Site2Site VPN IPsec mit Fritzbox, Routing?

mansior

Hallo zusammen,

ich versuche aktuell ein Site2Site VPN zwischen meiner pfsense(2.4.4) und einer Fritzbox 7590(Version 07.12) herzustellen. Eigentlich kann die Verbindung hergestellt werden. Ich kann alles aus dem Netz der Fritzbox im Netz der pfsense erreichen. Andersrum leider nicht.
Ich kenne mich mit der Funktionsweise von IPsec nicht genau aus, aber mein normaler "Debug-Weg" ist ein ping ins andere Netz/der Aufruf eines Dienstes in diesem. Das ganze wird an der pfsense aufgezeichnet(Packet Capture). In diesem Fall nehme ich das IPsec Interface und den prom. Modus:

Fritzbox Netz Teilnehmer (192.168.178.53) => Pfsense Netz Service (192.168.1.91):

14:32:52.472525 (authentic,confidential): SPI 0xc92c98d7: IP 192.168.178.53.53762 > 192.168.1.91.5001: tcp 56
14:32:52.472714 (authentic,confidential): SPI 0xae5bb86b: IP 192.168.1.91.5001 > 192.168.178.53.53762: tcp 0
14:32:52.472994 (authentic,confidential): SPI 0xc92c98d7: IP 192.168.178.53.53762 > 192.168.1.91.5001: tcp 46
14:32:52.473178 (authentic,confidential): SPI 0xae5bb86b: IP 192.168.1.91.5001 > 192.168.178.53.53762: tcp 0

Ergebnis passt aus meiner Sicht. Pakete gehen in beide Richtungen und kommen jeweils an.

Versuche ich nun aus dem pfsense Netz (192.168.1.0/24) ins Fritzbox (192.168.178.0/24) zuzugreifen klappt es nicht. Ich sehe keine Pakete.
Daher habe ich mich bei aktiver IPsec Verbindung per SSH auf der pfsense verbunden und einfach nur ein Ping ins Fritzbox Netz abgesetzt und war etwas erstaunt:

/:ping 192.168.178.15
PING 192.168.178.15 (192.168.178.15): 56 data bytes
36 bytes from 62.155.241.130: Destination Net Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 c01c   0 0000  40  01 3048 XX.XX.188.89  192.168.178.15

36 bytes from 62.155.241.130: Destination Net Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 3e46   0 0000  40  01 b21e XX.XX.188.89  192.168.178.15

^C
--- 192.168.178.15 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

XX.XX.188.89 ist die externe IP der pfsense und 62.155.241.130 sollte das GW des ISP sein.

Das gleiche von einem Client im pfsense Netz:

MBP-2 ~ % ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1): 56 data bytes
36 bytes from 62.155.241.130: Destination Net Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 74db   0 0000  3f  01 9d78 192.168.54.3  192.168.178.1

Request timeout for icmp_seq 0

192.168.54.3 ist meine IP im OpenVPN Netz.

Was läuft hier schief? Fehlt auf der pfsense das routing für das Netz der Fritzbox? Was sollte da das GW sein? Dieses muss ja erreichbar sein und kann daher maximal die externe IP der Fritzbox sein, oder?

Oder habe ich einen Denkfehler? Firewall würde ich aktuell ausschliessen, hier habe ich bereits "allow any any" auf dem LAN, dem OpenVPN und auch dem IPsec Interface ausprobiert.

Danke schon mal
Andreas

inciter

"36 bytes from 62.155.241.130: Destination Net Unreachable" heißt eindeutig, dass die Pakete über das Default-WAN und nicht über die IPSec-VPN gesendet werden, aber ich denke, das war dir schon klar. Hast du in Phase 2 der IPSec-Einstellungen das richtige Remote-Netzwerk angegeben?

lfoerster

Hier findest du eine wasserdichte Anleitung für die pfSense-FritzBox Kopplung
Bzw. dort im Tutorial auch in den weiterführenden Links unter Standort LAN zu LAN VPN Verbindung mit FritzBox und pfSense Firewall (Aktuelles GUI):
Funktioniert fehlerlos und auf Anhieb...