zunächst vielen Dank an alle die hier helfen können - ich bin um jeden Ansatz dankbar!

Aktuell stehe ich vor folgendem Scenario und komme nicht weiter:

Netze:
192.168.60.0/24 (Seita A - Lokales Netzwerk)
10.0.8.0/24 (Tunnelnetzwerk zur Einwahl OpenVPN)
10.231.0.0/24 (Seite B - Endpunkt auf der Gegenseite von IPSEC Tunnel)

1x feste Site-to-site VPN IPSEC Tunnel inkl. Phase 2 Definition für das lokale Netz (Funktioniert problemlos)
1x OpenVPN Einwahlverbindungen von außerhalb in das Netzwerk

Nun zur eigentlichen Problemstellung:
Bei der Einwahl in das Netzwerk über OpenVPN von einem externen Gerät (z.B. Laptop) funktioniert die Einwahl super - IP Adresse aus dem 10.0.8.0/24 wird zugewiesen und das Netz 192.168.60.0/24 (LAN) und alle darin erreichbaren Geräte sind pingbar.

Jedoch bei dem Versuch Geräte aus dem Bereich 10.231.0.0/24 zu erreichen schlägt der Ping jedesmal fehl. Wenn ich jedoch aus dem LAN heraus einen Ping auf die IP Adressen absetze wird dieser auch richtig transportiert. Somit sollte der Angelpunkt eine Konfigurationsänderung in Pfsense sein (Soweit die Theorie ;).

In der lokalen Routingtabelle taucht das Netz auch sauber auf:
0691a3d1937038cc917fa7b502027b9f - Klicke auf das Bild, um es zu vergrößern


Des weiteren ist beim Paket Captura auch zu erkennen das er die Pakete zumindest bis zur Pfsense transportiert:

17:37:41.558603 IP 94.250.XXX.XXX (IP von Gateway) > 10.0.8.6: ICMP net 10.231.0.75 unreachable, length 36
17:37:41.659320 IP 192.168.60.10.8100 > 10.0.8.6.62230: tcp 0
17:37:42.458915 IP 10.0.8.6 > 10.231.0.75: ICMP echo request, id 1, seq 6324, length 40
17:37:42.558650 IP 94.250.XXX.XXX (IP von Gateway) > 10.0.8.6: ICMP net 10.231.0.75 unreachable, length 36
17:37:43.458743 IP 10.0.8.6 > 10.231.0.75: ICMP echo request, id 1, seq 6325, length 40
17:37:43.558621 IP 94.250.XXX.XXX (IP von Gateway) > 10.0.8.6: ICMP net 10.231.0.75 unreachable, length 36
17:37:43.658620 IP 10.0.8.6.62229 > 10.231.0.75.17300: tcp 0
17:37:43.758600 IP 94.250.XXX.XXX (IP von Gateway) > 10.0.8.6: ICMP net 10.231.0.75 unreachable, length 36


Jedoch versucht er dann die Pakete über das WAN Gateway zu schicken, anstatt über den IPSEC Tunnel.

Ich würde mich sehr freuen wenn jemand ein paar brauchbare Tipps hat - Mir gehen nun die Ideen aus.
Hier nun noch ein paar Screenshots die das ganze erleichtern sollen:

b065520432204b606167689dc8487c5a - Klicke auf das Bild, um es zu vergrößern
224bf0e87876cf8894af2d6e781e5ecd - Klicke auf das Bild, um es zu vergrößern
9c961bbabb0776ad82a87077dd3e8c5d - Klicke auf das Bild, um es zu vergrößern
30c8e3fa5e47f660f7de296b440ad8eb - Klicke auf das Bild, um es zu vergrößern
28a9888b39564127c5d86ba0973f25f9 - Klicke auf das Bild, um es zu vergrößern



Vielen Dank!






Mitglied: Pjordorf
LÖSUNG 20.02.2014, aktualisiert 04.03.2014
Hallo,

Zitat von mythice:
192.168.60.0/24 (Seita A - Lokales Netzwerk)
10.0.8.0/24 (Tunnelnetzwerk zur Einwahl OpenVPN)
10.231.0.0/24 (Seite B - Endpunkt auf der Gegenseite von IPSEC Tunnel)

1x feste Site-to-site VPN IPSEC Tunnel inkl. Phase 2 Definition für das lokale Netz (Funktioniert problemlos)
1x OpenVPN Einwahlverbindungen von außerhalb in das Netzwerk

Bei der Einwahl in das Netzwerk über OpenVPN von einem externen Gerät (z.B. Laptop)
Und jetzt die Kardinalsfrage: Auf welchen VPN Server bist du dann? Netz A oder Netz B und was ist über den Tunnel dann Erlaubt bzw. Verboten. Du kannst dich ja an beide VPN Server nicht gleichzeitig anmelden. Geht es jeweils wenn du dich an VPN Server A und an VPN Server B einwählst ist soll und darfst du dich nur an einen der Beiden VPN Server einwählen?

Jedoch bei dem Versuch Geräte aus dem Bereich 10.231.0.0/24 zu erreichen schlägt der Ping jedesmal fehl.
Dürfen den die Geräte auf einer IP aus deinen netz Antworten?

