(Gelöst) VPN Fritzbox –> pfsense / Android Phone -> PFsense

Eike

Hallo Gemeinde,
ich habe  zwei Fragen an euch.
Ich würde jetzt gerne wieder mein VPN Nutzen können, so wie ich es vorher mit der Fritzbox gehabt habe.
Im Prinzip Fritzbox gegen PFSense getauscht.

Ich möchte im Prinzip zwei Sachen. Die festen Verbindungen zwischen Standorten sollen in die dmz geroutet werden.
Die Mobilen clients sollen ins Lan geroutet werden.

.–---+-----.
                                |  Fritzbox  |  (VPN Endpoint 192.168.0.0/24)
                                '-----+-----'             
                                        :
                                        : PPPoE-Provider
                                        :
                              WAN / Internet
                                        :
                                        : PPPoE-Provider
                                        :

|
                                      | 
                                      |
                              .-----+-----.  (PPPOE/ VPN Endpoint)
          +-------------+  pfSense  +-------------+
          |                    '-----+-----'                  |
          |                                                      |
  LAN | 192.168.1.0/24                      DMZ  | 192.168.10.0/24
          |                                                      |
  .-----+------.                                      .-----+------.
| LAN-Switch |                                  | LAN-Switch |
  '-----+------'                                      '-----+------'
          |                                                      |
...-----+------...                                  ...-----+------...

Dirk_Platt

Hallo Eike,

Hab ich zwar so noch nicht ausprobiert, sollte aber recht einfach gehen, wenn Du einfach 2 OpenVPN Server mit unterschiedlichem Port auf der pfsense laufen lässt. Einen für die Standortverbindung und einen für mobilen Remote-Access.

Die kannst Du dann jeweils individuell konfigurieren.

Vielleicht denke ich da aber auch zu kompliziert und jemand weiß eine bessere Lösung.

Gruß, Dirk

JeGr

Ich steige irgendwie nicht ganz durch, was genau Eike da bauen möchte. Das Diagramm ist zwar da, aber ich verstehe nicht ganz, was jetzt die Frage ist bzw. was genau gebaut werden soll - vielleicht liegts auch am Wording weil ich nicht ganz nachvollziehen kann, was mit "in die DMZ geroutet" gemeint ist :)

Eike

Moin JeGr,
ach das ist ganz einfach. Ich möchte halt das alle Handys in meiner Familie direkt in mein Heimnetz (192.168.1.0/24) kommen und alle festen Verbindungen (zu Freunden auf eine Fritzbox) in das "DMZ" Netz (192.168.10.0/24) kommen.

Mehr nicht :)

Eike

JeGr

Achso, also einmal Site2Site mit der Fritzbox und einmal Einwahl mit Smartphones? Ja das geht, allerdings muss die Fritzbox eben entweder OpenVPN können (gemoddet) oder man muss leidiges IPSec mit ner Fritzbox basteln, was eher nicht so dolle ist. Aber gehen tut das.

Gruß

Eike

Moin JeGr,
Das sind alles Original Fritzboxen also wird es dann ipsec sein. Ist das schwierig? gibt es irgendwo eine "config" die ich anpassen kann ?
Wie sieht das mit den Handys aus ? ist doch auch ipsec oder ? Gibt es hierzu eine doku für Newbies wie mich ? Am besten etwas wo ich nur meine Daten ein zu tragen brauche.

Eike

JeGr

Wie sieht das mit den Handys aus ? ist doch auch ipsec oder ?

Nein nicht zwangsläufig. Ich nutze OpenVPN auf den Mobiles und Notebooks von unterwegs und würde nichts anderes wollen. Läuft einfach und prägnant. Gerade bei Hotels oder sonstwo, wo mitunter mal grob oder doof gefiltert wird, komme ich meist mit OpenVPN immer noch durch, IPSec (da eigenes Protokoll etc.) knallt da meist dagegen. Und wenns richtig klemmt hat man mit einem zweiten OpenVPN Setup auf tcp/443 immer noch was, was 99% der Fälle dann doch funktioniert.

Dirk_Platt

Ich hatte völlig übersehen dass die Site to Site Verbindung von der Fritte ausgehen soll. Da fällt OpenVPN zur pfsense wohl eher flach …

Gruß, Dirk

Eike

Aloha Gemeinde,
man habe ich viel gelernt in der letzten Woche wow…ich muss mir mal selber auf die Schulter kopfen.

