ss140207
Goto Top

VPN(IPSec) mit pfsense, externe IP Adressen sind nicht erreichbar

Liebe Community,
ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ist das Ganze als Routerkaskade, da sich der Zwangsrouter nicht in einen Bridgemode versetzen lässt. Ich habe es Dank der Beschreibung von aqui geschafft, einen VPN Remotezugang via IPSec zu konfigurieren (IOS). Der VPN Zugang funktioniert soweit, dass interne IP Adressen von aussen erreichbar sind. Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht. Aus dem Heimnetzwerk sind interne sowie externe IP Adressen erreichbar.

Wie kann ich dieses Verhalten ändern, damit sowohl interne als auch externe Adressen erreichbar werden.

Version der pfsense ist 2.3.4.

Ich freue mich auf eure Kommentare.

Viele Grüsse
Stephan

Content-Key: 356131

Url: https://administrator.de/contentid/356131

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: tomolpi
tomolpi 25.11.2017 um 19:08:03 Uhr
Goto Top
Zitat von @ss140207:
ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ist das Ganze als Routerkaskade, da sich der Zwangsrouter nicht in einen Bridgemode versetzen lässt. Ich habe es Dank der Beschreibung von aqui geschafft, einen VPN Remotezugang via IPSec zu konfigurieren (IOS). Der VPN Zugang funktioniert soweit, dass interne IP Adressen von aussen erreichbar sind. Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht. Aus dem Heimnetzwerk sind interne sowie externe IP Adressen erreichbar.

IP-Adressen oder Domains? Wenn zweites, tippe ich auf einen fehlenden DNS, den das iPhone nicht anfragt.

Viele Grüsse
Stephan
Schönen Abend!

Tom
Mitglied: ss140207
ss140207 25.11.2017 um 19:21:01 Uhr
Goto Top
Zitat von @tomolpi:
IP-Adressen oder Domains? Wenn zweites, tippe ich auf einen fehlenden DNS, den das iPhone nicht anfragt.

Danke für die erste Idee, aber es sind weder Domains noch aufgelöste IP-Adressen erreichbar.

Viele Grüsse
Stephan
Mitglied: em-pie
em-pie 25.11.2017 aktualisiert um 20:22:43 Uhr
Goto Top
Moin,

hast du in der FW (pfSense) denn auch zugelassen, dass der VPN-Traffic ins heimische WAN ausbrechen darf?

Edit:
existiert auch eine statische Rückroute im Kabelmodem, welche das VPN-Netz zur pfSense sendet!?

Gruß
em-pie
Mitglied: ss140207
ss140207 26.11.2017 um 01:20:16 Uhr
Goto Top
Hallo,
ich habe in der FW für den VPN Traffic (Reiter IPSec) folgende Regel die meiner Meinung nach für alles was aus dem VPN kommt, nach aussen offen sein sollte:

fw1

Bezüglich der statischen Rückroute im Kabelmodem: Wie hätte eine solche Regel auszusehen? Die Einstellmöglichkeiten des Kabelmodems wurden leider vom Netzbetreiber sehr stark eingeschränkt. Alles in allem ist hier nur eine Portweiterleitung und IPSec und PPTP Durchleitung sowie Multicast und UPnP konfigurierbar.

Viele Grüsse
Stephan
Mitglied: em-pie
Lösung em-pie 26.11.2017 um 10:47:50 Uhr
Goto Top
Fein.
eine Any-to-Any Regel :/
Hoffentlich ist die nur zum Test aktiv..

Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Apps dafür gibt es hier: https://itunes.apple.com/us/app/inettools-ping-dns-traceroute-port-scan- ...
Dann mal sehen, wo der "Knabe" hängen bleibt...

Zu meinem obigen und der Rückroute: die macht auch nur Sinn, wenn die pfSense kein NAT aktiv hat...

Von welchem Hersteller und welches Modell ist denn dein Kabelmodem?
Mitglied: aqui
Lösung aqui 27.11.2017 aktualisiert um 09:47:31 Uhr
Goto Top
Die pfsense befindet sich hinter einem Kabelmodem.
Ist das wirklich ein reines Modem oder ist das ein Router ?? Die beiden Begriffe Modem und Router werden hier im Foirum leider immer und immer wieder irrtümlich verwechselt und durcheinenader gewürfelt face-sad
Ein Modem ist ein reiner Medienwandler und am Paket Forwarding nicht beteiligt.
Eine Router mach IP Paket Handling und wird dann oft in einer doppelten NAT Kaskade betrieben !
Siehe auch Tutorial hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Aber da es ja klappt hast du das richtig gemacht.
Leider sind externe IP Adressen vom IPhone nicht mehr erreichbar, sobald die VPN Verbindung steht.
Das ist klar, denn der VPN Client macht einen vollständigen Gateway Redirect, also alles wird über den VPN Tunnel geschickt.
Dann musst du natürlich auch entsprechende regeln einrichten das dein VPN IP Traffic auch nach draussen darf. Vermutlich fehlt das in deinem Regelewerk, denn das klappt fehlerlos.
Traceroute, die Firewall Logs usw. sind hier wieder wie immer deine Freunde. Siehe Kollege em-pie.
Mitglied: ss140207
ss140207 27.11.2017 um 23:41:36 Uhr
Goto Top
Zitat von @em-pie:
Fein.
eine Any-to-Any Regel :/
Hoffentlich ist die nur zum Test aktiv..
Dem ist so.

