Site to Site IPSec

sleid · May 10, 2012, 7:40 AM

Hallo

Ich bin langsam echt am verzweifeln…

Ich habe zwei Pfsense im Einsatz und möchte unter diesen ein Site to Site VPN mit IPSec aufbauen (zwei Firmenstandorte). Beide Netzwerke haben unterschiedliche Subnets.

Hauptsitz: 10.0.0.0/24
Standort 2: 10.6.1.0/26

Die Verbingung unter Status: IPsec ist auch aufgebaut, das Icon ist (bei beiden) grün. Ich kann auch auf die jeweilige Firewall zugreifen. Jedoch komme ich nicht "weiter". Sobald ich auf einen Server oder sonstigen PC im jeweiligen Netz zugreifen möchte, gibt es ein Timeout = findet den Server/PC nicht. Ich kann also weder pingen noch irgend eine Verbindung herstellen.
Aber die Verbindung zwischen den Pfsense steht defintiv, da ich ja ohne weiteres auf die jeweilige Firewall zugreifen kann.

In den Firewall Rules habe ich testweise komplett alles aufgemacht, aber auch dann funktioniert nichts.

UDP * * * 500 (ISAKMP) * none IPSec
UDP * * * 4500 (IPsec NAT-T) * none IPSec

Hatte jemand auch schon mal so ein Problem und könnte mir helfen?
Oder was könnte ich noch posten, was hilfreich ist? In den Logs erscheinen leider keine Fehlermeldungen...

Edit: Die PFsense haben folgende Versionen:
Hauptsitz: 2.0.1-RELEASE (i386)
Standort 2: 2.0-RC3 (i386)

Besten Dank schon im Voraus!

A Former User · May 10, 2012, 8:42 AM

Hallo sleid,

pingst du die Hosts von einem Client aus an oder direkt von der pfsense (Diag. -> Ping)?
Kann es ggf. noch Client- und/oder Serverseitig an der (Windows- ?)Firewall scheitern?

Passt dein Routing?

Gruß Sanches

sleid · May 10, 2012, 9:36 AM

Hallo Sanches

Ich pinge die Hosts von beiden Stationen aus. Vom Client (Mac) funktioniert es nicht, sowie über den ping von der Pfsense.

Die Firewall auf dem Mac ist zur Zeit deaktiviert.

Beim Hauptsitz gibt es mehrere Stationen (Mac-Server, zwei Synology NAS und eine Telefonzentrale) - all diese vier IPs kann ich nicht anpingen oder verbinden (ssh).

@sanches:

Passt dein Routing?

Beide Pfsense machen das Routing und sind direkte Gateways

Grüsse,
Sleid

A Former User · May 11, 2012, 6:59 AM

Hallo,

hast du den in beiden pfsense-Firewall's die jeweiligen Regeln (z.B. SSH) erlaubt?
Kannst du ggf. im Firewall-Systemlog erkennen, ob dort ggf. solche Pakete gedroppt werden?

Geben dir generell deine Logs mehr Aufschluss über diese Geschichte?

Gruß Sanches

sleid · May 11, 2012, 7:33 AM

@sanches:

hast du den in beiden pfsense-Firewall's die jeweiligen Regeln (z.B. SSH) erlaubt?

In den IPSec "Tabs" in der Firewall ist alles erlaubt (jedes Protokoll, jede Source/Destination).

@sanches:

Kannst du ggf. im Firewall-Systemlog erkennen, ob dort ggf. solche Pakete gedroppt werden?

Ich sehe irgendwie keine relevanten Drops.

Werde mal die IPSec Logs hier posten, evtl. sagen die Dir mehr als mir. Danke schonmal!