VPN von Notebook/iPhone/iPad durch FritzBox zur pfSense



  • Hallo zusammen,

    seit ca. 3 Wochen habe ich eine pfSense laufen mit folgender Konfiguration

    ISP --> FritzBox 7490 --> pfSense --> 4 LAN/WLAN-Segmente (LAN, DMZ, SmartHome, WLAN)

    FritzBox:

    • Dect-Telefonie
    • Gast-WLAN
    • IPSec-VPN für Einwahl und Telefonie aus dem Ausland
    • DynDNS zu Dienstleister
    • Teilweise 'Exposed Host' oder einzelne Portzuweisungen zum WAN der pfSense *

    pfSense:

    • LAN (meine Clients PC's, Notebook, Media etc.)
    • DMZ (QNAP-NAS für einen Kunden inkl. OpenVPN-Server auf dem NAS)
      Ports: 443/1194 als Forwanding FB-->pfSense und pfSense-->KundenNAS
      Dazu mein Synology PhotoNAS
    • SmartHome (wie der Name schon sagt, SmartHome-Zentrale und Webcams)
    • WLAN (interne Clients für Webzugriff, DMZ, LAN, SmartHome)

    Was funktioniert (bis jetzt):

    • Webzugriff von extern auf das Kunden-NAS (HTTPS)
    • IPSec-VPN zu Fritte
    • Webzugriff von intern (LAN/WLAN)

    Was nicht funktioniert:

    • OpenVPN-Zugang durch die Fritte/pfSense zum KundenNAS in der DMZ
    • IPSec-VPN vom Notebook/iPhone oder iPad zur pfSense

    Ich habe einiges gelesen und habe zuerst auf der pfSense einen OpenVPN-Server aufgesetzt (anderer Port wg. Kunden-OpenVPN. Die Verbindung klappte auch, leider konnte ich nicht auf mein LAN oder mein SmartHome zugreifen, obwohl alle Routen angelegt waren.

    Dann habe ich gelesen, dass es mit IPSec und ohne Zusatzsoftware von meinen Clients (Win10, iOS) auch funktionieren sollte.
    Anleitung, die ich verwendet habe:
    https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html#toc-20

    Leider bekomme ich von allen Clients immer die Meldung (sinngemäß):
    Server (pfSense) antwortet nicht.

    • Ich habe sowohl mit expliziten Ports und deren Weiterleitung, als auch mit Exposed Host in der fritte versucht das hinzubekommen. Leider immer das gleiche Ergebnis.

    Mein Ziel ist:

    • OpenVPN der Kunden-Notebooks direkt auf das NAS des Kunden (in der DMZ)
    • VPN aller meiner Clients (Win10, iOS) iund Zugriff auf LAN/DMZ/SmartHome)
    • Telefonie über meine DECT-Telefone und der FritzBox
    • VPN zur FritzBox wegen der Telefonie aus dem Ausland
    • Gast-WLAN der Fritte für meine Gäste
    • WLAN von Intern (pfSense) nach überall

    Ich hatte auch schon den Gedanken und auch ausprobiert:

    • Austausch Fritte gegen Vigor165 und ISP-Anwahl durch pfSense (leider gleiches Ergebnis)

    Leider finde ich den Fehler nicht ode rhabe noch nicht da srichtige Dokument gefunden.
    Hat jemand eine Idee?

    Gruß
    singer



  • Hallo,

    @singer said in VPN von Notebook/iPhone/iPad durch FritzBox zur pfSense:

    Ich habe einiges gelesen und habe zuerst auf der pfSense einen OpenVPN-Server aufgesetzt (anderer Port wg. Kunden-OpenVPN. Die Verbindung klappte auch, leider konnte ich nicht auf mein LAN oder mein SmartHome zugreifen, obwohl alle Routen angelegt waren.

    bedenke, dass derartige Zugriffe standardmäßig von den Zielgeräten selbst geblockt werden. Typischerweise erlauben geräte den Zugriff aus dem eigenen Subnetz, jedoch nicht aus anderen.

    Ohne nähere Angaben, was du da genau konfiguriert hast, kann man aber nur ins Blaue raten, was schief gelaufen ist.
    Im Grunde müssen eben

    • die Routen am Client richtig gesetzt werden
    • die Routen am Zielgerät richtig gesetzt sein, d.h. der VPN-Server (pfSense) sollte das Standardgateway sein, anderenfalls muss du NAT einsetzen
    • die pfSense den Zugriff erlauben (Regel am OpenVPN Interface)
    • das Zielgerät den Zugriff erlauben

    Die pfSense bietet aber Funktionen zu Problemanalyse an wie Diagnostic > Packet Capture. Damit kannst du untersuchen, wo die Paket hin laufen und welche Quell- und Ziel-IP sie dabei haben, um zu sehen, ob das Routing in Ordnung ist.

