Kein Routing der VPN Verbindungen

vistraw

Ich bin ein wenig am verzweifeln, da ich keine Lösung für das Routingproblem der VPN Verbindungen finde.
Ich bin momentan am Testen der neuen pfSense 2.1 und VPN Server. Die pfsense ist als VM auf dem Xenserver 6.2 installiert. Die vier Netzwerkkarten sind im System als WAN, LAN(192.168.113.0/24), OPT1(192.168.114.0/24) und OPT2 angelegt.
Ich habe zuerst nach der "OpenVPN with RADIUS via Active Directory" Anleitung von hier: https://doc.pfsense.org/index.php/OpenVPN_with_RADIUS_via_Active_Directory probiert. Ich bekomme die Verbindung von einer Windows 8.1 VM hin, jedoch keinen Routing in das lokale Netz der LAN Schnittstelle.
Nach der "IPsec for road warriors in PfSense 2.0.1 with PSK in stead of xauth" Anleitung von hier: https://doc.pfsense.org/index.php/IPsec_for_road_warriors_in_PfSense_2.0.1_with_PSK_in_stead_of_xauth habe ich auch einen IPSec Server eingerichtet und auch hier bekomme ich keinen Routing in das LAN. Für den IPSec Netz verwende ich 192.168.210.0/24 Adresse.
Die Firewallrules wie: "IPv4 * * * * * * none   Permit IPSEC traffic."  sind eingerichtet. Ich habe auch das Logging der Regel eingeschaltet und sehe, das die Pakete von dem entfernten Windows 8.1 Rechner über die Firewall weitergereicht werden, jedoch bekomme ich keine Antwort auf Ping, SMB Requests oder iperf Socket Aufbau Anforderungen.
Unter System: Advanced: Miscellaneous habe ich auch "Start racoon in debug mode" Schalter aktiviert und bekomme:
"
racoon: [Unknown Gateway/Dynamic]: DEBUG: sub:0x7fffffffe2c0: 192.168.210.1/32[0] 192.168.113.0/24[0] proto=any dir=in
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: db :0x801447190: 192.168.113.0/24[0] 192.168.113.251/32[0] proto=any dir=in
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: sub:0x7fffffffe2c0: 192.168.210.1/32[0] 192.168.113.0/24[0] proto=any dir=in
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: db :0x801447490: 192.168.113.251/32[0] 192.168.113.0/24[0] proto=any dir=out
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: sub:0x7fffffffe2c0: 192.168.113.0/24[0] 192.168.210.1/32[0] proto=any dir=out
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: db :0x801447190: 192.168.113.0/24[0] 192.168.113.251/32[0] proto=any dir=in
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: sub:0x7fffffffe2c0: 192.168.113.0/24[0] 192.168.210.1/32[0] proto=any dir=out
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: db :0x801447490: 192.168.113.251/32[0] 192.168.113.0/24[0] proto=any dir=out
Nov 11 21:30:06 racoon: DEBUG: pk_recv: retry[0] recv()
Nov 11 21:30:06 racoon: DEBUG: got pfkey UPDATE message
Nov 11 21:30:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: pfkey UPDATE succeeded: ESP xxx.xxx.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=125273210(0x777847a)
…
Nov 11 21:30:06 racoon: DEBUG: sub:0x7fffffffe560: 192.168.113.0/24[0] 192.168.210.1/32[0] proto=any dir=out
Nov 11 21:30:06 racoon: DEBUG: db :0x801447190: 192.168.113.0/24[0] 192.168.113.251/32[0] proto=any dir=in
Nov 11 21:30:06 racoon: DEBUG: sub:0x7fffffffe560: 192.168.113.0/24[0] 192.168.210.1/32[0] proto=any dir=out
Nov 11 21:30:06 racoon: DEBUG: db :0x801447490: 192.168.113.251/32[0] 192.168.113.0/24[0] proto=any dir=out
Nov 11 21:30:06 racoon: DEBUG: sub:0x7fffffffe560: 192.168.113.0/24[0] 192.168.210.1/32[0] proto=any dir=out
Nov 11 21:30:06 racoon: DEBUG: db :0x801447790: 192.168.210.1/32[0] 192.168.113.0/24[0] proto=any dir=in
Nov 11 21:30:06 racoon: DEBUG: this policy did not exist for removal: "192.168.113.0/24[0] 192.168.210.1/32[0] proto=any dir=out"
"
Ich sehe hier das anscheinend die Verbindung/gateway vom IPSec Netz in das LAN nicht existiert. Auch unter Windows bei ipconfig Ausgabe fehlt die Standardgateway Angabe. Ich verstehe aber nicht, wo ich dieses Gateway für IPSec einrichten kann.
Ich habe auch schon versucht die LAN Schnittstelle als Gateway einzurichten und eine manuelle Route wie:
"192.168.210.0/24 LANGW - 192.168.113.251 LAN IPSec Routing" einzutragen. Dies hilft jedoch auch nicht.
Hat jemand vielleicht einen Rat oder Vorschlag für mich?

Snemelc

Hallo…

Ich sitze vor fast dem gleichen Problem....

Habe aber auch keine Lösung und suche immer noch danach!

Bin allerdings absoluter Neuling in der Materie....

VPN Tunnel über IPSEC steht bei mir auch. Ping an die pfSense klappt...
aber alles was dahinter steht ist nicht erreichbar  :-\

Auch ich würde mich über einen Lösungsansatz sehr freuen  ;D

Danke

vistraw

Hallo,
habe geschafft IPsec Verbindung mit dem Shrew Soft VPN Client aufzubauen und die Pakete werden damit auch durch die Firewall geroutet. Mit dem Cisco Client funktioniert das Routing leider nicht. Sollte jemand einen Trick für den Cisco Client kennen, bitte her damit!
@Snemelc:
Wenn die Verbindung steht, dann könnte evtl. die Firewall Regel fehlen. Ist die Firewall-Regel unter "Firewall: Rules: IPsec" hinzugefügt? So ungefähr:
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 * * * * * * none   Permit IPSEC traffic.
Wenn ja, dann würde ich testweise die Pakete loggen (Log packets that are handled by this rule), dann sieht man ob die Pakete durchkommen.
Evtl auch NAT Regel unter "Firewall: NAT: Outbound" kontrolieren. Sollte auf Manual Outbound NAT rule generation umgestellt werden und für den IP-Bereich der unter VPN: IPsec: Mobile zugewiesen wurde eine NAT Regel hinzufügen wie z.B.:
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN  10.110.10.0/24 * * * WAN address * NO NAT fuer IPsec
Natürlich sollte auch dann für LAN Bereich eine ähnliche  NAT Regel geben.