VPN mit pfSense hinter FritzBox



  • Hallo zusammen,

    bei mir läuft eine pfSense als Router und hat (quasie) dauerhaft einen SSL-VPN Tunnel via Internet zu einem entfernten Standort.
    Soweit alles prima.

    Bei einem Bekannten möchte ich nun auch per pfSense einen SSL-VPN Tunnel ebenfalls zu dem entfernten Standort (192.168.1.0) aufbauen.
    Bei ihm arbeitet aber eine FritzBox 7490 am DSL Anschluss als DSL Router - das soll auch so bleiben.
    Von allen Clients im FritzBox LAN soll der VPN Tunnel genutzt werden können.

    Nach meinem Verständnis sollte das ja auch funktionieren - dazu würde ich:

    • die pfSense ins LAN der FritzBox hängen,
    • den SSL Port in der FB auf die pfSense "forwarden" und
    • in der FritzBox eine statische Route für den IP-Bereich (192.168.1.0) auf die pfSense zeigen lassen
      Hoffe das ist so korrekt.

    Meine Frage liegt jetzt im Detail bei der pfSense. Mit welchem Port (WAN oder LAN) sollte die pfSense im LAN der FB hängen?
    Wenn ich VPN-Tunnel / Firewall / Routing in der pfSense so konfiguriere wie bei mir, dann würde die pfSense die Clients am LAN Anschluss erwarten und den VPN Tunnel über die WAN Schnittstelle aufbauen wollen. Wie wäre die richtige Anordnung & Konfiguration?

    Vielen Dank schonmal
    jeco


  • Moderator

    SSL-VPN Tunnel
    aber eine FritzBox 7490

    Bitte erstmal die Termini überprüfen. SSL VPN Tunnel ist so umgangssprachlich Wischiwaschi Gedöns und kann alles mögliche heißen. Von irgendwelchen eigenen/Herstellerspezifischen Lösungen bis zu OpenVPN.

    Nichts desto trotz kann die FB KEIN "SSL VPN". Die Fritz macht IPSec VPN. Punkt. Ergo ist hier an der Stelle nichts mit irgendwelchen SSL Ports und forwarden angesagt, sondern harte IPSec Konfiguration zwischen FB und pfSense gefordert. Damit ist der Rest des Postings leider auch nicht so ganz richtig. Zudem verstehe ich nicht warum du die pfSense hinter die Fritzbox hängen möchtest. Nur für VPN? Oder soll da das ganze LAN dann dahinter und die Fritzbox nur noch Frontrouter spielen? oder bezieht sich das auf deine Seite?

    Das müsstest du ein wenig genauer beschreiben, was du da wo wie hinbauen möchtest :)

    Grüße



  • Hallo,

    was ich im Betreff und im Text versucht habe zu beschreiben ist offenbar nicht ganz verständlich rübergekommen. :-)
    Noch ein Versuch.

    Standort A möchte ich per VPN Tunnel mit Standort B verbinden.
    Mir geht es hier nur um Standort A!
    An Standort A arbeitet eine FritzBox als DSL-Router.
    Im LAN der FritzBox (192.168.2.0) hängen die Clients.
    Damit diese Clients auf das LAN an Standort B (192.168.1.0) zugreifen können, möchte ich in das LAN der FritzBox eine pfSense hinzufügen.
    Die pfSense soll nur als VPN (OpenVPN) Gateway dienen.

    
    [Client1]---
                |
    [Client2]---
                |
                |---[FB Router]---(internet) - - - VPN zu Standort B - - 
                |
    [Client3]---
                |
    [pfSense]---
    
    

    Was mir für dieses Scenario nicht klar ist:

    • wie muss die pfSense in das LAN der FB gehängt werden - mit dem LAN oder dem WAN Anschluss?
    • wie muss die pfSense konfiguriert werden, da sie im LAN nicht als Router arbeitet?

    Wenn die pfSense selber (DSL) Router ist, per WAN-Anschluss am Internet hängt, selber die VPN Verbindung aufbaut und am LAN-Anschluss die Clients hängen - das habe ich verstanden und auch mehrfach installiert.

    Gruß jeco


  • Moderator

    Vorab die Frage: Die FB direkt mit dem Standort B zu verbinden via IPSec ist keine Möglichkeit? Nur pfSense ins Netz zu stellen um OpenVPN zu machen klingt ein wenig nach Overkill und nach "wir bauen uns Routingprobleme".

    • wie muss die pfSense in das LAN der FB gehängt werden - mit dem LAN oder dem WAN Anschluss?

    In deinem Szenario braucht die pfSense keine zwei Interfaces. Eines genügt, was dann quasi das WAN wäre. Ist aber wie gesagt in diesem Fall egal. Sie wird dann einfach mit dem einen Interface (WAN) ins lokale Netz 192.168.1.0 gehängt und bekommt die Fritte als Gateway. Denn ganz normal OpenVPN konfigurieren und den UDP/1194 an die Kiste durchreichen.

    Problematisch an diesem Setup ist eher die FritzBox, denn die weiß von dem OpenVPN Tunnel nichts. Dort muss also das entfernte Netz noch als Route eingetragen werden, die dann auf die pfSense Kiste zeigt. Ist das erledigt, sollte auch das Routing soweit funktionieren, auch wenn es asymmetrisch läuft.

    Grüße



  • Es funktioniert :-)

    pfSense mit der (einzigen) NIC in das LAN der FritzBox gehängt
    In der FritzBox statische Route eingetragen und Port Freigabe eingerichtet
    In der pfSense OpenVPN Tunnel eingerichtet.  Prima.

    Da hätte ich mit mehr Problemen bei der pfSense gerechnet, wenn diese nur eine NIC nutzt, zumal ich über diese aus dem FritzBox LAN auch auf die Web-Konfig Oberfläche gehe und der LAN und VPN Traffic über ein und die selbe Schnittstelle laufen.

    IPsec Tunnel per FritzBox aufbauen war hier keine Option.

    Danke nochmal und Gruß


  • Moderator

    IPsec Tunnel per FritzBox aufbauen war hier keine Option.

    Alles klar :)

    Da hätte ich mit mehr Problemen bei der pfSense gerechnet, wenn diese nur eine NIC nutzt, zumal ich über diese aus dem FritzBox LAN auch auf die Web-Konfig Oberfläche gehe und der LAN und VPN Traffic über ein und die selbe Schnittstelle laufen.

    Eigentlich nicht :) Auch mit einem Interface ist sie recht handzahm, man muss dann nur berücksichtigen, dass sie das eine Interface auch quasi als WAN sehen würde und im Hinterkopf halten, dass Traffic übers gleiche Interface raus und rein geht (zwecks Regeln etc.), aber sonst funktioniert das - gerade für solche Szenarien als kleines OpenVPN Gateway - im Prinzip recht einfach :)

    Grüße