IPSec Verbindung zwischen PFsense 1.2-RELEASE und Netgear DGFV338



  • Hallo,

    Ich habe ein Problem mit einer IPSec Verbindung zwischen PFsense 1.2-RELEASE und Netgear DGFV338.
    Meine Konfiguration sieht folgendermaßen aus:

    DGFV338 (feste DSL WAN IP-Adresse) <–-> Internet <---> PFsense 1.2-RELEASE (feste WAN IP-Adresse über 10 MBit, permanente Verbindung)

    Auf dem DGFV338 Router ist "VPN Pass through" für IPsec aktiviert.
    Auf dem PFsense Router ist: "Automatic outbound NAT rule generation (IPsec passthrough)" aktiviert und die Regel auf der IPsec Schnittstelle für alle Protokolle " erlauben" in beiden Richtungen ist gesetzt.

    Der Tunnel stehet und ich kann pingen aus beiden Netzen!
    Aber wenn ich aus dem PFsense Netz eine Webseite eines Druckers oder Remotedesktop Verbindung auf eine XP Maschine öffnen möchte funktioniert es nicht. Die Remotedesktop Verbindung wird nicht komplett aufgebaut (blauer Bildschirm) und die Verbindung wird nach ein paar Sekunden getrennt. Die Webseite die Ich öffnen möchte wird auch nicht komplett aufgebaut und bleibt hängen. Es sieht so aus als die Firewall etwas blockt.
    Dasselbe passier wenn ich aus dem DGFV338 Netz im PFsense Netz was öffnen möchte.
    Die Netzwerkkonfiguration in beiden Netze ist in Ordnung (Gateway, Subnetmaske, ...)

    Ich habe lange verschiedene Einstellungen probiert, leider ohne Erfolg. Mein Gefühl sagt mir dass es an I"Psec passthrough" liegt. Kann mir jemand dies bestätigen, oder weiter helfen? Danke!



  • IPSEC Passthorugh hat hier überhaupt nichts damit zu tun. Das ist nur für IPSEC-Verbindungen, die von LAN der pfSense genattet zu einem Server am WAN gehen, also z.b. wenn ein Notebook mit IPSEC client durch die pfSense sich irgendwohin verbindet. Für Tunnel, die am WAN als Endpunkt anliegen ist das irrelevant. Ich glaube eher, daß Du ein Problem mit der MTU im Tunnel hast wodurch große Pakete nicht korrekt übertragen werden. Schau mal bei dem Netgear, ob Du da irgendwas einstellen kannst. Bei reinen pfSense zu pfSense-Tunneln hatte ich damit nämlich noch nie Probleme. Das Squidpackage hast Du nicht zufällig installiert, oder?



  • kann ich nur bestätigen, das kann eigentlich nur eine netgear Herausforderung sein…, hast Du am Ende des jeweiligen Regelwerks eine "block all" Rule? Dann passiert so etwas auch.



  • Hallo Jungs,

    Danke erst mal für die schnelle Antwort. Ihr habt vollkommen recht gehabt es lag an der MTU und zwar habe ich von meinem ISP die richtige MTU (1440) für die DSL-Verbindung herausgefunden und auf dem Netgear Router eingetragen. Der Tunnel funktioniert jetzt stabil in beiden Richtungen.

    Danke nochmal! :)
    Ciao


Locked