So also der Tunnel zu den Handy steht und klappt super. Ich habe eine Anleitung per ipsec gefunden und diese mit Zertifikaten angepasst. Alles Bombe.

So nun will ich die Fritzbox so wie im Diagramm auf mein DMZ Network bringen und ich werd verrückt. Die Anleitungen die es hier gibt sind alle unterschiedlich oder nicht mehr aktuell.
Kann mir einer von Euch eventuell helfen und mir eine (oder seine)  config einmal per Screenshot zeigen ? in Netz gibt es so viel Müll der überhaupt nicht klappt unglaublich :(

Eike

m0nji

Beschreib mal bitte genau wie du die IPSEC -> Handy Einrichtung durchgeführt hast. Lese zwar was von Zertifikaten aber nicht ob mit Xauth oder ohne.
Wenn du nämlich einmal die Benutzerauthentifizierung eingeschalten hast um dich via Smartphone über IPSEC zur pfSense zu verbinden, werden IPSEC Site2Site Tunnel nicht mehr funktionieren. Vielleicht wurde das Problem mittlerweile gefixt aber ich glaube nicht dran. IPSEC + Xauth ist aber eigentlich die bevorzugte Variante bei mobile VPN. Man will ja nicht immer erst umständlich Zertifikate auf die mobilen Endgeräte bringen müssen.

Ich habe Site2Site Tunnels ausschließlich über IPSEC angebunden. 3 x Fritzboxen, 1 x Fortigate, 1 x Azure. Läuft!
Mobile Clients können sich via OpenVPN zur pfSense connecten über Port 443 TCP (gut für strikte Umgebungen) und alternativ via 1194 UDP (etwas performanter als TCP).

Das ist zwar schade weil man so nicht die nativen VPN Clients von Android und iOS nutzen kann aber das ist trotzdem die Variante, wie es läuft.

Eike

Moin,
ich habe es nach dieser Anleitung gemacht und es hat sofort geklappt.

https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html

m0nji

Ja genau hier wirst du ein Problem bekommen.
Fritzboxen unterstützen nur IKEv1 über IPSEC. Sobald du aber den mobilen IPSEC Client Support aktivierst, werden die IKEv1 Tunnel nicht mehr funktionieren.

Siehe auch hier: https://forum.pfsense.org/index.php?topic=126310.msg710288#msg710288

JeGr

Das ist zwar schade weil man so nicht die nativen VPN Clients von Android und iOS nutzen kann aber das ist trotzdem die Variante, wie es läuft.

Das stimmt, wobei ich wie schon andernorts beschrieben das "Problem" nur wenig nachvollziehen kann, dass eine zusätzliche App auf mobilen Geräten benötigt wird. Ja, natürlich wäre ein nativer Client bzw. Integration ins OS "schöner". Allerdings ist wie schon angemerkt OpenVPN für Client Einwahl wirklich vielfach einfach ein "fire & forget" Prinzip. Und auf Android ist - je nach App (es gibt hier zwei) - sogar Integration in die QuickToggles möglich. Benachrichtigungsleiste runtergezogen, einmal draufgetoucht und innerhalb 2s verbunden mit dem VPN. Zwar nicht "integriert" aber durch Anbindung an die QuickToggles mindestens genauso komfortabel. Seit so eingerichtet habe ich keinen mehr murren hören. Plus: Bei Firmen oder "Prosumern" mit mehreren Leitungen (DSL/Kabel/LTE bspw.) kann OpenVPN eben auch problemlos angepasst werden, um bei Ausfall einer Leitung einfach sich mit dem Fallback zu verbinden. Gleiches Verbindungsprofil, gleiche Usability, trotzdem ausfallsicher. Spätestens da war noch jeder Chef/Abteilungsleiter dann plötzlich gar nicht mehr abgeneigt, dass da was installiert werden muss :D

m0nji

@JeGr: Ich wollte damit auch OpenVPN nicht madig machen. Es sprechen schon Gründe für die Wahl zu OpenVPN. Ich habe nur gerade bei iOS bis zum letzten Update der OpenVPN App leider gar kein Connect mehr zur pfSense hinbekommen. Die Client App war noch nicht angepasst für OpenVPN 2.4. Da stand ich 3-4 Monate da und kam nicht in meine Infrastruktur :(
Aber egal, dass Problem ist gelöst.

