VPN Passthrough IKEv2 auf der pfSense
-
Hallo
in unserer Arztpraxis benutzen wir einen Konnektor (Kocobox) der per VPN mit der Telematikinfrastruktur verbunden ist. Aktuell ist unser Gateway zur Aussenwelt eine Fritzbox. Diese FB soll nun durch eine professionelle Firewall-Lösung (DSL-Modem + pfSense-Appliance) ersetzt werden.
Damit der Konnektor seine VPN-Verbindung herstellen kann muss laut Hersteller (CGM) der Router (aktuell noch die FB - in Zukunft die pfSense) "VPN passthrough IKEv2" unterstützen.
Ich bin gerade am überlegen wie man das auf der pfSense konfiguriert? Muss dass mit Regeln gemacht werden oder gibts da eine Einstellung die gesetzt werden muss?
Bin dankbar für Tips.
Grüße Rainer
-
@Rainerx54
So weit ich weiß, sollte das out of the box funktionieren.
pfSense hat dafür die vordefinierte Outbound Regel um den Quellport bei Zielport 500 nicht zu ändern (static port).Aber eigentlich sollte für IKEv2 nicht mal das nötig sein. Das sollte automatisch erkennen, dass das Geräte hinter einem Router sitzt, und NAT-Traversal aktivieren und die IPSec-Pakete entsprechend codieren.
-
dass es so easy sein soll kann ich mir gar nicht vorstellen - ich werde dann mal Erfahrungsbericht posten sobald die Fritzbox ausgetauscht ist
-
@Rainerx54 Ich denke du müsstest noch das Routing anpassen damit das VPN von dem Konnektor genutzt wird. Ich gehe davon aus das die Sense dein default gateway sein wird.
-
Ja genau...die pfSense ist dann (wie jetzt die Fritzbox) das default gateway
Also sind doch noch Einstellungen erforderlich ?
-
Das sollte so laufen, wenn die TI aber an dem Tag mal wieder einen der Tunnelenpunkte killt, teste einen anderen.
Uns sind gestern viele Tunnel weg geflogen weil bei denen mal wieder was klemmt.
Auf anders Ziel gewechselt läuft es wieder.Info von der TI das was put is 0.
Die Box wählt sich ja als Client ein, ist also kein klassisches S2S IKEv2, was bei NAT bestimmte Einstellungen für die Phase 1 nötig macht.
-
@Rainerx54 said in VPN Passthrough IKEv2 auf der pfSense:
Ja genau...die pfSense ist dann (wie jetzt die Fritzbox) das default gateway
Also sind doch noch Einstellungen erforderlich ?
ja, klar, wie soll sonst der client den weg in das VPN Finden?
Die Sense kennt doch das Entfernet netzt/den weg nicht, ist doch Logisch -
jetzt ist die Verwirrung komplett...die einen sagen "sollte so out of the box gehen" und du meinst es sind noch weitere Einstellungen erforderlich? was nun....
-
@Rainerx54 es kann natürlich sein das ich mich Täusche aber ich gehe mal davon aus das dein aufbau so sein wird
─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ Internet / WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┌───────────────┐ │ pfSense │ └───────┬───────┘ │ ┌───────┴───────┐ │ switch │ └─┬──────────┬──┘ │ │ │ │ ┌───────┴──┐ ┌───┴────────┐ │Client(s) │ │ Konnektor │ └──────────┘ └────────────┘- das VPN wird einfach von der BOX aufgebaut, da musst du nichts machen wenn du die Regeln nicht zu streng gemacht hast
- wie sollen jetzt die/der Client(s) wissen das sie ihre daten über den VPN senden sollen (ich habe das noch nicht gemacht, das ist für mich logisch)
- ich würde dir wenn du in dem thema nicht Fit bist einen dienstleister empfehlen der dich da berät oder unterstützt.
-
die Clients sind mit dem PVS (Praxisverwaltungssystem) mit dem Konnektor verbunden...und das PVS koordiniert alles ....also entscheidend ist daher nur dass die VPN-Verbindung der Kocobox nach außen zustande kommt ...und hier war meine Frage ob hierfür Einstellungen an der pfSense erforderlich sind
-
@Rainerx54 ok, die Frage kann ich nicht beantworten. ich habe die BOX als VPN-Gateway gesehen. Gehen wir davon aus das du die pfSense ohne groß an den Regeln was zu ändern (wenn du sie in betrieb nimmst ist sie fast so wie eine Fritzbox) sollte sich der VPN Tunnel dieser BOX verbinden können
-
@micneu
So wie ich einen solchen Konnektor verstehe, ist der kein VPN Gateway sondern macht sein eigenes Ding.
Dann bracht es auch keine Route. -
@NOCling said in VPN Passthrough IKEv2 auf der pfSense:
Info von der TI das was put is 0.
das sind wir gewöhnt...passiert regelmäßig...
@micneu said in VPN Passthrough IKEv2 auf der pfSense:
ich würde dir wenn du in dem thema nicht Fit bist einen dienstleister empfehlen der dich da berät oder unterstützt.
der Dienstleister hat meist selbst keine Ahnung oder probiert für 100 € die Stunde rum nach dem Prinzip trial & error
Danke für eure Hilfe - ich werde mal berichten wenn die pfSense installiert ist!
-
Achtung mit Routen in der Kocobox.
Wenn du ein /x einträgst und das mit dem IP Netz in dem die Box selber per LAN IP liegt, ist die tot.Das (ganze TI) Zeugs ist der letzte Rotz.
Also bastle mal am Wochenende oder außerhalb der Öffnungszeiten ein wenig rum.
Wenn der parallel mit einem Link laufen soll, geht aber dann unterschiedliche Netzbereiche für die pfSense Netze und das Netz der Kocobox verwenden.
-
@NOCling said in VPN Passthrough IKEv2 auf der pfSense:
Achtung mit Routen in der Kocobox.
Wenn du ein /x einträgst und das mit dem IP Netz in dem die Box selber per LAN IP liegt, ist die tot.Das (ganze TI) Zeugs ist der letzte Rotz.
Also bastle mal am Wochenende oder außerhalb der Öffnungszeiten ein wenig rum.
Wenn der parallel mit einem Link laufen soll, geht aber dann unterschiedliche Netzbereiche für die pfSense Netze und das Netz der Kocobox verwenden.
Genau das. Ich würde da stark versuchen, die Kiste in ein extra Segment der Sense zu packen. Also WAN/DMZ/LAN bspw. und die Box in die DMZ packen. Verbindung aufbauen lassen und gut. Kiste sitzt dann bspw. in 192.168.102.0/24 während das LAN in .101.0/24 aufgebaut ist. Dann sollte auch nix Routing-technisches nötig sein, da die Kocobox eh die Sense als Gateway hat und da alles hinschickt.
Aber asym. Routing über die Drecksbox sollte man tunlichst vermeiden, damit man sich nicht irgendwelche miesen Seiteneffekte eintritt. Also Box und LAN im gleichen (wie MIC es gezeichnet hat) vermeiden. Dann sollte weder Einwahl noch Betrieb große Probleme sein (Regeln muss man natürlich trotzdem machen und verstehen ;))
Cheers
