pfSense mit allem Traffic über VPN zu Ubiquti

waeck · Aug 1, 2022, 3:32 PM

Hallo zusammen

Zuhause habe ich eine Ubiquiti USG Pro 4.

Vom Ausland (Ferienhaus) möchte ich ALLEN Traffic über IPse VPN laufen lassen.
(Um TV zu schauen und damit ich mich nicht immer mit gesperrten Seiten herumschlagen muss.)

Im Ausland habe ich pfSense auf einem kleinen PC laufen.
Von da aus klappt das VPN auch einwandfrei.

Wie bekomme ich jetzt alle Traffic über VPN?

(pfSense als Empfänger könnte dies steuern. Ubiquiti leider nein.)
Gibt es also eine Möglichkeit auf der pfSense (als Sender), zu definieren, dass alles was ins VAN will, erst über VPN geht, bevor es ins WAN geht?

Leider bin ich kein Profi. Ich hoffe ihr könnt mein Problem verstehen und mir helfen .

DANKE!!

viele Grüsse, waeck

viragomann · Aug 1, 2022, 3:32 PM

@waeck said in pfSense mit allem Traffic über VPN zu Ubiquti:

Gibt es also eine Möglichkeit auf der pfSense (als Sender), zu definieren, dass alles was ins VAN will, erst über VPN geht, bevor es ins WAN geht?

Ich nehme an, es ist eine policy-routed Site-to-site VPN.
Dann kannst du in der Phase 2 das "Remote Network" auf 0.0.0.0/0 setzen, um alles über die VPN zu routen.

Allerdings müsste auf der anderen Seite nach IPSec Standard die P 2 ebenso konfiguriert sein, also hier das lokale Netz.
Kannst du also versuchen. Wenn sich die Ubiquiti aber an den Standard hält, was ich annehme, und den Upstream Traffic nicht akzeptiert, wird sie die Pakete verwerfen.

Bietet die Ubiquiti nicht auch andere VPNs wie routed IPSec oder OpenVPN? Da wäre das eher einseitig umzusetzen.

waeck · Aug 2, 2022, 7:15 PM

@viragomann said in pfSense mit allem Traffic über VPN zu Ubiquti:

Bietet die Ubiquiti nicht auch andere VPNs wie routed IPSec oder OpenVPN? Da wäre das eher einseitig umzusetzen.

Hallo viragomann

Danke für dein Feedback. Bei Unbiquiti geht dies schon mal nicht.

Also Open VPN würde Ubiquiti auch unterstützen.
Hier muss ich aber erst mal einen Sid to Sid Verbindung einrichten.

Wie müsste ich hier vor gehen, um das Ziel zu erreichen?

Dank für deine Hilfe!!

Gruss waeck

viragomann · Aug 3, 2022, 9:53 AM

@waeck said in pfSense mit allem Traffic über VPN zu Ubiquti:

Bei Unbiquiti geht dies schon mal nicht.

Du meinst das mit dem Remote Network der P 2?

Es könnte an 2 Dingen scheitern. Zum einen die IPSec Policy selbst. Wenn die Ubiquiti dies eng sieht, werden keine anderen Netze erlaubt, als das, was sie selbst als lokales Netzwerk konfiguriert hat. Vielleicht kannst du das auch auf 0.0.0.0/0 setzen.
Das andere ist, es müssen alle Pakete, die zum WAN rausgehen genattet (auch "Masquerading") werden.
Die pfSense macht das standardmäßig nur für Netze, die an ihren Interfaces definiert sind, also nicht für ein Remote Netz. Das müsste manuell hinzugefügt werden.
Billig-Router machen das meist generell für alle Quellnetze.
Wie Ubiquite da agiert, weiß ich nicht. Aber vielleicht findest du dafür eine Einstellung.

Wenn letzteres auf der Firewall nicht möglich ist, hilft auch OpenVPN nicht weiter.

waeck · Aug 4, 2022, 5:33 PM

Hoi viragomann

Danke für dein Feedback.

Ja genau bei P2 kann ich nichts einstellen oder anpassen...

Ist es möglich, dass pfSense sich als Client an Ubiquiti einloggt?

Mein iPhone kann dies und dort kann ich alles über Ubiquiti laufen lassen.
Dies würde mir eigentlich auch schon reichen...
Nur so ne Idee!

Danke für die Hilfe!

Gruss waeck

JeGr · Aug 5, 2022, 1:54 PM

@waeck Also laut der eigenen Doku kann die UDM bzw. die USG durchaus ein P2 VPN:

https://help.ui.com/hc/en-us/articles/360002426234-UniFi-USG-UDM-VPN-How-to-Configure-Site-to-Site-VPNs

Da steht auch konkret:

Manual IPsec Create an IPsec Site-to-Site VPN between two locations with or without Dynamic Routing.
Also kein VTI (auch wenn das gehen würde), sondern klassisches P2 Policy VPN

waeck · Aug 7, 2022, 11:08 AM

Hallo JeGr

Danke für die Info.

Ja stimmt P2 hat sie.

Jetzt habe ich auch gesehen, dass ich doch 0.0.0.0/24 hinzufügen kann.
Werde es schnellst möglich testen... bin gespannt.

Danke für eure Hilfe!

Gruss waeck

viragomann · Aug 7, 2022, 4:07 PM

@waeck said in pfSense mit allem Traffic über VPN zu Ubiquti:

Jetzt habe ich auch gesehen, dass ich doch 0.0.0.0/24 hinzufügen kann.

0.0.0.0/0 wäre interessant.

waeck · Aug 7, 2022, 4:07 PM

@viragomann said in pfSense mit allem Traffic über VPN zu Ubiquti:

0.0.0.0/0

Hallo zusammen

Leider bring Ubiquiti eine Fehlermeldung.
Ist somit also nicht möglich.

Dafür habe ich aber ein andere Idee oder Ansatz gefunden.

Unter Schnittstelle / PPP's kann ich eine neue "Verbindung" mit L2TP einrichten.
Diese kann ich danach als neue Schnittstelle hinzufügen.

Mit dem iPhone klappt die Verbindung zu Ubiquiti.
Mit der pfSense leider nicht...

Gibt es dafür evtl einen Tip?
Diese Verbindung sollt. lt. Internet auch möglich sein. Ist zwar nur für einen Weg aber dies würde mir reichen...

Gruss waeck

waeck · Aug 8, 2022, 3:15 PM

@waeck said in pfSense mit allem Traffic über VPN zu Ubiquti:

Unter Schnittstelle / PPP's kann ich eine neue "Verbindung" mit L2TP einrichten.
Diese kann ich danach als neue Schnittstelle hinzufügen.
Mit dem iPhone klappt die Verbindung zu Ubiquiti.
Mit der pfSense leider nicht...
Gibt es dafür evtl einen Tip?
Diese Verbindung sollt. lt. Internet auch möglich sein. Ist zwar nur für einen Weg aber dies würde mir reichen...

Habe aus einem Dokument entnommen, dass die nicht für "normale" VPN ist sonder für ISPs.

*Q: Can I use pfSense's WAN PPTP feature to connect to a remote PPTP VPN?

A: The pfSense WAN PPTP feature is for ISPs that require you to connect using PPTP. This feature cannot be used as a PPTP client to connect to a remote PPTP server to allow pfSense to route over the PPTP connection.*

Somit geht diese Idee auch nicht... Schade!