Routing Problem in entferntes IPSec



  • Hallo,

    es geht um das Routing zwischen dem LAN und dem Netz hinter der FritzBox.

    Schematisch sieht das ganze so aus.

           WAN / Internet
                :
                : TKom CompanyConnect
                : 80.xxx.yyy.zzz/29 
          .-----+-----.
          |  Gateway  |
          '-----+-----'
                |80.xxx.yyy.137
            WAN |                                                    |
                |80.xxx.yyy.138                                      |
      .---------+-----------.    VPN      .------------.             |
      |   pfSense / IPSec   +-------------+  FritzBox  +-------------+
      '---------+-----------'             '------------'             |
                |192.168.20.3 (Std-GW)             192.168.100.1      |192.168.100.0/24
            DMZ | 192.168.20.0/24                                     |
                |192.168.20.57
     .----------+------------.
     |   Router (kein NAT)   |
     '----------+------------'
                |172.16.0.7 (Std-GW)
            LAN | 172.16.0.0/16
                |
        ...-----+-----... (Clients/Servers)
    

    Std-GW = Standardgateway

    Die FritzBox baut per IPSec erfoglreich die Verbindung zur pfSense auf.
    Man kann Pakete zwischen DMZ-Rechnern und Rechnern die an der Fritzbox hängen in beide Richtungen austauschen.
    .. wohl erst nachdem man eine statisch Route auf dem pfSense eingerichtet hat (192.168.100.0/24 => 192.168.20.3)

    Man kann aber keine Pakete zwischen LAN-Rechnungen und Rechnern die an der Fritzbox hängen austauschen.
    Ein Ping-Test von einem LAN-Rechner (z.B. 172.16.0.100) läßt die TTL der Pakete auslaufen.
    Per tcpdump auf dem pfSense Rechner kann man erkennen, dass das Paket her seine Runden dreht und die TTL runterzählt bzw. sieht es so aus
    als ob pfSense sich das Paket immer wieder selber zustellt (.. evtl. macht hier die statische Route Ärger(??))

    Ich lass notgedrungenerweise zur Zeit die IPSec Verbindung zu einem zusätzlichen pfSense Rechner aufbauen,
    der direkt im LAN hängt (172.16.0.6); damit die 172.16er an das FritzBox-Netz gelangen können.
    Dummerweise müsste man jetzt an jedem LAN-Rechner eine statische Route zum FritzBox-Netz eintragen (192.168.100.0/24 => 172.16.0.6).

    Jemand eine Idee welche Einstellung(en) das "Loop"-Problem lösen können?



  • Hi

    Wieviele Nic's hast du eingebaut (lt. Zeichnung 3) wie ist die IP von der Nic die zur Fritz geht oder ist das die Interne Nic (192.168.20.3)?
    Was willst Du von wo erreichen ?

    mfg Markus



  • Hallo Markus,

    danke für die Rückmeldung.

    es sind nur 2 NICs verbaut … der Link zur Fritzbox ist mir nicht so ganz in der Skizze gelungen ... der Link gehört im Grunde an den "192.168.20.3" Punkt.

    Ziel ist von einem Rechner im Fritzbox-Netz (192.168.100.0/24) an einen Server im LAN (172.16.0.0/16) zu gelangen und umgekehrt.



  • Hi

    IPSEC ist Site-to-Site. Du hast auf einer Seite im IPSEC Site1-InternNetwork 192.168.20.0/24  <->  Site2-InternNetwork 192.168.100.0/24
    Alle Pakete von Site2 an 172.16.0.0/16 gehen dann nicht über den Tunnel, gibt ja keine Route.
    Eigentlich sollte VPN ohne Static Route auskommen, Route wird beim erfolgreichen Aufbau des Tunnels gesetzt!?

    mfg Max



  • tag MaxHeadroom,

    die Sache mit der statischen Route ist schon blöd .. werde ich mir genauer ansehen müssen.

    Die Route in das LAN (172.16.0.0/16) ist dem pfSense Rechner bekannt .. somit sollte die Pakete aus dem FritzBox  Netz (192.168.100.0/24) den Weg finden .. der andere Weg sollte auch gehen, da der pfSense Default-Gateway ist.



