(Gelöst) VPN Fritzbox –> pfsense / Android Phone -> PFsense
-
Aloha Gemeinde,
man habe ich viel gelernt in der letzten Woche wow…ich muss mir mal selber auf die Schulter kopfen.So also der Tunnel zu den Handy steht und klappt super. Ich habe eine Anleitung per ipsec gefunden und diese mit Zertifikaten angepasst. Alles Bombe.
So nun will ich die Fritzbox so wie im Diagramm auf mein DMZ Network bringen und ich werd verrückt. Die Anleitungen die es hier gibt sind alle unterschiedlich oder nicht mehr aktuell.
Kann mir einer von Euch eventuell helfen und mir eine (oder seine) config einmal per Screenshot zeigen ? in Netz gibt es so viel Müll der überhaupt nicht klappt unglaublich :(Eike
-
Beschreib mal bitte genau wie du die IPSEC -> Handy Einrichtung durchgeführt hast. Lese zwar was von Zertifikaten aber nicht ob mit Xauth oder ohne.
Wenn du nämlich einmal die Benutzerauthentifizierung eingeschalten hast um dich via Smartphone über IPSEC zur pfSense zu verbinden, werden IPSEC Site2Site Tunnel nicht mehr funktionieren. Vielleicht wurde das Problem mittlerweile gefixt aber ich glaube nicht dran. IPSEC + Xauth ist aber eigentlich die bevorzugte Variante bei mobile VPN. Man will ja nicht immer erst umständlich Zertifikate auf die mobilen Endgeräte bringen müssen.Ich habe Site2Site Tunnels ausschließlich über IPSEC angebunden. 3 x Fritzboxen, 1 x Fortigate, 1 x Azure. Läuft!
Mobile Clients können sich via OpenVPN zur pfSense connecten über Port 443 TCP (gut für strikte Umgebungen) und alternativ via 1194 UDP (etwas performanter als TCP).Das ist zwar schade weil man so nicht die nativen VPN Clients von Android und iOS nutzen kann aber das ist trotzdem die Variante, wie es läuft.
-
Moin,
ich habe es nach dieser Anleitung gemacht und es hat sofort geklappt.https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html
-
Ja genau hier wirst du ein Problem bekommen.
Fritzboxen unterstützen nur IKEv1 über IPSEC. Sobald du aber den mobilen IPSEC Client Support aktivierst, werden die IKEv1 Tunnel nicht mehr funktionieren.Siehe auch hier: https://forum.pfsense.org/index.php?topic=126310.msg710288#msg710288
-
Das ist zwar schade weil man so nicht die nativen VPN Clients von Android und iOS nutzen kann aber das ist trotzdem die Variante, wie es läuft.
Das stimmt, wobei ich wie schon andernorts beschrieben das "Problem" nur wenig nachvollziehen kann, dass eine zusätzliche App auf mobilen Geräten benötigt wird. Ja, natürlich wäre ein nativer Client bzw. Integration ins OS "schöner". Allerdings ist wie schon angemerkt OpenVPN für Client Einwahl wirklich vielfach einfach ein "fire & forget" Prinzip. Und auf Android ist - je nach App (es gibt hier zwei) - sogar Integration in die QuickToggles möglich. Benachrichtigungsleiste runtergezogen, einmal draufgetoucht und innerhalb 2s verbunden mit dem VPN. Zwar nicht "integriert" aber durch Anbindung an die QuickToggles mindestens genauso komfortabel. Seit so eingerichtet habe ich keinen mehr murren hören. Plus: Bei Firmen oder "Prosumern" mit mehreren Leitungen (DSL/Kabel/LTE bspw.) kann OpenVPN eben auch problemlos angepasst werden, um bei Ausfall einer Leitung einfach sich mit dem Fallback zu verbinden. Gleiches Verbindungsprofil, gleiche Usability, trotzdem ausfallsicher. Spätestens da war noch jeder Chef/Abteilungsleiter dann plötzlich gar nicht mehr abgeneigt, dass da was installiert werden muss :D
-
@JeGr: Ich wollte damit auch OpenVPN nicht madig machen. Es sprechen schon Gründe für die Wahl zu OpenVPN. Ich habe nur gerade bei iOS bis zum letzten Update der OpenVPN App leider gar kein Connect mehr zur pfSense hinbekommen. Die Client App war noch nicht angepasst für OpenVPN 2.4. Da stand ich 3-4 Monate da und kam nicht in meine Infrastruktur :(
Aber egal, dass Problem ist gelöst.Für Site2Site Tunnel ist und bleibt aber IPSEC für mich die erste Wahl, weil es die allermeisten Router (Consumer, SemiPro) standardmäßig unterstützen ohne Gebastel.
