VPN zw. Fritzbox 7490 und Fritzbox 7390 und pfsense 2.3.4

Matze_

Hallo,

ich versuche ein VPN zwischen zwei Netzen herzustellen. Dabei sollen die Fritzbox a mit der Fritzbox b verbunden werden und die PCs hinter Fritzbox b sollen auf das LAN 192.168.1.0/24 zugreifen.

Die Verbindung zwischen den beiden Fritzboxen ist aufgebaut und wird als grün in den Fritzboxen beider Seiten angezeigt.
Von der pfSense kann ich das LAN a pingen. Aus dem LAN b läßt sich allerdings kein Ping erfolgreich absetzen.
Internet-Verbindungen funktionieren.

Die Fritzboxen haben die VPNs konfiguriert. Es gibt keine statischen Routen. Fritzbox b ist DHCP Server für die pfSense.
Ich habe eine statische Route auf der PfSense mit Ziel LAN a und GW 172.16.1.1 konfiguriert.

Leider ohne Erfolg. Kann mir jemand helfen?

Vielen Dank

:LAN a
            : 192.168.1.1/24
      .–---+-----.
      |  FB a      |  (Fritzbox a/7490)
      '-----+-----'
            |
        Internet 
            |         
      .-----+-----.
      |  FB b      |  (Fritzbox b/7390)
      '-----+-----'
            |  172.16.1.1/24
    |
            |  172.16.1.2/24  
      .-----:------.
      |  pfSense  |
      '-----:------'     
            | 10.168.1.1/24           
        LAN b       
            |

elevator

Du schreibst, dass du LAN a von der pfsense aus pingen kannst, über welches Interface hast du gepingt? Wie sehen die Firewall regeln aus? Hast du noch alles offen oder schon eigene Regeln gesetzt?

Matze_

Vielen Dank für die Antwort.

Wenn ich über das WAN Interface pinge, dann erreiche ich die 192.168.1.1. Mache ich das gleiche über das LAN Interface kommt nichts an.
Die Regeln habe ich angehängt.

elevator

Wenn du vom WAN port der pfSense aus pingst, dann bist du im 172.xxx Netz, deshalb funktioniert das.

Erweitere deine VPN config der Fritzbox aus dem Netz A wie folgt:

phase2ss = _"esp-3des-sha/ah-no/comp-no/pfs";  #diese Zeile kannst du so lassen wie du es selbst konfiguriert hast, kann also anders aussehen wie hier.
                accesslist = "permit ip any 172.16.1.0 255.255.255.0",
                                  "permit ip any 10.168.1.0 255.255.255.0";

dann sollte der ping aus dem LAN Subnetz der pfSense aus funktionieren, ich habe ein ähnliches Szenario._

elevator

Wobei, bei mir ist die pfSense der Endpunkt, und darüber komme ich mit zwei Subnetzen in das Fritzbox LAN, somit wird dir das was ich geschrieben habe nicht weiter helfen. Sorry für den Fehlpost  :-X

Ich habe es mir gerade mal aufgemalt und denke, es liegt einfach daran, das die Fritzbox B eine Route für das pfSense Subnetz benötigt. Ziel pfSense LAN 10.168.1.0 , GW 172.16.1.2.

Versuch das mal. ich hoffe es klappt!  ;)

Matze_

Das wäre zu schön gewesen, hat aber leider nicht geklappt. Trotzdem vielen Dank!

Ich habe die nachfolgende Route in der FB B eingetragen.

Was ich einfach nicht verstehen kann ist, dass ich andere Sites im Internet pingen kann, aber nicht die FB am Ende des Tunnels.
Auch die DynDNS Adresse beider Router kann ich pingen.

Das müßte also irgendwie am Routing der privaten Internetadresse der FB liegen, oder?

elevator

Kannst du den aus dem LAN A das LAN B pingen (Also anders herum)?
Das sollte ja jetzt mit der Route auf der fritzbox b klappen.

Füge noch eine Route auf der Fritzbox A mit dem LAN B und die Fritzbox B als Gateway.

Matze_

Ich bin jetzt einen kleinen Schritt weitergekommen, nachdem ich die Route in der gegenüberliegenden Fritzbox eingetragen habe.
Inzwischen habe ich das Netzwerk noch ein wenig umgebaut (Fritzbox 7430 als WLAN Hotspot  und DECT Repeater), kämpfe aber weiterhin mit einer kuriosen Angelegenheit.
Die 192.168.1.1 kann ich jetzt per WLAN aus dem Netz 10.170.1.0/24 erreichen, nicht aber aus dem LAN 10.168.1.0/24.

Wenn ich von der Pfsense aus pinge, ergibt sich das gleiche Bild. WLAN Interface erreicht die 192.168.1.1, das LAN Interface nicht.

Ich habe die Routen und die FW Rules in einem Bild angegeben.

Hat jemand eine Idee, was ich falsch mache?