[Gelöst] VPN (IPSEC) mit Fritzbox und mehreren Netzen

rubinho

Hallo Leute,

ich habe da mal eine Frage zu IPSec VPN zwischen Pfsense und einer Fritzbox.
Ich weis, das Thema ist schon öfter hier gefallen, jedoch nicht mit mehreren Netzen.

Eins vorweg, eine IPsec Verbindung funktioniert grundsätzlich schon zur Fritzbox. Jedoch will ich von einer anderen Aussenstelle (auch via VPN angebunden) das Netz der Fritzbox erreichen und das gelingt mir nicht :/

Ich habe es versucht, in dem ich eine 2. Sa aufgebaut habe mit dem zu erreichenden Netzwerk… geht nicht. Ich bekomme immer eine Fehlermeldung, dass die SA nicht aufgebaut werden kann. So wie ich das auch in Erinnerung habe, baut die Fritzbox keine 2. SA auf.. ich weis es nicht genau.

Grundsätzlich hat es mal mit meinem Lancom Router geklappt, Diesen will ich aber (zumindest VPN Tech.) durch Pfsense ablösen, da ich beim Lancom nur 5 Ipsec Tunnel frei habe und weitere 25 würden über 200€ kosten.

Im Anhang habe ich ein kleines Bildchen von dem logischen Aufbau der VPN Verbindungen.

Der momentane Aufbau des LANs ist vielleicht momentan etwas verwirrend, jeodoch will ich meine anderen VPN Verbindungen erst umziehen wenn die Erste richtig läuft und deswegen habe ich im Lancom eine Route des Netzes 172.16.2.0 in Richtung INSIDE der Pfsense FW geroutet.

Wenn ich aus dem LAN von Router B einen Trace durchführe komme ich auch bis zur PfsenseFW. (Routing passt also)

Hat vielleicht jemand dieses Rätsel bereits gelöst, oder geht es mit pfsense einfach nicht. Wie gesagt, mit dem Lancom Router hatte ich eine funktionierende Verbindung zu allen Netzen.

Hier die Konfig der Fritzbox:

vpncfg {
connections {
  enabled = yes;
  conn_type = conntype_lan;
  name = "PrivateNet";
  always_renew = no; 
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remoteip = 0.0.0.0; 
  remotehostname = "pfsense.mydomain.net"; 
  remote_virtualip = 0.0.0.0;
  localid {
    fqdn = "fritzbox.mydomain.org"; 
    }
  remoteid {
    fqdn = "pfsense.mydomain.net";
    }
  mode = phase1_mode_aggressive; 	
  phase1ss = "def/3des/sha"; 	
  keytype = connkeytype_pre_shared;
  key = "geheimespasswort"; 
  cert_do_server_auth = no;
  use_nat_t = no;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = 172.16.2.0;
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = 172.20.0.0; 
      mask = 255.255.0.0; 
      }
    }
  phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
  accesslist = 
  "permit ip any 172.20.0.0 255.255.0.0",
  "permit ip any 172.16.200.0 255.255.255.0";    
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}
//EOF

rubinho

Hab eine Lösung gefunden !

Ich habe als IP Range einfach das gesamte private 172er Netz eingetragen (172.16.0.0/12) und nun komme ich aus dem Lan von Router B auf das LAN von Router C.