Fritzbox VPN + pfsense

ahorn

Hallo Leute,

ich habe frisch pfsense 1.2.3 installiert (in Hyper-V). Ich habe zwei NICs:
de0 (wan), static public ip 2X.X8.2XX.X3
de1 (lan), static private ip 172.17.0.1/24

# cat /var/etc/racoon.conf
# This file is automatically generated. Do not edit
listen {
        adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
}
path pre_shared_key "/var/etc/psk.txt";

path certificate  "/var/etc";

remote 2X.2X.X5.X1 {
        exchange_mode aggressive;
        my_identifier address "2X.X8.2XX.X3";

        peers_identifier address 2X.2X.X5.X1;
        initial_contact on;
        dpd_delay 60;
        ike_frag on;
        support_proxy on;
        proposal_check obey;

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
                lifetime time 3600 secs;
        }
        lifetime time 3600 secs;
}

sainfo address 172.17.0.0/24 any address 192.168.1.0/24 any {
        encryption_algorithm 3des,rijndael,aes 256;
        authentication_algorithm hmac_sha1,hmac_md5;
        compression_algorithm deflate;
        pfs_group 2;
        lifetime time 3600 secs;
}

bei der fritzbox 7390 (aktuelle firmware xx.86):
wan: static public ip 2X.2X.X5.X1
lan: static private ip 192.168.1.1/24

Fritzbox.cfg:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "2X.X8.2XX.X3";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 2X.X8.2XX.X3;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = 2X.2X.X5.X1;
                }
                remoteid {
                        ipaddr = 2X.X8.2XX.X3;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "GEHEIM;-)";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.17.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.17.0.0 255.255.255.0";
        } 

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Nun kann ich aus dem Netz der Fritzbox (192.168.1.0/24) auf alle Hosts in 172.17.0.0/24 zugreifen.
Aus dem 172.17.0.0/24 Netz kann ich nur auf die 192.168.1.1 (die Fritzbox) zugreifen. Eigenartig ist auch, dass aus der pfsense shell ein ping nach 192.168.1.1 ein Destination Host Unreachable kommt.

Ich habe in den Filter rules in pfsense für IPSEC alles auf allow. Was muss man noch machen damit es geht?

Viele Grüße