Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing im VPN mit Fritz!Box und pfSense

Frage Netzwerke

Mitglied: Webkamer

Webkamer (Level 1) - Jetzt verbinden

26.03.2014 um 18:06 Uhr, 4604 Aufrufe, 7 Kommentare

Hallo liebe Administratoren,

ich experimentiere gerade mit Routing und VPN zwischen verschiedenen Standorten mit pfSense und Fritz!Boxen. Hier habe ich nun ein paar Fragen und ich
hoffe ihr könnt mir Helfen.

Zu meinem Problem 1:

18deb64705280731c519c2c87bcabb70 - Klicke auf das Bild, um es zu vergrößern

Routing im VPN. Das habe ich hier schon aufgebaut und ich bekomme von meinem Netzwerk mit der IP 192.168.40.0/24 verbindung auf das Netzwerk mit der IP 192.168.1.0/24,
aber nicht auf das Netzwerk mit der 192.168.50.0/24 obwohl ich die Router in der pfSense (40.1) unter Remote Networks eingetragen habe. In der pfSense habe ich eine Route zum Netzwerk .50.5/24 und mit dem PC (192.168.1.1) kann ich auf das .50 Netzwerk zugreifen. Nur über den VPN Tunnel will es nicht klappen obwohl eine Route eingetragen ist.
Habt ihr hierzu eine Idee?

Zur 2. Frage:

6abf09f0b0529dfbe5e0f99dea783628 - Klicke auf das Bild, um es zu vergrößern

Wenn ich nun mehrere Fritz!Boxen mit dem IPSec VPN Sternförmig an die PfSense anbinde, wie stelle ich dann sicher, dass ich vom Netzwerk 192.168.60.0/24 Zugriff auf das Netzwerk mit der IP 192.168.30.0/24 habe. In der jeweiligen Fritz!Box trage ich das jeweils entfernte Netzwerk in der VPN Config ein, dass die Box weiß, das dieses Netzwerk hintern dem VPN ist. Nur was trage ich in die "Zentrale" pfSense ein?

Ich hoffe meine Ideen sind nicht zu exotisch.
Würde mich über Antworten und Lektüre Links freuen.

Danke und Gruß

Webkamer
Mitglied: orcape
26.03.2014, aktualisiert um 19:36 Uhr
Hi Webkamer,
Sorry, zu Fritten und IPsec habe ich keinen Bezug aber folgendes...
zu Problem 1
Nur über den VPN Tunnel will es nicht klappen obwohl eine Route eingetragen ist.
Normalerweise verbindet man die LAN-Seiten der pfSense mit dem Tunnel.
Da die Tunnel aber über das WAN-Interface laufen und dort Dein Netz 192.168.50.0/24 verbunden ist, müsstest Du da noch entsprechende Firewallrules erstellen.
Ausserdem solltest Du mal den Versuch machen, die Route außer dem Routing Eintrag, zusätzlich zu "pushen".
Wenn Du damit nicht klar kommst, wären Deine Routing Protokolle interessant, ausserdem ist es sinnvoll die Rules mit zu loggen, zumindest bis das ganze klappt.
Gruß orcape
PS: Vielleicht nützt Dir bei Problem 2 ja Aqui´s Tutorial...
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: aqui
27.03.2014 um 11:50 Uhr
Problem 1:
Das ist kein Routing Problem und hat damit rein gar nix zu tun, sondern ein reines Firewall Problem. Deine pfSense hängt sicher mit dem WAN Port im .50.0er Netz und mit dem LAN Port im .1.0er Netz, richtig ?
2 Dinge sind da zu beachten:
  • Im Default macht die pfSense NAT am WAN Port, du kannst also so nicht transparent routen, da die NAT Firewall das verhindert. Hier musst du mit Port Forwarding arbeiten wenn du einzelne Hosts im 50er Netz erreichen willst oder das NAT ganz deaktivieren bzw. das 50er Netz auf einen anderen Port (OPTx) legen !
  • Zusätzlich ist am WAN Port per Default ein Blocker für RFC 1918 IP Netze (private IPs) aktiv. DEN muss du natürlich in den "Generals Settings" oder in den Firewall Regeln deaktivieren (Haken entfernen), denn sonst werden alle 10er, 172.16-32er und alle 192.168er Netz am WAN Port per se voll geblockt ! Es ist halt eine Firewall !!
Hier müsstest du also zusätzlich auch Hand anlegen !!
Hast du das alles beachtet ?!

Frage 2:
Die Router "kennen" diese Netze da sie beim Verbindungsaufbau bei IPsec gegenseitig bekannt gemacht werden. Der VPN Tunnel verhält sich quasi so wie ein lokales Interface an dem direkt dieses Netz dran ist.
Allein bei der pfSense kommen zusätzlich noch wieder die Firewall Regeln dazu ! Hier musst du aufpassen das du den Zugriff auf diese IP erlaubst denn per Default blockt die pfSense alles als Firewall. Hier gilt es also "Regeln anpassen".
Dieses Tutorial erklärt dir alle IPsec Schritte dazu im Detail:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: Webkamer
01.04.2014 um 10:25 Uhr
Danke aqui für deine Antworten,
Ich habe nun Szenario 1 völlig verworfen und alles jetzt nun so aufgebaut wie in Bild 2:
d.h. alle Clients Sternförmig an die PfSense angebunden:
- Teils mit Fritz!Boxund DynDns
- Teils mit OpenVPN, wenn keine öffentliche IP vorhanden war.

