Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSense hinter Router: Site2Site VPN Tunnel

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 3 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P Offline
      pgo_wedv
      last edited by

      Hallo in die Runde,

      wir haben vor kurzem die IT-infrastruktur eines neuen Kunden übernommen und dabei eine PFSense (2.2-Release) vorgefunden (an Standort A)
      Zwischen Internet und PFSense befindet sich noch ein Lancom.

      Nun soll ein S2S VPN (IPSec) zwischen Standort A und Standort B aufgebaut werden. Leider haben wir keinerlei Erfahrung mit PFsense.

      Wir haben über VPN -> IPSec den Tunnel eingerchtet laut Dokumentation pfsense.
      Firewallregeln sind im Reiter IPsec (allow all von Source any nach Destination any) angelegt sowie im Reiter WAN (allow any von Peer IP Standort B nach WAN-Interface PFsense)

      NATing vom Lancom zur PFsense für die Ports 500 und 4500 ist eingerichtet.

      Leider funktioniert der Aufbau nicht. Im Log scheint es mir so, als wenn Pakete von der Firewall aufgehalten werden. Bin mir aber nicht sicher, da wie gesagt, die Erfahrung mit pfsense fehlt.

      Hat vielleicht jemand aus der Runde so ein Szenario schon mal erfolgreich realisiert und kann mir Tipps geben, worauf zu achten ist?

      Besten Dank schon mal für die Hilfe und Entschuldigung für mein begrenztes Verständnis!

      1 Reply Last reply Reply Quote 0
      • P Offline
        peterhart
        last edited by

        Hallo,
        vielleicht hilft dir das weiter:
        https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

        Gruß
        Peter

        1 Reply Last reply Reply Quote 0
        • C Offline
          chanle
          last edited by

          Hallo,
          ein IPsec VPN von einer Firewall hinter anderen  Firewall per NAT ist immer suboptimal.
          Besser und einfacher wäre mit Sicherheit das VPN auf dem lancom aufzubauen oder das Lancom zu entfernen.
          Ihr werdet nie den Tunnel von Site B nach Site A initialisieren können, nur umgekehrt.
          Es fehlt ESP auf der WAN Seite der pfSense.
          Du schriebst, ihr habt eine Allow all Regel der Source  IP auf dem WAN interface erstellt, es muß meiner Meinung nach als Source IP die interne IP der Lancom sein.
          Um den Fehler einzugrenzen, bzw. zu beheben empfehle ich eine allow all Regel auf das WAN interface mit logging.
          Auf der Gegenseite dann ein Dauerping um den Tunnel zu initialisieren
          Dann sieht man in Schritt 1 was in den Firewalllogs ankommt, Schritt 2 wäre dann die IPsesc logs zu prüfen.
          Wenn du die logs schickst kann dir wahrscheinlich besser geholfen werden.

          Gruß
          Christoph

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.