IPSec Firewall-Regeln
-
Mache doch am besten mal Screenshots von deinen Firewallregeln in der PfSense weil ich glaube da könnte der Fehler sein.
pfSense Kategorie [IPSec]
2 Regeln:[Lokales Netz an Link 1] zu [RemoteNetzwerk/24] any any all all - allow
und die gleich Regel nur andersherumWenn du beide Regeln auf dem IPSEC eingestellt hast ist das nicht ganz Korrekt.
Immer Überlegen wo gehen die Daten rein.Willst du vom PfSense Netz über den IPSEC Tunnel ist das Fortigate Netz rein gehen die Daten in das LAN Interface der PfSense
Also muss du auf dem LAN Interface eine Regel erstellen [Lokales Netz an Link 1] zu [RemoteNetzwerk/24] allow any (oder was eben erlaubt sein soll)Willst du vom Fortigate Netz über den IPSEC Tunnel ist das PfSense Netz rein gehen die Daten in das IPSEC Interface der PfSense
Also muss du auf dem IPSEC Interface eine Regel erstellen [RemoteNetzwerk/24] zu [Lokales Netz an Link 1] allow any (oder was eben erlaubt sein soll) -
Servus,
danke für die Antwort.
Also die Regeln:
Kategorie IpSEC
1.Regel(pass):
Protokoll: any
Source: RemoteNetz hinter Fortigate /24
Port: any
Destination: any
Port: any
Gateway: any
Queue: None2.Regel(pass):
Protokoll: any
Source: any
Port: any
Destination: RemoteNetz hinter Fortigate /24
Port: any
Gateway: any
Queue: NoneSo - nach meiner Logik - erlaube ich o.g. über das IPSec Interface.
Kategorie LAN
1.Regel(pass):
Protokoll: any
Source: RemoteNetz hinter Fortigate /24
Port: any
Destination: any
Port: any
Gateway: any
Queue: None2. Regel(pass):
Protokoll: any
Source: any
Port: any
Destination: RemoteNetz hinter Fortigate /24
Port: any
Gateway: any
Queue: None<grübel>…. klingt doch irgendwie logisch, oder? ...</grübel>
-
Vllt denke ich mit den Regeln ja auch falsch …
Meiner Ansicht nach:
Ich erlaube vom Remotenetzwerk über IPSec ins LAN:
Kategorie LAN:
Regeln Allow all from [RemoteNetzwerk] zu [LokalesNetzwerk] und andersherum.Kategorie IPSec:
Allow all from [LokalesLAN] zu [RemoteNetzwerk] und andersherum.Müssen die Netze in den Regeln dediziert angegeben werden oder reicht lockere Sicherheit mit ANY ?
Baut die Box die Routen anhand der Regeln? <grübel>nee, ich denke das bekommt die Box aus der Phase2 Konfig, wo das RemoteNetz angegeben ist, korrekt?
Danke!</grübel>
-
Noch ein Nachtrag …
Tracert zu einem Host im Remotenetz wird über das Gateway ins Internet und nicht durch den Tunnel geroutet.Nun noch ... weshalb routet die Kiste nicht durch den Tunnel?
Wenn ich das alles richtig verstanden habe, muss ich das RemoteNetz nicht extra angeben, oder?Merci!
-
Nochmal nur da wo die Pakete reingehen muss auch eine Regel sein
Kategorie LAN:
Regeln Allow all from [RemoteNetzwerk] zu [LokalesNetzwerk] und andersherum.Hier musst du nur dein Lokales Netz zum Remote Netz angeben das Remotenetz kann und wird hier keine Pakete rein schicken
Kategorie IPSec:
Allow all from [LokalesLAN] zu [RemoteNetzwerk] und andersherum.Hier eben so hier muss nur Remote Netz zu Lokalem Netz dein Lokle netz wird hier nichts reinschicken können.
Daher wenn es möglich ist mal Screenshots posten. (kannst ja die Netze ausgrauen dann wird es aber schwerer zu überprüfen ob alles zusammen passt)
Wenn du das per IPSEC macht siehst du tatsächlich in der PfSense keine Route. Wenn das Remote Netz aber stimmt in der Phase 2 von IPSEC werden die Pakete da schon hingeroutet, sofern du bei der Firewall Regel das Gateway nicht angepasst hast.
Daher Screenshots könnten helfen :)Hast du sonst noch etwas angepasst Routen gesetzt oder so was?
