Zweimal Fritzbox ipsec VPNs - wie können die sich sehen?
-
Hallo zusammen,
ich habe folgendes Problem:
an meiner pfsense sind zwei Fritzboxen via ipsec VPN angebunden, das an sich funktioniert super, also beide FritzBoxen kommen ins lokale LAN der pfsense. :D
Ich würde es nun gerne so einrichten, dass ich vom Netz hinter FritzBox-A auch auf das Netz hinter Fritzbox-B komme, das ganze wenn möglich über die pfsense, und nicht direkt von FritzBox zu Fritzbox, denn vielleicht gibt es später auch noch FritzBox-C und FritzBox-D etc, und es wäre sehr fein, wenn die dann alle untereinander erreichbar wären…
Ich hab im Forum schon mehrfach den Tipp gelesen, das man dafür in der ipsec Konfig der Pfsene einen weiteren Phase2 Eintrag setzen soll; mir ist jedoch nicht ganz klar, wie das in der FritzBox Konfig aussehen soll. Ich habe an anderer Stelle eine solche VPN Konfig für die Fritzbox gesehen, die habe ich übernommen, in der FritzboxA werden dann auch die zwei VPNs angezeigt, das VPN zu pfsense geht auch gleich auf,nur wenn ich dann auch nur nen ping auf die lcoale IP der FritzboxB abschicke bricht der erste Tunnel zusammen...
Auch jeweils "komplette" eigene Tunnel funktionieren nicht...
Den Tipp mit "supernetting" habe ich auch schon gelesen, denke aber, dass das nur schwer umsetzbar ist, da die Netze pfsense:fritzBoxX weit außeinander liegen - außer ich nehme ne 16er Netzmaske, was ich nur ungern machen möchte, da das dann einfach "alle" 192.168.X.X er netze sind - sofern ich das richtig verstanden habe...
Hier mal eine vereinfachte Darstellung, was ich bisher habe (und auch funktioniert, IPs sind nur symbolisch):
pfsense
fqdn: pfsense.irgendwas.net
LAN subnet: 192.168.1.0/24FritzboxA
fqdn: fritzboxA.irgendwas.net
LAN subnet: 192.168.178.0/24FritzboxB
fqdn: fritzboxB.irgendwas.net
LAN subnet: 192.168.179.0/24IPSEC Konfig pfsense:
TunnelA1:
phase1:
remote gateway: fritzboxA.irgendwas.net
my identifer: pfsense.irgendwas.net
peer identifier: fritzboxA.irgendwas.net
(...)
phase2:
mode: Tunnel
Local network - Type: LAN Subent
Remote Network - Type Network: 192.168.178.0/24
(...)TunnelB1:
phase1:
remote gateway: fritzboxB.irgendwas.net
my identifer: pfsense.irgendwas.net
peer identifier: fritzboxB.irgendwas.net
(...)
phase2:
mode: Tunnel
Local network - Type: LAN Subent
Remote Network - Type Network: 192.168.179.0/24
(...)Hat jemand sowas schonmal gemacht, oder kann mir nen Tipp geben, wo ich zur Lösung ansetzen muss?
Vielen Dank schonmal
Martin -
Wie ists damit weitergegangen. Stehe vor dem gleichen Setup, möchte mehrere Fritzboxen via Pfsense vernetzen.
-
IPSEC ist aber erst mal nicht Routingfähig daher muss jede ich sag mal "Route" ala Phase 2 Eintrag definiert werde.
Nur weil die PfSense alle Netze kennt kann sie noch lange nicht dawzischen routen.Ich würde so etwas eher versuchen mit OpenVPN zu lösen wenn machbar.
Ansonsten einfach mal versuchen die Netze die über die PfSense erreichbar sein sollen alle in den Fritzboxen zu definieren.
Wie gesagt nicht einfach aber so könnte es gehen.
Also das man statt von FritzBox zu FritzBox alles zur PfSense schickt und schauen ob es dann so geht.
Nicht versuchen mit Statischen Routen zu arbeiten auf der FritzBox muss alles über Phase 2 gedeckelt werden.Kann aber auf jeden Fall Probleme machen!
-
Morgen zusammen,
oder mit anderen Worten, macht mit Sicherheit Probleme!
IPSec - bleib beim selben Hersteller bzw. der selben Software dann hast Du keine Problem,
misch die Hersteller und der Spaß beginnt! Kauf Dir lieber noch ne FritzBox dazu, statt der pfSense - Du machst Dir das Leben sicher einfacher. -
wie sieht das ganze dann mit sagen wir 4 PFsense boxen aus?
-
wie sieht das ganze dann mit sagen wir 4 PFsense boxen aus?
Genauso wie jetzt auch.
an meiner pfsense sind zwei Fritzboxen via ipsec VPN angebunden, das an sich funktioniert super, also beide FritzBoxen kommen ins lokale LAN der pfsense.
Router A = pfSense
Router B = AVM FB
Router C = AVM ABZiel: x.y.z.a, Maske: 255.255.255.255, Gateway: Router C
Ziel: x.y.z.a, Maske: 255.255.255.255, Gateway: Router B
Eventuell noch einige Regeln anpassen fertig!
Dann kann man von A auf B & C, von B auf A & C und von C auf A & B zugreifen, fertig.
-
wie sieht das ganze dann mit sagen wir 4 PFsense boxen aus?
aber wie gesagt wenn z.B. alle IPSEC Tunnel an einer Zentralen Stelle terminieren nütz es nix wenn man da einfach Routen hin setzt das kann IPSEC so nicht. Muss wirklich alles mit Phase 2 bzw. dann eben mehreren Phase 2 gemacht werden und selbst dann kann es zu Problemen führen.
Für so ein vermaschtes VPN sind FritzBoxen eben nicht gedacht. Dann doch eher ein paar PfSense hin und alles mit OpenVPN. Ist zwar auch nicht einfach aber machbarer.