PL2TP Portweiterleitung



  • Hallo

    Seit geraumer Zeit kann ich mich mit dem VPN-Server auf der Synology über das L2TP Protokoll nicht verbinden.
    Am Anfang dachte ich es sei ein Problem von der DiskStation, war aber ein wenig verunsichert da ich mich mit dem PC, über das PPTP-Protokoll verbinden konnte.

    ich habe jetzt ein VPN-Server auf einer Raspberry Pi aufgespielt. Genau das gleiche Problem, PPTP geht L2TP geht nicht. Ich kann intern über das WLAN-Netz mich mit dem Iphone über L2TP verbinden.
    Die Portweiterleitung ist ganz normal eingestellt. Die 192.168.1.40 ist die IP-Adresse der Raspberry.

    Wo könnte das Problem sein??Bug beim L2TP-Protokoll?

    2.4.2-RELEASE-p1 (amd64)
    built on Tue Dec 12 13:45:26 CST 2017
    FreeBSD 11.1-RELEASE-p6

    Edit: Da ist was schief gelaufen! :)


  • LAYER 8 Moderator

    Warum überhaupt ipsec weiterleiten und nicht direkt auf der pfsense machen? Und warum unbedingt ipsec (l2tp) und nicht OpenVPN?



  • Weil ich nicht weiss wie es geht und weil am Iphone l2tp einfacher einzurichten ist als OpenVPN.



  • Hallo,

    schau doch mal in das Firewall Log. Die Weiterleitung ist nur die hälfte. Normalerweise wird es zwar automatisch gemacht, aber wenn man viel Testet gehen die Firewall Regeln welche den Datenverkehr erlauben verloren. Schau doch mal ob die Pakete in der Firewall geblockt werden.

    Gruß blex



  • Hallo blex

    in den Firewall Log wird gar nicht's angezeigt. Hab jetzt ein paar mal versucht micht mit dem Iphone zu verbinden, wird aber in den Firewall Logs nicht angzeigt.
    Kann das am pfSense-Update liegen?



  • Hallo,

    @Misaal:

    Hallo blex

    in den Firewall Log wird gar nicht's angezeigt. Hab jetzt ein paar mal versucht micht mit dem Iphone zu verbinden, wird aber in den Firewall Logs nicht angzeigt.

    strukturiert analysieren.
    Wenn du eine Block all rule mit der option logge pakete die von dieser Regel getroffen werden aktivierst sollten die Pakete im firewall log landen.
    Wenn du das schon hast und nichts blockiert wird würde ich das loggen von Paketen auf deinen allow Regeln aktivieren um zu sehen ob die Pakete überhaupt bei deiner Firewall ankommen.

    Dann bist du schon mal einen riesen schritt weiter beim eingrenzen des Fehlers.

    Gruß blex


  • LAYER 8 Moderator

    Wenn du eine Block all rule mit der option logge pakete die von dieser Regel getroffen werden aktivierst sollten die Pakete im firewall log landen.

    @blex: weil du das jetzt bereits das zweite mal schreibst: das ist Standard Einstellung! Zu sehen unter "Status / System Logs / Settings": "Log packets matched from the default block rules in the ruleset"
    In dem Satz stehen beide Tatsachen drin: es wird default schon alles geblockt was nicht erlaubt ist, und es wird default ebenfalls auch ins Firewall Log geloggt, wenn es gegen die default block rule verstößt (was auf dem WAN ohne Regel quasi alles ist). Es ist also keine explizite Regel notwendig. Im Gegenteil, vergisst man hier das Log schaltet man sich dabei unabsichtlich alles Logging ab. Oder legt eine Allow Regel darunter an und wundert sich warum sie nicht greift. Eine zusätzliche Block Any Regel macht in den allerwenigsten Konfigurationen daher Sinn. ;)

    Dem Rest des Vorgehens stimme ich aber uneingeschränkt zu! :) Von Anfang bis Ende sauber durchgehen und analysieren! Also bspw.:

    1. Kommt Paket überhaupt an der pfSense an?
    2. Wird es geblockt oder erlaubt? Hier ggf. auch bitte das Logging in den Pass Regeln fürs IPSec an machen, dass man sieht ob geblockt oder erlaubt!
    3. Logs von System und IPSec checken.
    4. Fehlermeldung von iPhone genau prüfen (gibts ein anderes Layer2/3 Problem)?

    Warum überhaupt ipsec weiterleiten und nicht direkt auf der pfsense machen? Und warum unbedingt ipsec (l2tp) und nicht OpenVPN?
    Weil ich nicht weiss wie es geht und weil am Iphone l2tp einfacher einzurichten ist als OpenVPN.

    Entschuldige ich muss es einfach fragen: HE? L2TP einfacher als OpenVPN? :o OpenVPN App installiert, Konfiguration aus Client Export Wizard nehmen und draufklatschen und fertig? grübel Und das ist kompliziert?
    Nicht böse gemeint, aber das ist das Erste was ich höre ;) Kein Kunde hat bislang je behauptet, IPSec oder L2TP wären an irgendeiner Stelle einfacher :)

    Gruß Jens


Log in to reply