PS:
Unter Status-> IPSEC siehst du auch ob der Tunnel steht bzw. ob Daten drüber gehen. Siehst du da was oder hast du vielleicht in eine Richtung 0 Bytes? -
87.79.95.169 87.79.88.248 ESP 0835759a 3des-cbc hmac-md5 175596 B
87.79.95.169 87.79.88.248 ESP 03a2d2ce 3des-cbc hmac-md5 1977696 B
87.79.95.169 87.79.88.248 ESP 081c768c 3des-cbc hmac-md5 0 BJa, das Log sagt bei einer Verbindung 0 …. aber ich denke das kommt daher, dass die pfSense gar nichts durch den Tunnel schickt.
Von der Konsole der Fortigate kann ich die interne IP der pfSense pingen - andersrum läuft der Traceroute der pfSense direkt übers Internetgateway raus ....
Ich versteh das nicht ....
Regeln angepasst wie angesagt, überflüssige rausgenommen ... selbe Effekt....
-
Ach so … sorry !
=> Nur ein Gateway, zum Internet.
=> Keine manuellen Routen eingetragen.Der Tunnel steht, wird zumindest grün angezeigt - teilweise werden Daten übertragen, nur nicht die, welche von der pfSense Seite initiiert werden.
Ping in die eine Richtung ok (Fortigate => pfSense)
in die andere Richtung ... nicht möglich. -
sind zwar keine Screenshots aber okay man sieht ja hier schon da sind zu viele Einträge.
Normal sollten dann nur zwei sein einmal hin einmal zurück.
Da scheint noch was im IPSEC nicht zu stimmen.
Prüfe nochmal alle Einstellungen auf beiden Seiten und starte auf beiden Seiten die IPSEC Dienste neu.Ich vermute mal die PfSense will die Daten in einen Tunnel schicken den es wohl nicht mehr gibt. Warum auch immer werden hier mehr Policys angelegt als es sein sollten
vielleicht eine Doppelter Phase 2 Eintrag? Sollte nur einen geben auf jeder Seite
-
Ich verstehe, nein, ist nur eine Phase 2.
Werde ich die beiden mal komplett durchstarten und dann nochmal schauen.
Screenshots sind anstrengend ;-) Teamviewer ist ne Alternative!
-
Ok, also, Neustart auf beiden Seiten bringt nix.
Kann es ggfs. mit dem "Manual Outbound NAT" zu tun haben?
Hab gerade gesehen, dass der Ex-Admin die Automatik abgeschaltet hat,
Firewall => NAT => Outbound. Nach der Doku, irgendwas wegen eines VoIP Servers bei dem die SIP-Anmeldung nicht funktionierte …Wobei dann würde der Tunnel ja gar nicht erst aufgebaut werden .... wenn diese Regeln nicht stimmen würden, oder?
-
das könnte schon was damit zu tun haben wenn das zu "großzügig" definiert ist kann es da schon überschneidungen geben.
wie sehen die Regeln denn aus?
-
Grüße,
es ist alles schick, bis auf das Routing …. und diese Meldung im Log:
racoon: INFO: Update the generated policy : 192.168.xx.0/24[0] 192.168.xx.0/24[0] proto=any dir=in
Und diese Policy wird offenbar nicht aktualisiert und ich hab keine Ahnung warum …. ?
-
da ich mich mit der Gegenstelle leider nicht wirklich auskenne wüsste ich an der Stelle leider nicht mehr wo man noch ansetzen sollte.
Scheint ja alles zu passen bis auf das eine policy wohl doppelt ist.
Könntest unter IPSEC Advanced Einstellungen noch versuchen den Hacken "Prefer older IPsec SAs" zu setzen bzw. zu entfernen und dann den IPSEC Dienst neustarten.
Vielleicht klappt es wenn du damit etwas rumspielst.Ansonsten weiß ich aktuell leider auch nichts mehr.
-
Guten Morgen und danke flix,
- zumindest für den Versuch -
die Fortigate auf der anderen Seite arbeitet in der selben Konfig wie sie für die anderen aufgebauten VPNs auch arbeitet …
nur diese Lady hat kein Interesse mit anderen....Hier gibt es doch sicher noch andere die das Zauberwerk einer IPSec Verbindung zu einem anderen System aufgebaut haben.
- Was passiert, wenn ihr einen Traceroute ins andere Netz macht?
- Wird das andere Netz in den Routen dargestellt?
- Welche Firewall-Regeln sind für das IPSec gesetzt?
Die Fragen hören sich vllt grad was einfältig an … nur bin ich der festen Überzeugung das alles richtig ist und ich vllt. "nur" falsch denke.
Danke.
-
Update: Key Lifetime für Phase 1 auf 86400 gesetzt, Phase 2 auf 3600 - Ping vom externen Netz, über IPSec ins interne Netz …. OK. Ping bekommt Antwort.
Andersrum vom internen Netz ins RemoteNetz übers IPSec ... negativ .... weiterhin werden die Pakete ins Internet und nicht in den Tunnel geschickt.
<seufz>.... snbtch !!</seufz>