Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Einrichtung einer pf mit Proxy zusammen mit einem Lancom Router

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 1 Posters 886 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • sebdenS
      sebden
      last edited by

      Hallo Forum,

      ich grübel schon ewig über eine "Baustelle".

      Eigentlich möchte ich meine pfsense direkt am DSL Modem betreiben. Nun soll aber zwischen den Klienten noch ein Lancom Router gesetzt werden. Das hat den Hintergrund das dieser verschlüsselte ipsec Verbindungen nach Bedarf aufbaut um bestimmte entfernte Dienste anbietenzu können. Diese wären Zum Beispiel Zugriffe auf geschützte Webserver und Mailserver. Das ipsec kann in keinem Fall die pf machen.

      Baue ich das ganze so auf, musste ich bisher für den Lancom die IP komplett freigeben In der Firewall für ausgehenden Verkehr. Dann hat er seine Tunnel gegraben und die Dienste waren erreichbar. Seit dem update der pf auf 2.2.6 geht es nicht mehr.

      Mittlerweile habe ich noch die Ports 500 und 4500 für any am LAN geöffnet und die Zielserver ebenfalls als uneingeschränkt eingetragen. Witzigerweise bauen sich nun zwar einige der Tunnel auf aber die Dienste dahinter bleiben unerreichbar. Die Firewall der pf zeigt an das in keiner weise geblockt wird. Nur Pass Meldungen.

      Snort blockt ebenfalls nichts.

      Entweder ich bekomme heraus wie diese Konstellation zum laufen zu bringen ist oder ich baue um. Nämlich DSL Router, dann Lancom und zuletzt die pf vor den Klienten. Das wäre aber ein Triple NAT denn der Lancom darf keine eigene Verbindung mit einem Modem aufbauen. Dann wird sicherlich auch der Aufbau der Tunnel gelingen. Ich vermute das auch der Proxy dann seine Arbeit macht und die Anfragen an die geschützten Dienste per Lancom korrekt durchreicht?

      Kennt jemand was vergeichbares? Die Dienste werden allerdings leider auch von Programmen benötigt die keine oder nur eine halbgare Implementierung der Proxy Funktion haben, also teilweise an Port 443 und 80 klopfen. Diese will ich aber an der pf dicht machen, der Web Verkehr soll soweit möglich untransparent über Port 8080 an den Squid gehen. Der scannt auch nach Viren und den https Verkehr. Verzichte ich auf die Sperrung oder gibt es hier alternativen?

      Grüße

      Edit: Es scheint ein Bug in der Filter.inc zu sein. Betrifft generell ipsec bzw isakmp :(

      1 Reply Last reply Reply Quote 0
      • sebdenS
        sebden
        last edited by

        Lösung gefunden. Im englischen Teil des Forums hat Jemand mit seinem ios Gerät ein gleichwertiges Problem gehabt.

        Ein Hinweis ergab sich daraus das Phase 1 mit Port 500 ja funktioniert und es lediglich an Phase 2 port 4500 haperte.

        Unter Firewall > Nat > Outbound muss eine Regel ergänzt werden. Sie muss identisch mit der Standard Regel sein die für Port 500 schon existiert, natürlich aber mit Port 4500.

        Ging auf Anhieb und ohne die im Änderungen in der Filter.inc die im englischen Beitrag verlinkt wurde.

        Den findet man übrigens hier : https://forum.pfsense.org/index.php?topic=103503.15

        Grüße

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.