Nun kann jeder Standort auf den Hauptstandort zugreifen, nur nicht untereinander.
D.h. von Standort 192.168.30.0/24 kann nicht auf Standort 192.168.30.0/24 zugegriffen werden.

In der IPSEC config der jeweiligen Fritz!Boxen steht aber die IP adressen des anderen Standortes mit
"permit ip any 192.168.30.0 255.255.255.0"
bzw. "permit ip any 192.168.60.0 255.255.255.0"

Ich denke, dass die PfSense hier den Zugriff nicht erlaubt, nur finde ich es nicht. In den Firewall einstellungen
hab ich schon bei IPSEC eine Rolle mit pass "any" eingetragen.

Hast du eine Idee wo ich da noch was eingeben muss?
Evtl. bei den Phase 2 Einstellungen?

Danke und Gruß

Webkamer
Bitte warten ..
Mitglied: aqui
02.04.2014 um 19:26 Uhr
Nun kann jeder Standort auf den Hauptstandort zugreifen, nur nicht untereinander.
Technisch ist das aber problemlos möglich natürlich. Da hast du vermutlich die Routings vergessen in diese Netze wie so oft hier ?!
In der IPSEC config der jeweiligen Fritz!Boxen steht aber die IP adressen des anderen Standortes mit
Da müsstest du JEDEN Standort eintragen wenn es bei den Niederlassungen eine any zu any Kommunikation geben soll. Wie man das bei den Fritzen richtig einstellt kannst du hier nachlesen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
Ich denke, dass die PfSense hier den Zugriff nicht erlaubt,
Ja, genau das ist ein zweiter Punkt !
Auf den Tunnel Interfaces musst du natürlich die FW Rules anpassen das das erlaubt ist. Sieh sonst immer in das Firewall Log der pfSense dort steht genau was wo geblockt wird.
Vorher immer einmal löschen sonst sieht man viel Müll.
Bitte warten ..
Mitglied: Webkamer
02.04.2014 um 21:31 Uhr
Erstmal danke für deine Geduld

also ich hab JEDEN Standort in der VPN Config als "permit any" eingetragen und dann noch als Route:
z.b. in der Box 192.168.60.1
Ziel 192.168.30.0
Subnetz: 255.255.255.0
Gatway: 192.168.50.1

In der PfSense .50.1 ist in den Firewall rules "pass" mit Protokoll "any" eingetragen. -> Somit sollte doch für dieses Interface die Firewall quasi "aus" sein?

Irgendwas übersehe ich in der pfsense: Evtl. in den Phase 2 Einstellungen des Tunnels:
Dort gebe ich doch "Local Network" -> "Lan Subnet" ein. Muss ich da noch was unter NAT/BINAT eintragen?

Im Firewall Log taucht nichts auf, was darauf deutet dass zwischen den Netzen was geblockt wurde.
Wenn ich am PC (Standort .60) ein Tracert mache, geht das Paket nur bis zum Gateway 192.168.60.1
Klappt die Route an der Fritz!Box nicht?

Besten Gruß
Webkamer
Bitte warten ..
Mitglied: aqui
03.04.2014, aktualisiert um 09:04 Uhr
In der PfSense .50.1 ist in den Firewall rules "pass" mit Protokoll "any" eingetragen.
Mmmhhh, das sagt alles und gar nix ! WAS ist denn dort für eine Source und Destination Adresse eingetragen die durch darf ? Das ist das was zählt. (Zitat)
"After building the tunnel, you will need to add firewall rules (Firewall > Rules, IPsec tab) that govern what traffic is allowed to pass on your VPN tunnels".

Die IPsec Phases haben nichts mit dem Routing zu tun sondern lediglich mit dem Tunnelaufbau. Wenn alle deine IPsec Tunnel sauber aufbebaut sind und funktionieren ist IPsec dann aus dem Schneider !
WAS sagt denn deine Routing Tabelle auf der pfSense ??
Die kannst du dir unter "Diagnostics" ansehen und dort müssen alle Filialnetze aufgeführt sein mit ihren Gateways ! Dann "kennt" die pfSense auch alle dise Netze.
Der Knackpunkt ist vermutlich die Absender IP Adresse, das die pfSense nicht Pakete die eine Filial Source IP haben an andere Filialnetze forwardet, was dann wieder auf ein fehlerhaftes Routing schliessen lässt.
Was sagt denn ein Traceroute -n von Filiale zu Filiale. Wo bleibt das hängen ?
Vielleicht hilft das noch: http://www.youtube.com/watch?v=7txzpGaL4F8
Bitte warten ..
Mitglied: Webkamer
03.04.2014 um 13:10 Uhr
So also langsam kommen wir der Sache näher:
Die Remote Netze sind nicht in der Routing Tabelle aufgeführt, aber wer ist der GW für das Routing?
Ich hab ja nicht klassisch durch den IPSEC eine IP im Lokalen Netz, die ich als Gateway verwenden kann.
Wer ist also Gateway für das .30 Netz? Die PfSense mit .50.1 ?
Wenn die nicht in der Routing Tabelle aufgeführt, wie funktioniert dann der Zugriff aus dem .50 Netz zu den Remotestandorten überhaupt?
Ist das durch den IPSEC Tunnel schon Standardmäßig so?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Fritz!Box 6490 Cable source IP based routing (8)

Frage von ketanest112 zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Fortigate 50B hinter Fritz Box 7490 - Side to Side VPN (12)

Frage von teletown zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...