Für Site2Site Tunnel ist und bleibt aber IPSEC für mich die erste Wahl, weil es die allermeisten Router (Consumer, SemiPro) standardmäßig unterstützen ohne Gebastel.
BTW: Auch bei IPSEC kann ich ohne Probleme eine Failover Konfiguration fahren ohne auch nur 1 Handgriff zu unternehmen. ;)
Multiwan Interface erstellen mit Failover -> DynDns Adresse registrieren und auf das Failover Interface legen -> Firewall und NAT Regeln werden vom IPSEC Dienst ja selbständig erstellt. Problem ist eher, dass die Hauptleitung meist schneller wieder zur Verfügung steht, als das der Tunnel über die zweite Leitung aufgebaut wurde.

JeGr

@JeGr: Ich wollte damit auch OpenVPN nicht madig machen.
Auch nicht so verstanden :)

BTW: Auch bei IPSEC kann ich ohne Probleme eine Failover Konfiguration fahren ohne auch nur 1 Handgriff zu unternehmen. ;)
IPSEC Tunnel Konfiguration mit Multi-WAN? Mit DynDNS? Meh… ja funktioniert theoretisch, praktisch hat man die Umschaltzeit, die Detection vom Failover Interface, den Aufbau, DNS Caches die dann zwischen reingrätschen etc. etc.
Es gibt einfach keinen nativen Weg, um sinnvolles MultiWAN Loadbalancing/Failover Verhalten mit IPSEC zu bekommen, außer statisch zwei Tunnel mit unterschiedlichen Daten aufzubauen und Routen zu verbiegen, damit das irgendwie funktioniert. Solange IPSEC kein wirkliches Interface zur Verfügung stellt, wird das alles ziemlich gebastelt bleiben. Dahingegen haben wir mit OpenVPN u.a. schon Szenarien wie round-robin-loadbalancing bei Connects, WAN-Acceleration Setups und andere Spielereien gebaut ohne in extrem fiese Probleme zu laufen :)

Die Antwort war da weniger an dich gerichtet, sondern mehr in Richtung: "Hey so überzeugt man auch technisch nicht so bewandertes Personal/Chefs davon" ;)

Eike

Soooooo ….hab eh nur die Hälft verstanden....ausser das es so nicht geht. Also die Fritzboxen bleiben logischerweise wie sie sind. Also müssen die ipsec machen.

wie geht das mit dem open vpn ? gibt es da ein howto ?

JeGr

OpenVPN Server Konfiguration hat u.a. einen Wizard, der einen durch das Setup führt, alternativ:

https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server

Ja nachdem wie sicher es sein soll/darf, kann man die Clients mit User/Pass, nur Zertifikat oder User/Pass + Zertifikat kombiniert einwählen lassen. User können dann entweder in der normalen GUI (User Manager) verwaltet werden oder - besser - extern via LDAP oder Radius z.B. via FreeRadius Package. Möglichkeiten gibt es viele.

https://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS (auch wenn da FreeRadius2 steht, geht das inzwischen mit dem 3er Paket genauso).

Eike

muss ich alles von ipsec löschen oder kann ich meine Ca auch behalten ?

Eike

Moin Männer,
ich habe echt schlechte Laune. Ich bekomme einfach keine Verbindung zu einer Fritzbox hin. Das kann doch nicht so schwer sein oder ? Gibt es nicht eine Anleitung im Netz die nicht 100 Jahre alt ist sondern funktioniert?

Ich wäre euch für eine Hilfestellung dankbar. Es soll mit einer aktuellen 7490 klappen.

m0nji

Was willst du denn nun jetzt machen?

Du schreibst erst, dass die Firtzboxen und IPSEC bleiben und dann fragst du nach einer Anleitung für OpenVPN.
Fritzboxen unterstützten nativ kein OpenVPN. Entweder baust du also einen kleinen OpenVPN Server hinter der Fritzbox auf und leitest nur die Anfragen über die Fritzbox weiter zum OpenVPN Server oder aber du bleibst bei IPSEC um die Fritzboxen anzubinden. Wenn du also eine gängige und funktionierende IPSEC Konfiguration suchst pfSense -> Fritzbox kann ich hier was veröffentlichen. Dann fällt aber das Client VPN über IPSEC weg! Dafür sollte man dann OpenVPN auf der pfSense als Server nutzen.