Routing über IPSec
-
Hallo,
seit einiger Zeit basteln wir am Routing über IPSec rum
und scheinen es nicht hinzubekommen.Unsere Konfiguration:
Netzwerk1 172.20.10.x/24 mit PFSense Standort 1:
1 fremder Router auf 172.20.10.240
1 static route: 10.18.10.138/32 over 172.20.10.240Netzwerk2 172.20.20.x/24 mit PFSense Standort 2:
1 static route: 10.18.10.138/32 over 172.20.10.240Standort1 and Standort2 sind verbunden mit einem IPSec-tunnel.
Beide Netzwerke haben eine korrekte Verbindung net1 <-> net2.
Von Netzwerk1 besteht eine Verbindung zum Netzwerk 10.18.138/32.
Von Netzwerk2 kann ich den Router an 172.20.10.240 anpingen.JETZT brauchen wir noch den Zugriff auf 10.18.10.138/32 vom Netzwerk2 über IPSec
und über den Frem-Router in Netzwerk1.Kann uns da jemand helfen?
-
Von Netzwerk1 besteht eine Verbindung zum Netzwerk 10.18.138/32.
Von Netzwerk2 kann ich den Router an 172.20.10.240 anpingen.Evtl. kannst Du ja eine Skizze Deiner Netzwerke machen. http://www.gliffy.com/ sollte funktionieren.
Wo zB ist denn 10.x.y.z/32 beheimatet, N1 oder N2?
Wo sitzt der 'FremdRouter' und wo die pfSensen mit welchen Funktionen? -
Hier eine Netzskizze:
http://www.gliffy.com/pubdoc/1257444/L.jpg
-
Hm, die Routen stehen und ein Traceroute aus Netz2 nach 10…/32 gibt auch keine Aufschlüsse?
In wieweit hast Du denn Zugriff auf den FremdRouter? Der ist nicht zufällig so konfiguriert, dass er nur Pakete aus dem eigenen Netz1 routet und den Rest blockiert? Und im IPsec Interface N2 sind Regeln für den Zugriff zum FremdRouter eingetragen?
-
Hallo,
ja die Routen stehen, ein Traceroute gibt keinerlei gute Aufschlüsse,
da die keine Routes (außer dem Router aus N2) angezeigt werden.
Pings gehen bis zum Fremd-Router durch.Mein Zugriff auf den Fremdrouter ist praktisch nicht vorhanden.
Nach Aussage der Fremdfirma ist dieser so konfiguriert, dass er alle beide Netze routet.Der Fehler scheint eher zu sein, dass ich versuche, Rechner aus dem N2 über den Fremdrouter, der nur über IPSec zugänglich ist, zu routen.
Sollte das eigentlich gehen?Lese immer wieder, dass genau das Probleme mit IPSec im PFsense machen kann?!
-
Naja, aber man könnte mit TraceRoute doch sehen, ob die Pakete bis zum FremdRouter gelangen oder nicht.
AFAIK kann man ein Paket aber generell nicht mehrmals (nicht mehrfach, das ist sowieso klar!) IPsec encapsulieren. Wenn der FR also nur via IPsec erreichbar ist, dann… ? weiss ich auch nicht weiter.
Was wäre denn, wenn Du in Deinem N1 einen Squid installierst und die Daten von N2 für den FR da durchschickst?
Nur so eine Idee... -
Hallo ich nehme an, wenn du von dem foreign network (10.18.10.x) über deine pfsense gehst und dann nicht durch den tunnel sondern ins inet klappt das wunderbar oder? Ich habe genau das gleiche Problem und hab ohne Lösing aufgegeben. Die letzte Info die ich hatte war, dass man keine static routes setzen kann die durch den tunnel routen… ;-(
Wär super wenn jmd. diese Aussage wiederlegen könne :-)
Gruss Thomas
-
Hallo Ihr,
erst mal vielen Dank für Eure netten Antworten.
Tatsächlich scheint es so zu sein, dass das Routing durch einen IPSec-Tunnel im PFSense einfach
nicht funktioniert. Bei anderen Routern funktioniert das, darum stellt sich die Frage,
was hier schief geht.Leider bin ich auf den Fremdrouter angewiesen, da dieser den Tunnel zu einem weiteren Kunden
mit dessen Konfiguration aufbaut. Das heißt, dass der Zugriff auf das 10.18.10.xer Netzwerk des Kunden immer
via dem FR erfolgen muß.Ich werde mal sehen, ob es hier bei PFSense auch eine Eskalationsmöglichkeit (auch nicht kostenfrei) gibt,
denn die Antwort auf diese Frage ist relativ wichtig im Praxiseinsatz.Vielleicht weiß hier aber jemand den Weg zu dieser Möglichkeit des Supports?
Wegen der von jahonix angesprochenen Squidmöglichkeit stellt sich die Frage, wie diese sich dann unterscheidet,
wenn ich von N2 aus auf einen Router in N1 Daten schicke? Bekomme ich dann nicht die selben Probleme?Die Aussagen von icnivad kann ich nur in jedem Wort unterstützen…..
Denkbar wären noch work-arounds mit Portforwading eines N1-Routers zu dem Fremdnetz oder ähnlich wenig transparente Aufbauten.
Wie haben andere das denn dann gelöst? -
Moin!
Da ich mit meinem Latein am Ende bin und Du die Variante ansprachst, kann ich Dir nur den kommerziellen Support empfehlen:
Kopiert aus dem Blog: http://pfsense.blogspot.com/2007/07/announcing-pfsense-commercial-support.html
–----------
Tuesday, July 10, 2007
Announcing pfSense Commercial SupportBSD Perimeter, a company founded by Scott Ullrich and me [cmb, Chris Buechler], the founders of pfSense, has officially opened for business today providing commercial support for both pfSense and m0n0wall.
…
This is a great opportunity for our users, as it ensures timely access to qualified individuals for your support needs.In Deinem ebenfalls kommerziellen Umfeld sicherlich eine lohnende Sache!
-
ok, wir haben dem business-team übergeben….
Ergebnisse erschienen HIER ....vielleicht soon ....?
-
Hallo,
gabs schon eine Antwort zu dem Thema?
Gruss Thomas
-
Hallo,
folgendes kann ich zu dem Thema beitragen: Routing über IPsec funktioniert, zwei VPN Tunnel funktionieren, zwei VPN Tunnel die entweder das gleiche Qell- oder Zielnetzwerk beinhalten funktionieren nicht. Stehe seit einiger Zeit mit dem gleichen Problem da.
Versucht mal folgendes:
Netzwerk1 172.20.10.x/24 mit PFSense Standort 1:
1 fremder Router auf 172.20.10.240
1 static route: 10.18.10.138/32 over 172.20.10.240Netzwerk2 172.20.20.x/24 mit PFSense Standort 2:
1 static route: 10.18.10.138/32 over 172.20.10.240nehmt die Static Route von der PFsense in Netzwerk 2 runter. Diese kommt über die IPsec Aushandlung automatisch. Macht jetzt nur ein! VPN Tunnel zwischen A und B. Nur für das Netzwerk 10.18.10.x. Vom Standort 2 sollte man nun, vorausgesetzt der Router ist korrekt eingerichtet (dieser benötigt eine Statische Route ins 172.20.20.x Netz über 172.20.10.240), Zugriff bekommen.
Viel Erfolg beim testen! Kannst Du mitteilen ob das mit dem Support funktioniert hat?
Viele Grüße,
Andreas
