Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    PL2TP Portweiterleitung

    Deutsch
    3
    7
    316
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Misaal last edited by

      Hallo

      Seit geraumer Zeit kann ich mich mit dem VPN-Server auf der Synology über das L2TP Protokoll nicht verbinden.
      Am Anfang dachte ich es sei ein Problem von der DiskStation, war aber ein wenig verunsichert da ich mich mit dem PC, über das PPTP-Protokoll verbinden konnte.

      ich habe jetzt ein VPN-Server auf einer Raspberry Pi aufgespielt. Genau das gleiche Problem, PPTP geht L2TP geht nicht. Ich kann intern über das WLAN-Netz mich mit dem Iphone über L2TP verbinden.
      Die Portweiterleitung ist ganz normal eingestellt. Die 192.168.1.40 ist die IP-Adresse der Raspberry.

      Wo könnte das Problem sein??Bug beim L2TP-Protokoll?

      2.4.2-RELEASE-p1 (amd64)
      built on Tue Dec 12 13:45:26 CST 2017
      FreeBSD 11.1-RELEASE-p6

      Edit: Da ist was schief gelaufen! :)

      1 Reply Last reply Reply Quote 0
      • JeGr
        JeGr LAYER 8 Moderator last edited by

        Warum überhaupt ipsec weiterleiten und nicht direkt auf der pfsense machen? Und warum unbedingt ipsec (l2tp) und nicht OpenVPN?

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • M
          Misaal last edited by

          Weil ich nicht weiss wie es geht und weil am Iphone l2tp einfacher einzurichten ist als OpenVPN.

          1 Reply Last reply Reply Quote 0
          • B
            blex last edited by

            Hallo,

            schau doch mal in das Firewall Log. Die Weiterleitung ist nur die hälfte. Normalerweise wird es zwar automatisch gemacht, aber wenn man viel Testet gehen die Firewall Regeln welche den Datenverkehr erlauben verloren. Schau doch mal ob die Pakete in der Firewall geblockt werden.

            Gruß blex

            1 Reply Last reply Reply Quote 0
            • M
              Misaal last edited by

              Hallo blex

              in den Firewall Log wird gar nicht's angezeigt. Hab jetzt ein paar mal versucht micht mit dem Iphone zu verbinden, wird aber in den Firewall Logs nicht angzeigt.
              Kann das am pfSense-Update liegen?

              1 Reply Last reply Reply Quote 0
              • B
                blex last edited by

                Hallo,

                @Misaal:

                Hallo blex

                in den Firewall Log wird gar nicht's angezeigt. Hab jetzt ein paar mal versucht micht mit dem Iphone zu verbinden, wird aber in den Firewall Logs nicht angzeigt.

                strukturiert analysieren.
                Wenn du eine Block all rule mit der option logge pakete die von dieser Regel getroffen werden aktivierst sollten die Pakete im firewall log landen.
                Wenn du das schon hast und nichts blockiert wird würde ich das loggen von Paketen auf deinen allow Regeln aktivieren um zu sehen ob die Pakete überhaupt bei deiner Firewall ankommen.

                Dann bist du schon mal einen riesen schritt weiter beim eingrenzen des Fehlers.

                Gruß blex

                1 Reply Last reply Reply Quote 0
                • JeGr
                  JeGr LAYER 8 Moderator last edited by

                  Wenn du eine Block all rule mit der option logge pakete die von dieser Regel getroffen werden aktivierst sollten die Pakete im firewall log landen.

                  @blex: weil du das jetzt bereits das zweite mal schreibst: das ist Standard Einstellung! Zu sehen unter "Status / System Logs / Settings": "Log packets matched from the default block rules in the ruleset"
                  In dem Satz stehen beide Tatsachen drin: es wird default schon alles geblockt was nicht erlaubt ist, und es wird default ebenfalls auch ins Firewall Log geloggt, wenn es gegen die default block rule verstößt (was auf dem WAN ohne Regel quasi alles ist). Es ist also keine explizite Regel notwendig. Im Gegenteil, vergisst man hier das Log schaltet man sich dabei unabsichtlich alles Logging ab. Oder legt eine Allow Regel darunter an und wundert sich warum sie nicht greift. Eine zusätzliche Block Any Regel macht in den allerwenigsten Konfigurationen daher Sinn. ;)

                  Dem Rest des Vorgehens stimme ich aber uneingeschränkt zu! :) Von Anfang bis Ende sauber durchgehen und analysieren! Also bspw.:

                  1. Kommt Paket überhaupt an der pfSense an?
                  2. Wird es geblockt oder erlaubt? Hier ggf. auch bitte das Logging in den Pass Regeln fürs IPSec an machen, dass man sieht ob geblockt oder erlaubt!
                  3. Logs von System und IPSec checken.
                  4. Fehlermeldung von iPhone genau prüfen (gibts ein anderes Layer2/3 Problem)?
                    …

                  Warum überhaupt ipsec weiterleiten und nicht direkt auf der pfsense machen? Und warum unbedingt ipsec (l2tp) und nicht OpenVPN?
                  Weil ich nicht weiss wie es geht und weil am Iphone l2tp einfacher einzurichten ist als OpenVPN.

                  Entschuldige ich muss es einfach fragen: HE? L2TP einfacher als OpenVPN? :o OpenVPN App installiert, Konfiguration aus Client Export Wizard nehmen und draufklatschen und fertig? grübel Und das ist kompliziert?
                  Nicht böse gemeint, aber das ist das Erste was ich höre ;) Kein Kunde hat bislang je behauptet, IPSec oder L2TP wären an irgendeiner Stelle einfacher :)

                  Gruß Jens

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post