BTW: Auch bei IPSEC kann ich ohne Probleme eine Failover Konfiguration fahren ohne auch nur 1 Handgriff zu unternehmen. ;)
Multiwan Interface erstellen mit Failover -> DynDns Adresse registrieren und auf das Failover Interface legen -> Firewall und NAT Regeln werden vom IPSEC Dienst ja selbständig erstellt. Problem ist eher, dass die Hauptleitung meist schneller wieder zur Verfügung steht, als das der Tunnel über die zweite Leitung aufgebaut wurde. -
@JeGr: Ich wollte damit auch OpenVPN nicht madig machen.
Auch nicht so verstanden :)BTW: Auch bei IPSEC kann ich ohne Probleme eine Failover Konfiguration fahren ohne auch nur 1 Handgriff zu unternehmen. ;)
IPSEC Tunnel Konfiguration mit Multi-WAN? Mit DynDNS? Meh… ja funktioniert theoretisch, praktisch hat man die Umschaltzeit, die Detection vom Failover Interface, den Aufbau, DNS Caches die dann zwischen reingrätschen etc. etc.
Es gibt einfach keinen nativen Weg, um sinnvolles MultiWAN Loadbalancing/Failover Verhalten mit IPSEC zu bekommen, außer statisch zwei Tunnel mit unterschiedlichen Daten aufzubauen und Routen zu verbiegen, damit das irgendwie funktioniert. Solange IPSEC kein wirkliches Interface zur Verfügung stellt, wird das alles ziemlich gebastelt bleiben. Dahingegen haben wir mit OpenVPN u.a. schon Szenarien wie round-robin-loadbalancing bei Connects, WAN-Acceleration Setups und andere Spielereien gebaut ohne in extrem fiese Probleme zu laufen :)Die Antwort war da weniger an dich gerichtet, sondern mehr in Richtung: "Hey so überzeugt man auch technisch nicht so bewandertes Personal/Chefs davon" ;)
-
Soooooo ….hab eh nur die Hälft verstanden....ausser das es so nicht geht. Also die Fritzboxen bleiben logischerweise wie sie sind. Also müssen die ipsec machen.
wie geht das mit dem open vpn ? gibt es da ein howto ?
-
OpenVPN Server Konfiguration hat u.a. einen Wizard, der einen durch das Setup führt, alternativ:
https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server
Ja nachdem wie sicher es sein soll/darf, kann man die Clients mit User/Pass, nur Zertifikat oder User/Pass + Zertifikat kombiniert einwählen lassen. User können dann entweder in der normalen GUI (User Manager) verwaltet werden oder - besser - extern via LDAP oder Radius z.B. via FreeRadius Package. Möglichkeiten gibt es viele.
https://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS (auch wenn da FreeRadius2 steht, geht das inzwischen mit dem 3er Paket genauso).
-
muss ich alles von ipsec löschen oder kann ich meine Ca auch behalten ?
-
Moin Männer,
ich habe echt schlechte Laune. Ich bekomme einfach keine Verbindung zu einer Fritzbox hin. Das kann doch nicht so schwer sein oder ? Gibt es nicht eine Anleitung im Netz die nicht 100 Jahre alt ist sondern funktioniert?Ich wäre euch für eine Hilfestellung dankbar. Es soll mit einer aktuellen 7490 klappen.
-
Was willst du denn nun jetzt machen?
Du schreibst erst, dass die Firtzboxen und IPSEC bleiben und dann fragst du nach einer Anleitung für OpenVPN.
Fritzboxen unterstützten nativ kein OpenVPN. Entweder baust du also einen kleinen OpenVPN Server hinter der Fritzbox auf und leitest nur die Anfragen über die Fritzbox weiter zum OpenVPN Server oder aber du bleibst bei IPSEC um die Fritzboxen anzubinden. Wenn du also eine gängige und funktionierende IPSEC Konfiguration suchst pfSense -> Fritzbox kann ich hier was veröffentlichen. Dann fällt aber das Client VPN über IPSEC weg! Dafür sollte man dann OpenVPN auf der pfSense als Server nutzen. -
Was willst du denn nun jetzt machen?
Du schreibst erst, dass die Firtzboxen und IPSEC bleiben und dann fragst du nach einer Anleitung für OpenVPN.