    Zu IPSec hinter der FB kann ich nichts sagen, bin mir nicht sicher, ob das überhaupt möglich ist, wenn die FB selbst schon IPSec aktiviert hat.

    Grüße



  • @viragomann

    Danke für die Rückantowrt. Du hast mir schon ein paar Ansätze genannt, welche ich untersuchen kann (OpenVPN statt IPSec da hinter FritzBox) Der Tipp mit den Analysetools der pfSense werde ich zuerst mal angehen und hier berichten.

    Vielen Dank
    singer



  • Hallo,

    nach einigen Konfigurationsanpassungen, habe ich es jetzt geschafft, mich mit OpenVPN in den OVPN-Server der pfSense einzuwählen und habe auch alle Geräte (NAS, Media etc. im Zugriff.

    LEIDER NUR IM INTERNEN LAN!

    bedeutet:

    • Die vorgeschaltete FritzBox leitet immer noch nicht die OpenVPN-Anfragen von extern weiter!

    Nachdem ich den das Interface des OVPNServers auf 'any' gestellt und die Client-Configdatei auf die interne Schnittstelle des WLAN konfiguriert habe, konnte ich mich zumindest mit dem OVPNServer verbinden. Damit scheint die pfSense- und die Client-Konfiguration korrekt zu sein.

    Wie bekomme ich es nun hin, dass ich die fritte dazu bringe, die OpenVPN-Anfrage von extern an die pfSense weiter zu leiten???

    In der Fritte habe ich den nötigen Port des OpenVPN-Servers entsprechend an die WAN-Schnittstelle der pfSense eingestellt.

    Wenn ich mich von extern einwähle, bekomme ich folgende Meldung:
    TLS-Error: TLS negotiation failed to occur within 60 seconds (check your Network connectivity)
    TLS Error: TLS Handshake failed

    Die DynDNS-Adresse wird korrekt aufgelöst und der Port ist auch korrekt. Also ist die korrekte Verbindung eigentlich vorhanden.

    Hat jemand deine Idee?

    Gruß
    singer



  • Update: Das Ergebnis der Packet Capture:

    19:19:18.573268 IP pfSense-WAN-IP.56144 > ExterneIP.1196: UDP, length 54
    19:19:20.727441 IP pfSense-WAN-IP.56144 > ExterneIP.1196: UDP, length 54
    19:19:25.069479 IP pfSense-WAN-IP.56144 > ExterneIP.1196: UDP, length 54
    19:19:33.029097 IP pfSense-WAN-IP.56144 > ExterneIP.1196: UDP, length 54
    19:19:49.040930 IP pfSense-WAN-IP.56144 > ExterneIP.1196: UDP, length 54



  • Die Fehlermeldung des Clients ist typisch dafür, dass er den Server nicht erreicht, bzw. von diesem keine Antwort bekommt.

    Ich nehme an, dass du zwischen FB und pfSense ein privates Netz hast (dass du die WAN-IP der pfSense verschleierst, würde aber was anderes vermuten lassen). Wie auch immer, standardmäßig hat die pfSense in den WAN Interface-Einstellungen einen Haken bei "block private networks" drinnen, womit alle Zugriffe von privaten IP-Adresse geblockt werden. Wenn die FB wie so manche "Fix und fertig-Router" NAT auf eingehenden Verbindungen macht, würden damit alle Verbindungen auf der pfSense geblockt. In den Firewall-Regeln würde dies abgebildet sein.

    Das Packet Capture verstehe ich leider nicht. Dafür fehlen Informationen wie was ist die "ExterneIP" und auf welchem Port lauscht der VPN Server.

    Grüße



  • Guten Morgen und danke für die Rückmeldung.

    Wie du erwähnt hast, habe ich ein privates Metz zwischen FB und pfSense.
    Den Haken auf der WAN-Schnittstelle für das Blocken von privaten Netzen habe ich raus genommen.

    Daher verstehe ich nicht, warum das nicht durch die FB durch geht.
    Weitere Portforwarding-Regeln in der FB zur pfSense (z.B. auf das Kunden-NAS) funktionieren einwandfrei.

    Bei dem LOG für die pfsense hatte ich auf dem WAN-Interface nur den OpenVPN-Port angegeben. Das ist alles, was dort steht.

    Gruß
    singer


Log in to reply