Probleme bei IPSEC VPN Verbindung
-
Hallo hoba,
sorry meinte die pf sense hatte damals ziemlich lange die mono im einsatz bis ich die pf entdeckt hatte, von features, funktionen und support finde ich die pf sense klar überlegen. ;)
Hatte jetzt mal ziemlich lange an einen Draytek herum probiert habe festgestellt das die remote gateway ip wohl egal ist und die eigene wan ip auch. Habe dadurch auch einen Bug bei den Geräten festgestellt wenn man zu lange was umstellt muss man das Gerät komplett reseten sonst stellt er irgendwann keine VPN Verbindung mehr her obwohl wieder alles rückgängig gemacht wurde. ;DMuss irgendwo ein Punkt in der PF Sense sein, ich habe auch einige Static Routes dort klappt es Eindwandfrei auf das entfernte Netz z.B. auf Drucker zuzugreifen.
zum IPSec Netz:
Ich komme auch mit Remoteadmin Software auf entfernte PCs über die IPSec Verbindung und anpingen kann ich die Drucker auch. Kann es sein das es irgendwie an Port 80 und mit dem Proxy zu tun hat? Habe auch mal die IP bei Allowed Subnets im Lightsquid hinzugefügt aber das ist ja eigentlich nur dafür das die Person aus dem anderen Netz ins Internet kommt. NAT steht auf automatisch IPSEC passthrough. -
Den Proxy hast Du uns vorenthalten ;) Ist das ein transparenter Squid auf der pfSense? Wenn ja mach mal folgendes:
system>static routes:
Route hinzufügen:
<remote office="" subnet="" hinter="" tunnel="">, Gateway <lokale lan-ip="" der="" pfsense="">Ich sehe schon das Fragezeichen über Deinem Kopf ;DAlso, Services, die auf der pfSense selbst laufen (der Squid) können den Tunnel nicht benutzen. In den Tunnel hinein kann nur, was vom LAN subnet kommt. Durch den Trick der statischen Route sorgst Du dafür, daß der Traffic über das LAN-Interface gererouted wird und schon geht's durch den Tunnel. Funktioniert auch für andere Services auf der pfSense. z.B. könntest Du jetzt auch den DNS-Forwarder so konfigurieren, daß der durch den Tunnel die Domäne am Hauptstandort auflösen kann, remote Syslogs über den Tunnel zum Hauptstandort senden usw usw.</lokale></remote>
-
cool danke dir das funktioniert super :)
gibt es eigentlich eine möglichkeit wenn ich richtige Static Routes habe dort DHCP IP Adressen zu verteilen ohne vor Ort einen aufzustellen. Sprich das die PFSense am Hauptstandort auch die Filialen mit IP Adressen versorgt, wobei dort aber wieder ein anderer IP Keis wäre ???
-
Mit dem pfSense eigenen DHCP-Server geht das glaube ich nicht (der kann nur ein Subnet pro Interface verwalten). Ansonsten könntest Du DHCP-Relay nutzen, muß aber zugestehen, daß ich damit selbst noch nicht rumgespielt habe (Services>dhcp relay).
-
versuch wäre es wert :)
-
danke werde ich mal probieren :)
Teste gerade eine neue Terminal Software welche den Webbrowser und Java nutzt, bekomme bei den Maschinen welche über Static Rotes verbunden sind immer die Meldung:
Cannot connect to the server test.firma.intern:5307
The HTTP proxy pfsense.firma.intern:3128 failed to connect to the server test.firma.intern:5307.The following response was returned:
HTTP/1.0 403 Forbidden
muss ich da noch was in der Firewall freigeben? Oder wo finde ich da einen Punkt zu, danke :)
-
du gehst da über einen proxy raus (3128-squid), entweder proxy ausstellen o. die entsprechenden ip in den browsereinstellungen excluden…..
-
ausstellen habe ich versucht geht nicht wahrscheinlich weil der proxy Transparent ist und er so doer so verwendet wird.
proxy für lokale Adresse umgehen habe ich angewählt. In Proxy habe ich noch das Feld"Do NOT proxy Private Address Space (RFC 1918)"
"Do not forward traffic to Private Address Space (RFC 1918) to the proxy server."soll ich das mal anschalten?
-
ja transparent, ist dann schwierig im client ;) RFC1918 Haken kannst Du probieren
-
habe jetzt die passende Einstellung im IE gefunden man muss die IP noch zusätzlich in der Liste erweitert eintragen. Dann kommt kurz eine Warnung wegen unsicheren Intranet aber die kann man weg schalten, dann funktioniert es :D
-
schön :)