Moin,
genau das hatte ich ja auch gebaut….dann aber wurde mir schmerzlich gewusst, dass es eben so nicht geht. Ich habe nun die Handys (VPN Mobile) gelöscht und wollte nun erstmal die Fritzboxen per ipsec anbinden und dann später die handys per openvpn....soweit nun der plan....sorry wenn ich mich nicht klar ausgedrückt hatte. -
Moin,
wenn Du viel mit der Konfiguration gespielt hast, dann spiele bitte noch einmal: Setz den verbosity Level von OpenVPN mal ein wenig höher, abspeichern und Kiste rebooten. Daten auf Handy exportieren und dann versuchst Du einen Verbindungsaufbau und schaust anschließend unter Status / System Logs / OpenVPN nach was passiert. Kommt da überhaupt was an? Hast Du auf dem Wan-Interface Regeln definiert damit die OpenVPN Pakete rein kommen? Hast Du auf der primären Fritte passende Port Weiterleitungen auf pfSense definiert bzw. pfSense als exposed Host definiert? Auch der OpenVPN Client auf dem Handy bietet einiges an Status Infos beim Verbindungsaufbau.
Poste doch einfach mal Logs vom Verbindungsaufbau in Code Tags und ggf. anonymisiert hier rein. Geht nicht lässt nur stochern im Nebel zu.
-
Guter Tipp @magicteddy aber vielleicht erstmal die IPSEC Konfiguration sauber aufbauen und anschließend sich um die Client VPNs kümmern. Diese Konfigs hat er ja bereits gelöscht.
Hier als Beispiel eine meiner VPN Konfigs für einen IPSEC Site2Site Tunnel zwischen pfSense und Fritzbox.
Fritzbox:vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "THOMAS PFSENSE VPN_MWAN"; always_renew = yes; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "pfsense-xxx.dyndns.org"; localid { fqdn = "fritzbox-xxx.dyndns.org"; } remoteid { fqdn = "pfsense-xxx.dyndns.org"; } mode = phase1_mode_aggressive; phase1ss = "LT8h/all/all/all"; keytype = connkeytype_pre_shared; key = "ein_ziemlich_langer_key11!11!"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.224.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 172.17.21.0; mask = 255.255.255.0; } } phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; accesslist = "permit ip any 172.17.21.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; }
pfSense:
siehe attachments
Bild 1 = Phase 1
Bild 2 = Phase 2Wichtig ist aber, dass du den Mobile Client Support deaktivierst in den IPSEC Einstellungen der pfSense.
-
Danke, teste ich heute Abend gleich aus.
-
Guter Tipp @magicteddy aber vielleicht erstmal die IPSEC Konfiguration sauber aufbauen und anschließend sich um die Client VPNs kümmern…
Klar, gerne doch, nur aus dem Thema IPsec halt ich mich raus, da von keinerlei Sachkenntniss belastet :P
-teddy
-
m0nji ey du bist soooooooo der hammer hat auf anhieb geklappt :) endlich mal eine beschreibung die klappt :) 1000 dank.
jetzt muss ich nur noch open vpn bauen zu den handys ;)
-
Moin Männer ein kleines habe ich noch :)
Jetzt habe ich zwei vpns in meinem DMZ Netzwerk. Wie komme ich jetzt von meinem LAN auf Webseiten von Servern die in der DMZ stehen ?
Also der Kollege mit der Fritzbox ist ja nun per VPN Verbunden aber mit welcher Rule komme ich nun um Himmels willen da rüber…...
bin ich einfach zu blöd zu.
Aufgabe ich bin 192.168.1.x und will zu 192.168.2.x als Beispiel diese ist im VPN.-----+-----.
| Fritzbox | (VPN Endpoint 192.168.0.0/24)
'-----+-----'
:
: PPPoE-Provider
:
WAN / Internet
:
: PPPoE-Provider
:|
|
|
.-----+-----. (PPPOE/ VPN Endpoint)
+-------------+ pfSense +-------------+
| '-----+-----' |
| |
LAN | 192.168.1.0/24 VPN / DMZ | 192.168.10.0/24
| |
.-----+------. .-----+------.
| LAN-Switch | | LAN-Switch |
'-----+------' '-----+------'
| |
...-----+------... ...-----+------... -
du hast jetzt quasi eine ipsec verbindung zwischen den netzen 192.168.10.0/24 (deine pfsense) und 192.168.2.0/24 (dein kumpel seine fritzbox)?
ausgehend von diesem szenario erstmal die frage: kannst du aus dem 192.168.10.0/24 eine IP im 192.168.2.0/24 anpingen?des weiteren wirst du eine zusätzliche phase2 im ipsec tunnel benötigen. die fritzbox kennt dein 192.168.1.0/24 ja gar nicht und wird daher anfragen nicht erlauben.
damit du nicht auf beiden seiten(pfsense und fritzbox) anpassungen machen musst, löst man so ein problem z.b. über die zusätzliche phase2 über NAT/BINAT (siehe Screenshot)du NATest damit alle anfragen aus dem 192.168.1.0/24 netz und kommst dann im vpn tunnel mit der 192.168.10.253 an, wofür die regeln auf der frtizbox ja greifen. die 192.168.10.253 ist eine fiktive IP. du kannst jegliche IP nehmen welche nicht genutzt wird in deinem netz.