Firewall blockt l2tp/ipsec zu W2012R2 VPN Server



  • Hallo Zusammen,

    ich bin hinter einer FritzBox, diese hat die pfsense Firewall als exposed Host eingetragen, dahinter befindet sich dann meine Windoof Domain + unter Anderem ein Windows Server 2012R2, der intern (hinter der Firewall/eigene DNS/AD usw.) VPN Verbindungen von jedem Client aus zulässt.

    Also wenn ich intern, meinen Lappi nehme, hier über L2TP/IPSec mit PSK eine Verbindung zu dem Server aufbaue klappt alles wunderbar.

    Auch eine Intern gehostete Webseite erreiche ich durch die Fritz und die Firewall o.P. mit dem entsprechenden NAT Eintag und Regel.

    Was ich bisher eingerichtet habe ist:

    NAT Forwarding für TCP/UDP Port 500,1701,4500 + Associated Rules, NAT Forwarding für ESP und GRE + Associated Rules, AH Rule.

    Aber egal was ich mache, ich schaffe es nicht auch nur bis zu einer Auth. zu kommen, sobald ich von außen versuche eine Verbindung aufzubauen.

    BITTE, falls Ihr noch Infos, Screens oder… braucht, meldet euch einfach. Danke!

    PS: Unter Firewall Rules steht "Outbound" auf "Automatic outbound NAT rule generation (IPsec passthrough included)"

    Was habe ich verbasselt?



  • Hallo!

    Ist vielleicht auf der Fritzbox ein VPN Server aktiv (Fernzugang)? Oder auf der pfSense?
    Wenn ja, kommen die Pakete nicht durch.

    Überprüfe mal, ob die Pakete die Firewall Richtung IPSec Server verlassen.


  • Moderator

    Sowohl die pfS als auch die FB futtern gerne vorne die Pakete weg, da beide selbst VPN machen. Das sollte also bei beiden excluded und weitergeleitet sein. Nur stellt sich mir die Frage, warum man den Aufwand treibt und durch 2(!) VPN Devices durchtunnelt, um sich dann mit einem Windows Server zu verbinden der VPN macht. Warum nicht die pfS dafür verwenden, was einer ihrer Zwecke ist?



  • Nur stellt sich mir die Frage, warum man den Aufwand treibt und durch 2(!) VPN Devices durchtunnelt, um sich dann mit einem Windows Server zu verbinden der VPN macht. Warum nicht die pfS dafür verwenden, was einer ihrer Zwecke ist?

    Die Frage hab ich mir auch gestellt. Ich beantwortete sie mir erstmal selbst mit "der TO wird seine Gründe haben."
    ;)


  • Moderator

    @virago Natürlich wird er die haben, aber fragen schadet ja nichts ;)