Hat wunderbar funktioniert (auch wenn IPSec im Vergleich zu OpenVPN doch recht fummelig zu confen ist).

Schönes WE!  8)

@BlueKobold:

Kingston schreibt dazu:
Alle MLC-basierten SSDNow Laufwerke von Kingston sind jetzt TRIM-kompatibel. Einige unserer SSDNow-Laufwerke der ersten Generation sind nicht TRIM-kompatibel.

Genau das ist ja das Problem, ich habe auf dem Datenblatt von Kingston nichts davon gefunden, jedoch gibt es eine FAQ wo gezeigt wird wie man TRIM in Windows 7 aktiviert, was nur darauf schließen lässt..

Ja, okay… das ist auch deutlich günstiger! Danke!

Ja, der Traffic über diese Verbindung ist minimal. Ein Schliesssystem. Also ab und zu mal ein paar Pakete mit irgendwelchen ID's oder sowas…

Hier meine funktionierende Konfig für eine Lan2Lan Kopplung zwischen Pfsense und Fritzbox.

Ich muss aber anmerken, dass es VPN-Technisch keine Traum-Ehe der beiden Geräten ist. Dafür ist die Fritzbox mit den Einstellmöglichkeiten zu limitiert.

Gruß
Rubinho

Fritzbox VPN Konfig:

vpncfg { connections {   enabled = yes;   conn_type = conntype_lan;   name = "Lan2Lan";   always_renew = yes;   reject_not_encrypted = no;   dont_filter_netbios = yes;   localip = 0.0.0.0;   local_virtualip = 0.0.0.0;   remoteip = 0.0.0.0;   remotehostname = "dyndns.derPfsense.de";   remote_virtualip = 0.0.0.0;   localid {     fqdn = "dyndns.derFritz.de";     }   remoteid {     fqdn = "dyndns.derPfsense.de";     }   mode = phase1_mode_aggressive;   phase1ss = "def/3des/sha";   keytype = connkeytype_pre_shared;   key = "Presharedkey";   cert_do_server_auth = no;   use_nat_t = no;   use_xauth = no;   use_cfgmode = no;   phase2localid {     ipnet {       ipaddr = 192.168.178.0;  #IP Netz vom Fritzbox LAN       mask = 255.255.255.0;       }     }   phase2remoteid {     ipnet {       ipaddr = 192.168.0.0; # Sammelnetz zur Pfsense       mask = 255.255.0.0;       }     }   phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";   accesslist =   "permit ip any 192.168.1.0 255.255.255.0", # Lan1 der Pfsense   "permit ip any 192.168.2.0 255.255.255.0"; # Lan2 der Pfsense   }   ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",                       "udp 0.0.0.0:4500 0.0.0.0:4500"; } //EOF

phase1zurfritz.JPG
phase1zurfritz.JPG_thumb
phase2zurfritz.JPG
phase2zurfritz.JPG_thumb

Dann ist das genau so wie ich gesagt habe.
Die Anfrage geht an die .253 die Antwort kommt aber von der .254 weil die ja eh im selben Netz ist und daher nicht mehr über die .253 Antworten muss.
Dann hat man eben ein asymmetrisches routing was eben leider dazu führt das Sitzungen wie RDP oder SSH abbrechen können.

Am besten wäre wirklich wie du schon schreibst Multi WAN also das eine PfSesne alles macht oder spricht da was gegen?

Wenn ja dann am besten ein Tarsnfernetzt zwischen beiden PfSensen aufbauen also ein neue Netz was nichts mit den aktuell bestehenden zu tun hat und dann darin vpn der einen auf die andere PfSense verweisen. Damit könnte es vielleicht gehen.
Der Aufwand ist aber denke ich größer als einfach eine PfSense hin zu bauen die alles macht. Multi WAN ist ja in den neusten Versionen kein Problem mehr.

Das ist ja mein Problem, ich würde das gerne genau so machen wie du es sagst, aber irgendwie stimmt da etwas mit dem Routing nicht.

Der Tunnel steht, aber wenn ich per Diagnostic versuche einen Ping (von dem erstellten Interface oder von dem OpenVPN Client selber) auf www.google.de oder heise.de zu schicken und hab da bereits einen 100% Paketverlust…

Ich weiß nur leider nicht wo ich nach dem Fehler suchen kann da mir OpenVPN sagt der Tunnel wäre aufgebaut.

//edit: So hab es nun hinbekommen, mein Fehler war das ich versucht habe eine TUN Verbindung zu einem TAP-only Port herzustellen.

Nun wird alles sauber geroutet und es funktioniert!!! Das hat mich ganze 3 Tage gekostet :D..

Gruß

Na ja … umgebogen via Rule habe ich es ... jedoch wenn man eine Failover Config erstellen möchte dann ist man auf den APinger angwiesen.

Was das State Killing angeht, so kenne ich diese Option... hilft jedoch nicht.

Ich habe inzwischen herausgefunden das nach einem Neustart in der apinger.conf nur das WAN IF aufgeführt ist, das VPN IF taucht nicht auf.
Nach einem Neustart von APinger taucht dieses jedoch dort auf.

Scheinbar wird der APinger vor dem GW gestartet, und das GW fehlt deswegen in der Config. Hier fehlt irgentwo scheinbar ein trigger...

Ok, ich habe es hin bekommen. Zumindest auf der Seite der Pfsense funktioniert es, leider wirft der Cisco die Pakete alle weg. Da er keine Option besitzt, die Antworten für ein unbekanntes Netz zurückzusenden. Leider kann man ebenfalls die Phase2 nicht weiter konfigurieren. Aber zumindest kann man sehen, das im TCPdump die Pakete mit der richtigen IP ankommen.

Nun bleibt nur noch eine kleinere Frage: Wie bekomme ich es hin, das ein Client im LAN der pfsense eine Virtuelle Adresse anpingt die durch den Tunnel auf einen Rechner im LAN des Cisco´s verweist?

Das wäre demnach ein NAT before IPSEC, oder?

Danke hat alles funktioniert
jetzt lasse ich euch wieder in Frieden

Nabend,

dann würde ich (kein Gewähr!) sagen es wäre natürlich möglich, wie gesagt muss es dann am Modem untagged werden.

Gruß

Hi,

so - Austausch ist durch - wie von flix87 vorgeschlagen.

Alles perfekt gelaufen, keine Ausfallzeit. Super!

for the records:

Backup gezogen, neuen Rechner mit default-Einstellungen installiert
Die Reihenfolge der Interfaces WAN - LAN - OPT1 - OPT2 - OPT3 über die Konsole eingerichtet.
Die richtigen IP-Adressen zugeteilt.
Über Crosslink-Kabel mit der LAN-Schnittstelle einen Laptop verbunden und über die WebGui das Backup zurückgespielt
Gebootet und die Kabel vom defekten an den neuen Rechner gesteckt - fertig.

Gruss

bakunin

@flix87:

Aber ich glaube das der das Problem macht weil du ja dann nicht mehr direkt rausgehst.

Squid auf dem Interface deaktiviert und alles ist OK. (… ich frag' mich gerade, ob ich squid wirklich brauche)

Was du mal testen kannst ist wenn du noch eine Regel anlegst wie unten nur statt mit deinem Lan Netz mit 127.0.0.1/32 vielleicht geht das weil der Squid ja irgendwie wohl ach als localhost erkannt wird.

Hab ich probiert, funktioniert aber nicht …

Danke für die Problemlösung

bakunin

Nicht nur Du  ;)

Gruß Hornetx11