Zitat von @em-pie:
Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Wenn die Verbindung über das VPN steht bricht Traceroute ab und meldet "Invalid host or IP address"

Zitat von @em-pie:
Von welchem Hersteller und welches Modell ist denn dein Kabelmodem?
Technicolor TC7200.U gebranded und kastriert von UPC. Es sind nur noch minimale Einstellmöglichkeiten vorhanden.
Routerfunktion ist nicht abschaltbar. Aber die Routerkaskade funktioniert ja.

Zitat von @aqui:
Dann musst du natürlich auch entsprechende regeln einrichten das dein VPN IP Traffic auch nach draussen darf. Vermutlich fehlt das in deinem Regelewerk, denn das klappt fehlerlos.
Traceroute, die Firewall Logs usw. sind hier wieder wie immer deine Freunde. Siehe Kollege em-pie.

Ich habe die Regeln überarbeitet und siehe da, es funktionier für die Windows Rechner. Der gesamte Traffic wird über den Tunnel geleitet und sowohl Domains als auch IP Adressen sind erreichbar.

Die schlechte Nachricht ist von IOS Geräten aus sind nach wie vor nur Adressen im LAN erreichbar. Prinzipiell kann ich damit leben, aber irgendwie interessiert es mich doch warum das nicht geht.

Bis hier hin erst mal vielen Dank an tomolpi, em-pie und aqui für die Unterstützung. Falls jemand noch eine Idee zur IOS Problematik hat, würde ich mich freuen.

Schönen Abend
Stephan
Mitglied: aqui
aqui 28.11.2017 aktualisiert um 10:06:18 Uhr
Goto Top
aber irgendwie interessiert es mich doch warum das nicht geht.
Nimm mal einen Wireshark oder noch besser den pfSense interne Sniffer Tool unter Diagnostics --> Packet Capture und sieh dir mal den Traffic der IOS Geräte an der ins Internet geht oder gehen soll, ob der überhaupt dort ankommt und was mit ihm passiert !
Das wäre eine große Hilfe um erstmal zu sehen WO diese Pakete landen bzw. welchen Weg sie nehmen.
Es sieht ein bischen so danach aus das die Windows Clients den Redirekt umsetzen, die IOS Clients aber nicht oder nicht richtig.
Ggf. müsste man zusätzlich dann nochmal eine Default Route (0.0.0.0/0) über das IPsec propagieren unter Network list (Provide a list of accessible networks to clients) und checken ob das damit gefixt ist.
Mitglied: em-pie
em-pie 28.11.2017 aktualisiert um 13:21:49 Uhr
Goto Top
Zitat von @ss140207:
Zitat von @em-pie:
Dann mal analytisch vorgehen:
was passiert, wenn du vom VPN-Client aus einen Traceroute z.B. nach administrator.de absetzt?
Wenn die Verbindung über das VPN steht bricht Traceroute ab und meldet "Invalid host or IP address"
Dann klappt ja nicht mals die Namensauflösung, auf den ersten Blick jedenfalls. Löse mal die IP von administrator.de woanders auf und versuch dann nochal ein Traceroute. Für gewöhnlich zeigt er dir dann jeden Router an, an dem die Netze gewechselt werden (i.d.R. jedenfalls)

Zitat von @em-pie:
Von welchem Hersteller und welches Modell ist denn dein Kabelmodem?
Technicolor TC7200.U gebranded und kastriert von UPC. Es sind nur noch minimale Einstellmöglichkeiten vorhanden.
Routerfunktion ist nicht abschaltbar. Aber die Routerkaskade funktioniert ja.
Ach, wie ich diese Dinger ha... nicht mag..

Die schlechte Nachricht ist von IOS Geräten aus sind nach wie vor nur Adressen im LAN erreichbar. Prinzipiell kann ich damit leben, aber irgendwie interessiert es mich doch warum das nicht geht.
Was ergibt hier denn ein Traceroute?

Bis hier hin erst mal vielen Dank an tomolpi, em-pie und aqui für die Unterstützung.
Kein Ding...
Mitglied: ss140207
ss140207 28.11.2017 um 22:01:13 Uhr
Goto Top
Packet Capture hat gezeigt das kein Traffic über den IPSec Tunnel kommt, wenn eine Domain eingetragen wird.

Die Eintragung der LAN IP der PFSense unter "VPN->IPSec->Mobile Clients->Provide a DNS server list to clients" hat Abhilfe gebracht.

Warum bei Eingabe einer IP Adresse zwar Kommunikation im Tunnel stattfindet aber keine Daten im Browser ankommen verstehe ich noch immer nicht.
Mitglied: aqui
aqui 29.11.2017 um 08:57:52 Uhr
Goto Top
Was heisst das jetzt genau ?? Klappt es nun mit den iOS Clients nachdem du einen DNS Server angegeben hast ??
Würde auch Sinn machen, denn wenn ein Redirect stattfindet als DNS aber noch ein DNS eines anderen Providers aktiv ist und der nicht erreicht werden kann scheitert die Namensauflösung. Das hätte aber ein Ping auf eine "nackte" Internet Adresse wie z.B. 8.8.8.8 dann gezeigt, denn das hätte in jedem Falle auch ohne DNS geklappt !
Mit einen kostenlosen iOS IP Tool aus dem App Store wie: https://itunes.apple.com/de/app/he-net-network-tools/id858241710?mt=8 geht das problemlos.
Warum bei Eingabe einer IP Adresse zwar Kommunikation im Tunnel stattfindet aber keine Daten im Browser
Auch da die Frage wie du das meinst ?? Bezogen auf den Packet Capture unter Diagnostics oder allgemein auf den Internet Zugriff via VPN ??