IPsec mit virtueller LAN
-
Hallo,
ich bin neu hier…
Ich habe folgendes Problem: Ich habe 2 pfSensen, die in unterschiedlichen Netzen sind. Im Hintergrund haben beide ein LAN-Netz. Ich möchte über Host 1 (Host an pfSense 1) die pfSense 2 warten und konfigurieren können. Dazu brauche ich eine VPN-Verbindug. Dies ist eine IPsec-Verbindung. Doch da hinter jeder pfSense ein Netzwerk ist, soll der Admin von dem jeweiligen Netz die LAN-IP frei vergeben können. Damit aber die Fernwartung möglich ist, brauche ich ja eine feste IP. Diese möchte ich mir über eine virtuelle LAN-IP beschaffen, worüber auch dann der ipsec- tunnel laufen muss (???). Ich habe es soweit zum Laufen gebracht, dass der ipsec Tunnel verbindet, aber leider kann ich keinen ping von pfSense1 oder host 1 zur pfSense 2 schicken.
Hat jemand eine Idee?Danke schon im Voraus für Eure Hilfe!
Viele Grüße
-
Ich hinterfrage mal das ganze Konstrukt: Warum eine virtuelle LAN IP? Wenn du eine solche definierst, hast du ja wieder eine IP FEST vorgegeben, ganz egal was der Admin dann dort für die Box vergibt. Aber wenn dann du doch wieder eine IP FEST vergibst, warum dann nicht der ganzen Kiste als IP geben? Insofern macht das ganze Konstrukt für mich keinen Sinn. Du willst LAN IP-technisch flexibel bleiben, was aber insofern Quatsch ist, weil du trotzdem eine als virtuelle Adresse fest vorgibst.
Das ist der erste Punkt. Der zweite Punkt ist, dass die Boxen ja wie du schreibst im Hintergrund ein LAN haben. Haben sie denn auch ein WAN oder sind die nur via LAN angeschlossen? Wie baut sich dann überhaupt der IPSec Tunnel auf? Und warum nicht einfach die 2. Kiste über ihre WAN IP auf der Gegenseite managen? Oder nach Tunnelaufbau der Phase 2 über die Adresse im LAN? Der Zugriff muss natürlich auf dem IPSEC Interface auch freigegeben sein.
Grüße
-
Weil das mit der virtuellen IP / so ein Aufbau genau meine Aufgabe ist. Sprich die LAN IP soll unabhängig von der IP zum managen der Kiste sein… Mit rein LAN-IP hab ich es schon zum laufen gebracht, selbst mit separater Leitung, aber ich muss es leider so lösen, habe es mir nicht ausgesucht.
Zu Punkt 2: natürlich habe ich ein WAN. darüber läuft auch die Phase 1 des IPsec. Phase 2 geht über die virtuelle LAN. -
natürlich habe ich ein WAN. darüber läuft auch die Phase 1 des IPsec. Phase 2 geht über die virtuelle LAN.
Das ist ja so nicht richtig. Phase 2 wird genauso wie Phase 1 über die externe IP bzw. das WAN der Kiste abgewickelt. In der/den Phase/n 2 werden dann die Routen bzw. Fremdnetze auf die jeweilige Gegenstelle gemappt und damit erhält die eine Seite überhaupt Kenntnis vom LAN der anderen.
Anyway, nochmals
"Mit rein LAN-IP hab ich es schon zum laufen gebracht, selbst mit separater Leitung, aber ich muss es leider so lösen, habe es mir nicht ausgesucht."
Welchen Sinn soll das haben? Ich vergebe keine LAN IP, sondern vergebe eine zweite LAN IP? Heh? Das ist an der Stelle völlig egal, ob das deine Aufgabe ist das so zu machen oder nicht. Es geht mir mehr darum ob ich dich schlicht mißverstehe, oder ob es einfach in sich purer Unfug ist?! Wenn du die LAN IP nicht vergeben willst, weil die vielleicht mit dem LAN dort kollidieren könnte, sondern die sollen das später selbst konfigurieren oder es soll sich dynamisch konfigurieren - welchen Sinn macht dann, im zweiten Schritt TROTZDEM eine LAN IP zu vergeben, nur eben als virtuelle Adresse? Die kann genauso belegt sein oder nicht passen.
Ich versteh es an der Stelle einfach nicht, was du da bauen möchtest. Es macht keinen Sinn.
-
Also der Aufbau ist so:
Host 1 –--- pfSense 1 ----|---- pfSense 2
----|--- pfSense 3....Ich möchte von Host 1 aus alle pfSensen managen. da allerdings hinter jeder pfSense sich ein Netz verbrigt (z.B. ein Firmennetz von unterschiedlichen Firmen) und es so immer ein Admin gibt, dieser sein LAN aber nach belieben konfigurieren können soll, ohne mir bei jeder änderung die neue IP zu nennen, brauche ich irgendeine statische IP. Klar kann ich jetzt sagen "Lieber Admin änder diese IP nicht" , aber das soll er halt dürfen.
Diese Management-IPs werden statisch von dem Betreiber von Netz 1 festgesetzt, der Admin von Netz 2 und 3 bekommt nur einen bestimmten Adress-Bereich zur verfügung. Dieser Bereich beinhaltet gerade nicht die Management-IP. (z.B. pfSense2: LAN-IP: 192.168.x.1/24, Management-IP: 1.2.3.2, pfSense 3: LAN-IP: 192.168.x.1, anagement-IP: 1.2.3.3).
Aber es könnte aber genau so sein, dass beide LAN-Netze die Adresse 192.168.1.0 bekommen und beide Admins der pfSense die Adresse 192.168.1.1 geben. Wie willst du diese dann unterscheiden? Dafür möchte ich eine statische VLAN-Adresse (Management-IP). -
haben diese PfSense öffentliche feste ip's? bzw. wie kommen die ins Netzwerk?
Weil dann könnest du ja auf die WAN Schnittstelle los gehen. Einfach eine Reglen die den Zugriff auf die Webgui nur von deiner IP aus erlaubt.
Schon könnten die im LAN treiben was sie wollten da du ja von extern kommst. Und durch einschränken auf nur deine öffentliche IP (sofern feste vorhanden) wäre es auch gesichert. -
Für estzwecke ist sie zwar fest, aber später soll sie über dhacp laufen.
-
wenn du den lease sehen kannst könntest du ja zumindest dir eine feste IP bzw. einen festen lease geben (würde ich eh empfelen will ja wissen was meine pfsensen haben) und könntest dich freischalten und kommst so drauf.
wenn ich pfsensen so anbinde mache ich das auch gerne das ich über das wan interface mit entsprechenden regeln drauf gehe.