Probleme bei IPSEC VPN Verbindung

hoba

Den Proxy hast Du uns vorenthalten  ;) Ist das ein transparenter Squid auf der pfSense? Wenn ja mach mal folgendes:

system>static routes:

Route hinzufügen:
<remote office="" subnet="" hinter="" tunnel="">, Gateway <lokale lan-ip="" der="" pfsense="">Ich sehe schon das Fragezeichen über Deinem Kopf  ;D

Also, Services, die auf der pfSense selbst laufen (der Squid) können den Tunnel nicht benutzen. In den Tunnel hinein kann nur, was vom LAN subnet kommt. Durch den Trick der statischen Route sorgst Du dafür, daß der Traffic über das LAN-Interface gererouted wird und schon geht's durch den Tunnel. Funktioniert auch für andere Services auf der pfSense. z.B. könntest Du jetzt auch den DNS-Forwarder so konfigurieren, daß der durch den Tunnel die Domäne am Hauptstandort auflösen kann, remote Syslogs über den Tunnel zum Hauptstandort senden usw usw.</lokale></remote>

Guest

cool danke dir das funktioniert super  :)

gibt es eigentlich eine möglichkeit wenn ich richtige Static Routes habe dort DHCP IP Adressen zu verteilen ohne vor Ort einen aufzustellen. Sprich das die PFSense am Hauptstandort auch die Filialen mit IP Adressen versorgt, wobei dort aber wieder ein anderer IP Keis wäre  ???

hoba

Mit dem pfSense eigenen DHCP-Server geht das glaube ich nicht (der kann nur ein Subnet pro Interface verwalten). Ansonsten könntest Du DHCP-Relay nutzen, muß aber zugestehen, daß ich damit selbst noch nicht rumgespielt habe (Services>dhcp relay).

heiko

versuch wäre es wert :)

Guest

danke werde ich mal probieren  :)

Teste gerade eine neue Terminal Software welche den Webbrowser und Java nutzt, bekomme bei den Maschinen welche über Static Rotes verbunden sind immer die Meldung:

Cannot connect to the server test.firma.intern:5307
The HTTP proxy pfsense.firma.intern:3128 failed to connect to the server test.firma.intern:5307.

The following response was returned:

HTTP/1.0 403 Forbidden

muss ich da noch was in der Firewall freigeben? Oder wo finde ich da einen Punkt zu, danke  :)

heiko

du gehst da über einen proxy raus (3128-squid), entweder proxy ausstellen o. die entsprechenden ip in den browsereinstellungen excluden…..

Guest

ausstellen habe ich versucht geht nicht wahrscheinlich weil der proxy Transparent ist und er so doer so verwendet wird.
proxy für lokale Adresse umgehen habe ich angewählt. In Proxy habe ich noch das Feld

"Do NOT proxy Private Address Space (RFC 1918)"
"Do not forward traffic to Private Address Space (RFC 1918) to the proxy server."

soll ich das mal anschalten?

heiko

ja transparent, ist dann schwierig im client ;) RFC1918 Haken kannst Du probieren

Guest

habe jetzt die passende Einstellung im IE gefunden man muss die IP noch zusätzlich in der Liste erweitert eintragen. Dann kommt kurz eine Warnung wegen unsicheren Intranet aber die kann man weg schalten, dann funktioniert es  :D

heiko

schön :)