In der lokalen Routingtabelle taucht das Netz auch sauber auf:
Das 10.231.0.0? Ja. Da steht das alles über deine 10.0.8.x gehen soll.

Des weiteren ist beim Paket Captura auch zu erkennen das er die Pakete zumindest bis zur Pfsense transportiert:
Nö. ich sehe keine Aufzeichnung deiner PfSense. Nur die kann es dir sagen.

17:37:42.458915 IP 10.0.8.6 > 10.231.0.75: ICMP echo request, id 1, seq 6324, length 40
17:37:42.558650 IP 94.250.XXX.XXX (IP von Gateway) > 10.0.8.6: ICMP net 10.231.0.75 unreachable, length 36
Jedoch versucht er dann die Pakete über das WAN Gateway zu schicken, anstatt über den IPSEC Tunnel.
Nicht ganz. Schau dir die Metric deiner Routen an. Und wenn er (Wer ist er?) die Pakete dann endlich über deine WAN Schnittstelle schickt, stimmt dein Routing nicht oder er findet keinen Weg zu deinen Endziel. Und er (?) kann bei dem Site-to-Site Problemlos pingen oder ist er dann doch nicht er sondern ein anderer?

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
LÖSUNG 20.02.2014, aktualisiert 04.03.2014
Deine Subnetzmaske vom 10.231.0.0er Netz ist im OVPN Client bzw. in seiner Routing Tabelle falsch !
Hast du das gesehen ? Dort ist eine 16 Bit Maske angegeben aber in deiner Beschreibung oben redest du von einer 24 Bit Maske.
Vermutlich ist also hier das "push route" Kommando in der server.conf Datei bzw. den OVPN Server Settings falsch oder mit einer falschen Subnetzmaske konfiguriert.
Das solltest du unbedingt korrigieren. Möglich das damit falsche Routing Entscheidungen getroffen werden.
Zusätzlich solltest du darauf achten das die FW Regeln an den VPN Interfaces korrekt eingestellt sind und diese IP netze passieren dürfen.
Das Firewall Log der pfSense ist hier immer erste Anlaufstelle !

Die LAN Port FW Rule alles mit der Source 10.0.8.0 nach any zu erlauben ist Blödsinn, denn von dem Port kann eingehend niemals etwas mit einer Source IP 10.8.0.x kommen. Diese Regel kannst du also getrost wieder löschen, was auch sicherer ist.
Kollege pjordorf hat aber Recht, die Rollenverteilung der FWs ist etwas wirr beschrieben. Verstehen tut mal es so:
  • 192.168.60.0/24 (Seite A - Lokales Netzwerk), hier ist der OVPN Server zur Einwahl und der IPsec Tunnel zur Seite B
  • 10.0.8.0/24 (Tunnelnetzwerk zur Einwahl OpenVPN) ist nur das interne OVPN Tunnel Netzwerk
  • 10.231.0.0/24 (Seite B - Endpunkt auf der Gegenseite von IPSEC Tunnel) ist nur der IPsec Tunnel zum Standort A also Site to Site A - B

Wichtig ist hier noch eine statische Route auf der Seite B. Die muss eine Route ins 10.0.8.0er Netzwerk konfiguriert haben wo das next Hop Gateway der IPsec Tunnel ist.
Fehlt der würden sonst Pakete in das 10.0.8.0er netz also dem OVPN Clientnetz lokal ins Internet und damit ins Nirwana geroutet.
Am einfachsten machst du das natürlich wenn du dynamisch routest über den Tunnel (RIPv2 oder OSPF)...es geht aber natürlich auch mit statischen Routen bei den 3 Netzen.
Bitte warten ..
Mitglied: mythice
04.03.2014 um 09:38 Uhr
Vielen Dank an Peter und Aqui!

Die Lösung des Problemes war tatsächlich die Gegenseite des Tunnels, welche die beiden Netze nicht lokal in Ihrer Phase 2 eingetragen hatte. (Statische Route auf Seite B)
Bitte warten ..
Ähnliche Inhalte
Router & Routing
PFSense OpenVPN Site to Site
gelöst Frage von m.reegerRouter & Routing7 Kommentare

Hallo zusammen, ich habe hier gerade ein Site to Site VPN zwischen 2 virtuellen PFSense eingerichtet. Die Folgende Anleitung ...

Router & Routing
IPSec Site To Site mit pfSense hinter einer Fritzbox
gelöst Frage von dasgunnRouter & Routing31 Kommentare

Hallo, ich komme hier nicht weiter und hoffe auf Unterstützung. Ich habe einen IPSec Tunnel aufgebaut von meiner pfSense ...

LAN, WAN, Wireless
Pfsense ipsec site to site sehr langsam
Frage von TheOnlyOneLAN, WAN, Wireless18 Kommentare

Hallo zusammen, ich habe einen ipSec Tunnel zwischen zwei Standorten errichtet. Der eine Standort ist ein Rechenzentrum der andere ...

Netzwerkgrundlagen
IPSec Site-to-Site über NAT ohne Portforwarding
Frage von BirdyBNetzwerkgrundlagen18 Kommentare

Hallo miteinander, ich habe da mal eine Frage: In unserem Hauptstandort gibt es eine Sophos UTM mit fester IP. ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 8 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 12 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...