Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN Passthrough IKEv2 auf der pfSense

    Scheduled Pinned Locked Moved Deutsch
    15 Posts 5 Posters 832 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      Rainerx54
      last edited by

      Hallo

      in unserer Arztpraxis benutzen wir einen Konnektor (Kocobox) der per VPN mit der Telematikinfrastruktur verbunden ist. Aktuell ist unser Gateway zur Aussenwelt eine Fritzbox. Diese FB soll nun durch eine professionelle Firewall-Lösung (DSL-Modem + pfSense-Appliance) ersetzt werden.

      Damit der Konnektor seine VPN-Verbindung herstellen kann muss laut Hersteller (CGM) der Router (aktuell noch die FB - in Zukunft die pfSense) "VPN passthrough IKEv2" unterstützen.

      Ich bin gerade am überlegen wie man das auf der pfSense konfiguriert? Muss dass mit Regeln gemacht werden oder gibts da eine Einstellung die gesetzt werden muss?

      Bin dankbar für Tips.

      Grüße Rainer

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @Rainerx54
        last edited by

        @Rainerx54
        So weit ich weiß, sollte das out of the box funktionieren.
        pfSense hat dafür die vordefinierte Outbound Regel um den Quellport bei Zielport 500 nicht zu ändern (static port).

        Aber eigentlich sollte für IKEv2 nicht mal das nötig sein. Das sollte automatisch erkennen, dass das Geräte hinter einem Router sitzt, und NAT-Traversal aktivieren und die IPSec-Pakete entsprechend codieren.

        R 1 Reply Last reply Reply Quote 1
        • R
          Rainerx54 @viragomann
          last edited by

          @viragomann

          dass es so easy sein soll kann ich mir gar nicht vorstellen - ich werde dann mal Erfahrungsbericht posten sobald die Fritzbox ausgetauscht ist 😉

          micneuM 1 Reply Last reply Reply Quote 0
          • micneuM
            micneu @Rainerx54
            last edited by

            @Rainerx54 Ich denke du müsstest noch das Routing anpassen damit das VPN von dem Konnektor genutzt wird. Ich gehe davon aus das die Sense dein default gateway sein wird.

            Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
            Hardware: Netgate 6100
            ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

            R V 2 Replies Last reply Reply Quote 0
            • R
              Rainerx54 @micneu
              last edited by

              @micneu

              Ja genau...die pfSense ist dann (wie jetzt die Fritzbox) das default gateway

              Also sind doch noch Einstellungen erforderlich ?

              micneuM 1 Reply Last reply Reply Quote 0
              • N
                NOCling
                last edited by

                Das sollte so laufen, wenn die TI aber an dem Tag mal wieder einen der Tunnelenpunkte killt, teste einen anderen.
                Uns sind gestern viele Tunnel weg geflogen weil bei denen mal wieder was klemmt.
                Auf anders Ziel gewechselt läuft es wieder.

                Info von der TI das was put is 0.

                Die Box wählt sich ja als Client ein, ist also kein klassisches S2S IKEv2, was bei NAT bestimmte Einstellungen für die Phase 1 nötig macht.

                Netgate 6100 & Netgate 2100

                R 1 Reply Last reply Reply Quote 0
                • micneuM
                  micneu @Rainerx54
                  last edited by

                  @Rainerx54 said in VPN Passthrough IKEv2 auf der pfSense:

                  @micneu

                  Ja genau...die pfSense ist dann (wie jetzt die Fritzbox) das default gateway

                  Also sind doch noch Einstellungen erforderlich ?

                  ja, klar, wie soll sonst der client den weg in das VPN Finden?
                  Die Sense kennt doch das Entfernet netzt/den weg nicht, ist doch Logisch

                  Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                  Hardware: Netgate 6100
                  ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                  R 1 Reply Last reply Reply Quote 0
                  • R
                    Rainerx54 @micneu
                    last edited by

                    @micneu

                    jetzt ist die Verwirrung komplett...die einen sagen "sollte so out of the box gehen" und du meinst es sind noch weitere Einstellungen erforderlich? was nun....

                    micneuM 1 Reply Last reply Reply Quote 0
                    • micneuM
                      micneu @Rainerx54
                      last edited by

                      @Rainerx54 es kann natürlich sein das ich mich Täusche aber ich gehe mal davon aus das dein aufbau so sein wird

                      ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ Internet / WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                      
                                           ┌───────────────┐
                                           │    pfSense    │
                                           └───────┬───────┘
                                                   │
                                           ┌───────┴───────┐
                                           │    switch     │
                                           └─┬──────────┬──┘
                                             │          │
                                             │          │
                                     ┌───────┴──┐   ┌───┴────────┐
                                     │Client(s) │   │ Konnektor  │
                                     └──────────┘   └────────────┘
                      
                      • das VPN wird einfach von der BOX aufgebaut, da musst du nichts machen wenn du die Regeln nicht zu streng gemacht hast
                      • wie sollen jetzt die/der Client(s) wissen das sie ihre daten über den VPN senden sollen (ich habe das noch nicht gemacht, das ist für mich logisch)
                      • ich würde dir wenn du in dem thema nicht Fit bist einen dienstleister empfehlen der dich da berät oder unterstützt.

