S2S zwischen FritzBox und pfSense



  • Servus zusammen,

    ich habe momentan ein kleines Problem.
    Und zwar bin ich dabei innerhalb einer Testumgebung, später im Produktivbetrieb eine S2S Verbindung herzustellen zwischen einer pfSense extern und einer FritzBox intern.
    Das Problem innerhalb dieser Testumgebung ist, das die FB hinter einer Firewall steckt und an ein vorhandes LAN angesteckt ist. Die FB generiert aber über ein zweites Interface an der Firewall ein neuen Netzbereich.

    Erstelle ich eine S2S Verbindung zwischen Firewall und pfSense, gibt es keine Probleme und es läuft alles einwandfrei.
    Versuche ich jetzt aber über die FB dies, kommt keine Verbindung zu stande.

    Aus meiner Sicht liegt das an zwei Dingen:

    • keine eigene öffentliche Adresse, bzw. mittels NAT
    • Portweiterleitung?!

    Habe nun auch schon über myFritz eine extern erreichbare Url eingerichtet, wo jedoch über den Port 48288 connected wird.

    Würde die Portweiterleitung das Problem beheben? Wenn ja, Firewallseitig oder FBseitig?

    Sofern eine Netzübersicht o.ä weiterhilft, reiche ich diese gerne nach.



  • mit diesen Angaben wird dir kaum jemand helfen können.

    Ich jedenfalls kann Deinen Aufbau nicht nachvollziehen und dir leider deshalb nicht helfen.

    Mach doch bitte mal eine Skizze von deinem Netz (JeGr hat dafür mal Vorlagen erstellt).

    Dann kann man vielleicht ersehen wo Deine Probleme Ihre Ursache haben.



  • So sollte es von der Topologie her aussehen, momentan steht eine S2S-Verbindung zwischen der Gateprotect und der pfSense.
    Das funktioniert soweit auch. Aber das ist nicht zu 100% die Lösung für mich.
    Ziel ist es, eine S2S Verbindung zwischen der FritzBox und der pfSense zu erstellen.

    Die FB hat eine feste IP und keine DNS Eintrag.
    Welche Einstellungen muss ich bei der pfSense in der Konstellation anpassen? Bzw. welche an der Fritzbox?



  • Hallo,

    wäre noch interessant, welche Art von S2S das sein soll.
    Typischerweise ist da der eine Endpunkt Server und der andere Client. Für den Client reicht es, wenn das verwendete Protokoll und die Ports zum Zielhost erlaubt sind. Der Server muss die Pakete an sein Interface geschickt bekommen, benötigt also ggf. eine Weiterleitung, wenn er hinter einem Router sitzt.



  • Hallo,

    im Endzustand soll der Rechner hinter der FB auf den Server hinter der pfSense Zugriff haben.
    Die Theorie ist mir bekannt, nur scheiterst wohl an der FB VPN Config bei mir. Habe ein ähnliches Szenario erstellt wo ich nun auch das NAT Problem in den Griff bekommen habe.

    Jedoch möchte die Config bei der FB einfach nicht hinhauen.

    EDIT: Also bei der pfSense zeigt er mir nun eine aktive Verbindung zur FB. Auf der anderen Seite zeigt die FB aber keinerlei Zeichen für eine aktive Verbindung. Ping kommt auch nicht durch.
    Hat einer eine funktionierende Fritzbox Config?



  • Hi,
    hast Du in der Gate-Firewall die betreffenden Ports für den IPSec-Tunnel freigegeben?
    Ich würde da noch anders vorgehen, wenn Du wirklich nur von dem einen Rechner den Zugriff auf den Server hinter der pfSense benötigst.
    Bevor Du einen IPSec-Tunnel a' la Fritzbox kreierst, mit all seinen Wehwehchen…. ;D
    OpenVPN-Server auf die pfSense und einfach auf den Rechner hinter der Fritte den OpenVPN-Client einrichten.
    Dann brauchst Du keinen Port an der Gate freizugeben und es braucht nur eine Feste-IP oder DynDNS an der pfSense.
    Gruss orcape



  • Hey,
    in dieser Konstellation wäre das wahrscheinlich die schmerzfreiste Variante, nur soll das komplette Netz hinter der FB Zugriff drauf haben :D
    War wohl etwas undeutlich ausgedrückt, der eine Rechner steht einfach zur Veranschaulichung.

    Muss sagen das ich mir die Konfiguration der FB deutlich simpler vorgestellt habe, irgendwie habe ich das Gefühl das da eine Menge Fehlerquellen lauern.
    Werde auch aus den Logs der FB nicht wirklich schlau



  • Wenn das komplette Netz hinter der Fritte gefragt ist und Du das IPSec der Fritte vermeiden willst, gäbe es noch die Möglichkeit, für 20-30 €uronen einen DD-/OpenWRT fähigen Router bei EBay zu ersteigern und den in die Kaskade zu hängen. Bei Bedarf Portforwarding auf der Fritte und gut.
    Wären da noch die extremen Stromkosten von 4W.  ;D



  • Hallo

    ich habe für einen Produktivbetrieb mal nach Wochen des Versuchens eine S2S Verbindung zwischen Pfsense und FB hergestellt bekommen. Nach viel Hilfe und suche im netz - manuellem an passen der Configs in der FB etc..

    Letzendlich lief das ganze dann endlich stabil (mehr oder weniger) dann war aber sofort klar dass die Performance der FB nicht ausreicht - an einem 100MBIT anschluss schaffte die FB max 8Mbit-bis 10Mbit über das VPN.

    Ich habe die FB´s noch immer - setzte dahinter aber inzwischen PFSENSE für das VPN ein - läuft SUPER.