PfSense hinter Cable Modem als VPN Server/Bridge nutzen



  • Voraussetzungen:

    • Die CISCO FW kann von mir nicht administriert werden. Sie ist nach aussen komplett offen und nach innen komplett zu.

    • Das Cable Modem kann nur die Ports 80 und 443 auf eine vorher definierte IP weiterleiten.

    • Die pfSense kann nicht vor das Cable Modem gestellt werden, da die LAN/WLAN Ports benötigt werden.

    • Die Cable IP ist dynamisch!

    Ziel 1:

    • Die USG-100 soll einen ipSec-VPN-Tunnel zur pfSense aufbauen.

    • Die pfSense routet alle über den VPN-Tunnel kommenden Packete aufs lokale LAN (LAN B).

    • Hinweis: Die pfSense ist mit WAN und LAN am CableModem angeschlossen.

    Ziel 2:



  • Moderator

    Hallo und Willkommen erstmal :)

    Noch bevor ich zu irgendetwas anderem was sagen kann: die pfSense so wie du sie eingezeichnet hast, wird nie funktionieren. LAN und WAN dürfen NICHT im selben Netzsegment stehen. Das würde jedes sinnvolle Routing töten. Und mit beiden NICs am gleichen Netz angeschlossen geht außer für ein LACP Bond oder VLANs nicht. Sorry, das klappt so nicht.

    Warum willst du das auf Seiten von  LAN B so unnötig kompliziert bauen?

    Grüße
    Jens



  • Hallo JeGr
    Besten Dank für deine extrem schnelle Antwort!  8)

    Warum willst du das auf Seiten von  LAN B so unnötig kompliziert bauen?

    Nun ich sehe keine andere Lösung des Problems, denn die Vorausetzungen sind ja nicht gerade einfach.
    Hast du mir einen Tipp wie man es einfacher/effizienter lösen könnte?


  • Moderator

    Lösung welchen Problems? Die pfSense mit 2 Adern im gleichen Netz an dein Kabelmodem anzuschließen löst welches Problem? Warum nicht einschleifen zwischen LAN B und das Kabelmodem? So macht es für mich überhaupt keinen Sinn!?

    Deshalb die Frage was du damit eigentlich bezweckst. :)



  • Ich möchte die pfSense als VPN Server und Bridge einsetzten. Die FW aus LAN A soll mit der pfSense einen VPN Tunner aufbauen (Cable Modem routet ja alles auf den WAN Port der pfSense weiter).
    Die pfSense soll dann alle eingehenden Packete (also jene die durch den Tunnel kommen) aufs lokale Netz/Internet weiterleiten.


  • Moderator

    Welches Netz hat denn LAN B und wie ist LAN B verbunden? per Kabelmodem? Eigener Router? Warum nicht zwischen LAN B und Kabelmodem die pfSense dazwischenbauen?



  • Hallo Jungs

    Ich bring mich hier auch mal ein…

    Erstmal zu deinem Aufbau in der Schweiz hätte ich noch eine Frage...
    Kann man den Kabelrouter auch in den Bridgingmode stellen (Also als reines Kabelmodem betreiben), so dass die Pfsense die offizielle IP Adresse bekommt ?
    Wenn ja, kann ich dir nur empfehlen es umzustellen. Damit hast du weniger Fehlerquellen.

    Zum IPsec VPN Betrieb...
    IPsec über NAT ist nicht gerade die beste Variante, da du je nach Router es nicht hinbekommst die Offizielle IP für die Phase 1 zu bekommen, dazu kommen noch Probleme mit der Interoperabilität bei den verschiedenen IPsec Server. (Kann sein, muss nicht sein)

    Dann lieber einen OpenVPN Tunnel aufbauen, OpenVPN ist nicht so zickig wie IPsec.
    Ich gehe davon aus, dass dein Zyxel kein OpenVpn beherrscht. Somit hättest du entweder die Möglichkeit auf deinem Rechner einen OVPN Client zu installieren oder einen kleinen OVPN-Server baust... zb. mit einem Raspberry.

    Gruß
    Rubinho



  • Hallo Rubinho
    Danke für dein Einbringen.

    Kann man den Kabelrouter auch in den Bridgingmode stellen?

    Ja das kann man, kommt für mich jedoch nicht in Frage, da ich sowohl das WLAN wie auch die 5 Ethernet Ports brauche.

    Dann lieber einen OpenVPN Tunnel aufbauen…

    Mit einem openVPN Client auf meinem PC/Notebook/Tablet der einen Tunnel zu meiner pfSense (hinter dem Cable Modem) in LAN B aufbaut könnte ich leben.
    Kann ich das mit pfSense realisieren?

    Gruss
    Chris


  • Moderator

    Dann hake ich auch nochmal nach:

    Ja das kann man, kommt für mich jedoch nicht in Frage, da ich sowohl das WLAN wie auch die 5 Ethernet Ports brauche.

    Wofür brauchst du die 5 Ports, wenn du alleine 2 für die pfSense "verschwenden" willst? Was WLAN ist dann wohl im Kabelmodem integriert oder wie ist der Satz sonst zu deuten?
    Wenn du dein Heimnetz etwas besser beleuchten würdest was da wie wo warum ist und weshalb das nicht anders geht, könnten wir hier auch bessere Vorschläge machen :)

    Mit einem openVPN Client auf meinem PC/Notebook/Tablet der einen Tunnel zu meiner pfSense (hinter dem Cable Modem) in LAN B aufbaut könnte ich leben.
    Kann ich das mit pfSense realisieren?

    Könntest du das nicht, wäre es kaum erwähnt worden ;) Das ist ein normales "Roadwarrior" (oder Client->Server) Setup im Gegensatz zu einem kompletten VPN Tunnel bei dem beide Seiten miteinander verbunden werden sollen. Wenn dir eine reine Einwahlverbindung in dein Heimnetz genügt, lässt sich einiges wesentlich einfacher realisieren :)



  • Ja, dass WLAN Modul ist im Cable Modem integriert und die drei Ports brauche ich für PCs und Drucker.

    Ich habe dazu folgende Anleitung gefunden: OpenVPN road warrior and site to site doch leider funktioniert der Link (http://www.pfsense.org/mirror.php?section=tutorials/openvpn/pfsense-ovpn.pdf) dazu nicht.

    Kennt ihr noch eine andere Anleitung?

    Gruss
    Chris


  • Moderator

    pfSense > VPN > OpenVPN > Wizard

    here you go…

    Da braucht es kein großes Tutorial mehr. Wizard durchklicken, einstellen was man braucht (ist eh meist wenig bei Client/Roadwarrior Setup) und sobald es fertig ist installiert man sich das Package "OpenVPN Client Export Utility" noch dazu. (System/Packages). Damit bekommt man dann noch einen Export Reiter, womit man für gängige Plattformen (Windows Mac Linux) sich die entsprechende Client config generieren und exportieren kann. Das spielt man auf dem Laptop ein -> fertig.

    Grüße