Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN funktioniet nicht mehr

Frage Linux Linux Netzwerk

Mitglied: Coachi81

Coachi81 (Level 1) - Jetzt verbinden

12.05.2011 um 11:29 Uhr, 4287 Aufrufe, 10 Kommentare

Hallo,

wir haben seit kurzem ein Problem mit VPN. Und zwar haben wir ein Netzwerk wo pfsense als Firewall und PPPOE Router eingerichtet ist.
Bisher konnte ich mich immer von einem internen Client auf eine entfernte Fritzbox verbinden (mit VPN Client von FAVM). Seit ein paar Tagen
bringt er mir "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden" obwohl die Gegenstelle erreichbar ist (Ping). Andere
Kollegen haben das gleiche Problem mit VPN Verbindungen (zu anderen Gegenstellen), und auch eine PPTP Verbindung baut nicht mehr auf.
Die Firewall ist "eigentlich" so eingestellt das sie alles durchlässt was von innen nach aussen geht, deswegen weiss ich mom. nicht mehr so
recht wo ich noch einhacken könnte. Ich hoff mir kann jemand helfen...

Mit freundlichen Grüßen
Mitglied: aqui
12.05.2011 um 12:43 Uhr
Du hast einen Fehler beim Setup der pfSense Firewall gemacht. Von innen nach außen reicht nämlich nicht bei IPsec VPNs wie es die FB verwendet und auch nicht bei PPTP VPNs !!!
Du musst auf dem WAN Interface der pfSense die entsprechenden Ports für IPsec und PPTP auch explizit zulassen denn sonst blockt die Firewall diese denn du nutzt einen Firewall und keinen Router !

Schalte also am WAN
  • UDP 500
  • UDP 4500
  • GRE Protokoll
  • ESP Protokoll
Von any nach any frei und dann klappt das auf Anhieb ! Wenn du nur einmal ins Firewall Log der pfSense gesehen hättest dann hätte sich dieser Thread vermutlich erübrigt. Dort steht nämlich was die pfSense blockt und das sind im mindesten ESP und GRE so das der VPN Tunnel nicht aufgebaut wird !
Bitte warten ..
Mitglied: Coachi81
12.05.2011 um 14:10 Uhr
ok das wusste ich nicht, hab gedacht damit ist alles frei, zumindest von innen nach aussen. Hab jetzt die Ports und Protokolle mal zusätzlich freigeschaltet aber leider bekommen wir immer noch den gleichen Fehler. Die Firewall Logs zeigen nichts an, obwohl das Häckchen in der Regel gesetzt ist das er mitlogen soll.
Irgendwo hab ich wohl noch einen Fehler, was könnte denn noch sein? Hab noch zusätzlich den TCP port 10000 freigeschalten aber das wars auch nicht
Bitte warten ..
Mitglied: Coachi81
12.05.2011 um 19:21 Uhr
Ach ja, wie ist denn das gemeint das ich einen Firewall nutze und keinen Router? Die pfSense ist in meinem Fall beides denn die Einwahl ins Inet, Nat... macht sie ja auch. Dahinter ist nur noch ein reines DSL Modem zum Internet.

Wieso müssen denn die Ports und Protokolle am WAN freigeschalten werden und nicht am LAN? Ist glaub ich ne blöde Frage aber ich versteh grad nicht den Unterschied zu "normalen" Regeln die ja alle das LAN Interface betreffen
Bitte warten ..
Mitglied: aqui
13.05.2011 um 09:49 Uhr
Der LAN Port ist ja offen wie du selber unschwer in den Firewall regeln zum LAN sehen kannst. IPsec und PPTP eröffnen dir aber vom Server einen GRE Tunnel (PPTP) oder einen ESP Tunnel (IPsec).
Der kommt nun am WAN Port an und wird dort geblockt, denn am WAN Port ist per default alles geblockt wie sich das gehört für eine FW. Deshalb musst du für GRE und ESP diese Ausnahme einrichten.
Bitte warten ..
Mitglied: Coachi81
13.05.2011 um 10:55 Uhr
Es hat sich mittlerweile herausgestellt das eine VPN Gegenstelle (IPSEC) ein Problem hatte und bei meinen Kollegen, die PPTP nutzen scheint es so zu sein dass das Load Balancing das wir auch noch eingerichtet haben ein Problem macht. Anscheindend kann man sich nur jedes zweite oder dritte mal zur Gegenstelle verbinden. Also hab gedacht eine DSL Leitung hat ein Problem, ist aber nicht so, wenn ich mir eine DSL Leitung fest zuweise funktioniert PPTP ohne Probleme. Nur über Load Balancing geht es nicht immer.
Hab an der Firewall mal bisschen rumgespielt und rausgefunden das es vollkommen egal ist welche Freischaltungen ich mach, es funktioniert grundsätzlich ohne "TCP 1723, UDP 500..." nur nicht bei PPTP bzw. da nur jedes 2te oder 3te mal. Naja, ich könnte es mir jetzt leicht machen und den entsprechenden Clients einfach eine festen DSL Leitung zuweisen quasi ohne Load Balancing aber mich würde interessieren wo die Ursache ist. Die Firewall zeigt im Log keine blockierten Ports an.
Hat jemand eine Idee was da noch sein könnte?

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
13.05.2011 um 16:08 Uhr
IPsec oder GRE kann man nur Session basierend Load Balancen ! Darauf solltest du achten. Per Packet Round Robin ist nicht möglich !
Bitte warten ..
Mitglied: Coachi81
13.05.2011 um 16:33 Uhr
Ok, hab mir schon sowas gedacht. IPSEC funktioniert anscheinend, es geht tatsächlich nur um PPTP. Hab jetzt schon versucht das ich nur die Protokolle und Ports für PPTP immer über eine DSL Leitung laufen lass und nur der "Rest" läuft übers Load Balancing. Leider bisher ohne Erfolg. Vielleicht weiss ja noch einer was... ansonsten muss ich es leider echt so machen das ich Reservierungen für die PC`s mach die das brauchen und diese über "feste" DSL Leitungen laufen lass, das wär aber nur die zweitbeste Möglichkeit

Oder gibts da vielleicht einen Trick um das ganze sessionbasierend zu machen?
Bitte warten ..
Mitglied: aqui
13.05.2011 um 17:35 Uhr
Ggf. solltest du die pfSense mal rebooten. GRE hat keine Portnummern sondern nur Session IDs. Wenn diese alten noch im Cache stehen (Um GRE Sessions über NAT zu bringen müssen die Session ID zu lokalen IP Adressen gecacht werden !) blockieren die ggf. den Timeout und es können keine weiteren GRE Session mehr passieren.
Zur Sicherheit also mal rebooten um den Cache sicher zu löschen und dann den Test wiederholen.
Bitte warten ..
Mitglied: Coachi81
16.05.2011 um 08:26 Uhr
Ich hab heut den Test mal mit Reboot von pfSense gemacht, doch es ist das gleiche Problem. Hier meine Regeln am LAN Interface.

GRE 192.168.2.1 * * * W2 failed to W1

TCP 192.168.2.1 1723 (PPTP) * * W2 failed to W1

Was könnte das denn noch für ein Problem sein?
Bitte warten ..
Mitglied: Coachi81
20.05.2011 um 14:45 Uhr
Ich hab jetzt rausgefunden wo der Fehler lag. Und zwar muss in der Firewall bei den Regeln der Port 1723 nicht die Quelle sein sondern das Ziel
dann funktionierts auch
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Windows Netzwerk
Kein RDP über VPN per MS-TSC möglich (9)

Frage von survial555 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...