                      Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                      Hardware: Netgate 6100
                      ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                      R 1 Reply Last reply Reply Quote 0
                      • R
                        Rainerx54 @micneu
                        last edited by

                        @micneu

                        die Clients sind mit dem PVS (Praxisverwaltungssystem) mit dem Konnektor verbunden...und das PVS koordiniert alles ....also entscheidend ist daher nur dass die VPN-Verbindung der Kocobox nach außen zustande kommt ...und hier war meine Frage ob hierfür Einstellungen an der pfSense erforderlich sind

                        micneuM 1 Reply Last reply Reply Quote 0
                        • micneuM
                          micneu @Rainerx54
                          last edited by

                          @Rainerx54 ok, die Frage kann ich nicht beantworten. ich habe die BOX als VPN-Gateway gesehen. Gehen wir davon aus das du die pfSense ohne groß an den Regeln was zu ändern (wenn du sie in betrieb nimmst ist sie fast so wie eine Fritzbox) sollte sich der VPN Tunnel dieser BOX verbinden können

                          Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                          Hardware: Netgate 6100
                          ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                          1 Reply Last reply Reply Quote 0
                          • V
                            viragomann @micneu
                            last edited by

                            @micneu
                            So wie ich einen solchen Konnektor verstehe, ist der kein VPN Gateway sondern macht sein eigenes Ding.
                            Dann bracht es auch keine Route.

                            1 Reply Last reply Reply Quote 0
                            • R
                              Rainerx54 @NOCling
                              last edited by

                              @NOCling said in VPN Passthrough IKEv2 auf der pfSense:

                              Info von der TI das was put is 0.

                              das sind wir gewöhnt...passiert regelmäßig...😞

                              @micneu said in VPN Passthrough IKEv2 auf der pfSense:

                              ich würde dir wenn du in dem thema nicht Fit bist einen dienstleister empfehlen der dich da berät oder unterstützt.

                              der Dienstleister hat meist selbst keine Ahnung oder probiert für 100 € die Stunde rum nach dem Prinzip trial & error 😅

                              Danke für eure Hilfe - ich werde mal berichten wenn die pfSense installiert ist!

                              1 Reply Last reply Reply Quote 0
                              • N
                                NOCling
                                last edited by

                                Achtung mit Routen in der Kocobox.
                                Wenn du ein /x einträgst und das mit dem IP Netz in dem die Box selber per LAN IP liegt, ist die tot.

                                Das (ganze TI) Zeugs ist der letzte Rotz.

                                Also bastle mal am Wochenende oder außerhalb der Öffnungszeiten ein wenig rum.

                                Wenn der parallel mit einem Link laufen soll, geht aber dann unterschiedliche Netzbereiche für die pfSense Netze und das Netz der Kocobox verwenden.

                                Netgate 6100 & Netgate 2100

                                JeGrJ 1 Reply Last reply Reply Quote 0
                                • JeGrJ
                                  JeGr LAYER 8 Moderator @NOCling
                                  last edited by

                                  @NOCling said in VPN Passthrough IKEv2 auf der pfSense:

                                  Achtung mit Routen in der Kocobox.
                                  Wenn du ein /x einträgst und das mit dem IP Netz in dem die Box selber per LAN IP liegt, ist die tot.

                                  Das (ganze TI) Zeugs ist der letzte Rotz.

                                  Also bastle mal am Wochenende oder außerhalb der Öffnungszeiten ein wenig rum.

                                  Wenn der parallel mit einem Link laufen soll, geht aber dann unterschiedliche Netzbereiche für die pfSense Netze und das Netz der Kocobox verwenden.

                                  Genau das. Ich würde da stark versuchen, die Kiste in ein extra Segment der Sense zu packen. Also WAN/DMZ/LAN bspw. und die Box in die DMZ packen. Verbindung aufbauen lassen und gut. Kiste sitzt dann bspw. in 192.168.102.0/24 während das LAN in .101.0/24 aufgebaut ist. Dann sollte auch nix Routing-technisches nötig sein, da die Kocobox eh die Sense als Gateway hat und da alles hinschickt.

                                  Aber asym. Routing über die Drecksbox sollte man tunlichst vermeiden, damit man sich nicht irgendwelche miesen Seiteneffekte eintritt. Also Box und LAN im gleichen (wie MIC es gezeichnet hat) vermeiden. Dann sollte weder Einwahl noch Betrieb große Probleme sein (Regeln muss man natürlich trotzdem machen und verstehen ;))

                                  Cheers

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.