  • Hi
    die Pakete von dem FritzBox Netz gehen aber normalerweise nicht durch den Tunnel wenn sie in dein  Lan wollen. Dein Gateway ist ja einmal die FritzBox und die hat nur eine Route zu deinem DMZ Netz
    Warum brauchst du eigentlich eine VPN Verbindung zur FritzBox ?

    mfg Markus



  • Hallo MaxHeadroom,

    die VPN Verbindung wir für VoIP benötigt .. der VoIP-Server steht bei uns intern .. dem Server eine öffentliche IP zu geben klappt nicht, da die Software nicht mit mehreren IPs klarkommt  :-\ ..  .. deswegen das VPN. Bei der Entwicklung vom SIP hat man irgendwie vergessen das es NAT gibt.



  • Hi Shine

    schau dir mal siproxyd an vieleicht ist das deine Lösung.
    Weiters verstehe ich das nicht mit VPN / NAT / VOIP, wie willst du eine öffentliche IP ins VPN schleusen ??

    mfg markus



  • hi,

    siproxyd  scheint hilfreich zu sein, wenn man mehrere SIP-Clients hinter der pfSense hat und sich nach außen verbinden möchte.

    Hauptziel ist die Anbindung externer SIP-Clients an unsere interne Telefonanlage (Swyx). Erster Versuch war eine plumpe Portweiterleitung der SIP-Pakete. Klappt nicht, da bei NAT nur die IP im Paket-"Umschlag" ausgetauscht wird und nicht im SIP-Payload. STUN kann nicht eingesetzt werden, da sonst alle internen Clients mit der öffentlichen IP arbeiten müssen  >:( .. Dem Telefonanlage-Server eine interne und externe IP zu geben klappt nicht, da die Software mit mehreren IP-Adressen nicht klar kommt  :( Bleibt nur noch ein VPN.



  • Ah jetzt verstehe ich..(zum teil)

    Kannst du nicht deine Telefonanlage in ein DMZ stellen (selbes Subnetzt wie DMZ pfsense) und VPN's ins DMZ ?

    mfg markus



  • hi,

    könnte ich .. aber gefällt mir nicht .. mal sehen, vielleicht freunde ich mich damit irgendwann mit an.



  • Sag mal was hast du als Zielnetz im VPN der fritzbox eingegeben , möglicherweise liegt da das Problem.

    Bei der pfsense ist das Zielnetz 192.168.100.0/24 die Remote IP 192.168.20.x ?
    Damit sollte mal Site-Site Verbindung gehen ohne zusätzlichen Routingeintrag.
    was sagt da die routing table? Falls da nix richtige ist probier mal ein zusätzliche IP (alias) der Lan zu verpassen und mach mit der die VPN verbindung.

    ein ping von einem Client 192.168.20.0/24 (nicht pfsense) zu einem client im 192.168.100.0/24(nicht fritzbox)  sollte nun in den Tunnel und retour gehen.
    wenn nicht poste mal dein routing (ohne static routing)

    mfg max



  • Tag MaxHeadroom,

    danke für deine Mühen .. und sorry, dass ich hier ein paar Tage nicht online war.

    Bei der pfsense ist das Zielnetz 192.168.100.0/24 die Remote IP 192.168.20.x ?

    Die statische Route auf der pfSense zum 192.168.100.0/24 Netz geht auf die IP der pfSense 192.168.20.3, was eigentlich keine wirklichen Sinn macht, da hier die IP VPN-Gegenstelle hingehört … Mit der 192.168.20.1 (IP der Fritzbox) hat es nicht geklappt.
    .. ich hoffe diese Einstellung meinst du.

    was sagt da die routing table?

    Welche .. die auf der Fritzbox oder die der pfSense?
    Auf der pfSense findet man unter "Diagnostics: Routes" nur meinen statischen Eintrag, der auf das 192.168.100.0er Netz schließen läßt.

    Falls da nix richtige ist probier mal ein zusätzliche IP (alias) der Lan zu verpassen und mach mit der die VPN verbindung.

    Kannst du mir hier mehr Infos liefern; ich kann dir nicht folgen. .. bin auch schon wieder über 13h im Dauereinsatz  :-[



  • hi,

    ich habe gerade testweise den IPsec Tunnel zwischen zwei pfSense (1.2.3-RELEASE) aufbauen lassen … sieht alles OK aus. In der jeweiligen Routing Tabellen, zumindest was über netstat -r ausgegeben wird, findet man auch keine Einträge, die den Weg ins gegenüber VPN weisen. Am Wochenende habe ich hoffentlich wieder etwas Luft für den Test "pfSense <=> Fritz!Box"


Locked