PFSense hinter Router: Site2Site VPN Tunnel
-
Hallo in die Runde,
wir haben vor kurzem die IT-infrastruktur eines neuen Kunden übernommen und dabei eine PFSense (2.2-Release) vorgefunden (an Standort A)
Zwischen Internet und PFSense befindet sich noch ein Lancom.Nun soll ein S2S VPN (IPSec) zwischen Standort A und Standort B aufgebaut werden. Leider haben wir keinerlei Erfahrung mit PFsense.
Wir haben über VPN -> IPSec den Tunnel eingerchtet laut Dokumentation pfsense.
Firewallregeln sind im Reiter IPsec (allow all von Source any nach Destination any) angelegt sowie im Reiter WAN (allow any von Peer IP Standort B nach WAN-Interface PFsense)NATing vom Lancom zur PFsense für die Ports 500 und 4500 ist eingerichtet.
Leider funktioniert der Aufbau nicht. Im Log scheint es mir so, als wenn Pakete von der Firewall aufgehalten werden. Bin mir aber nicht sicher, da wie gesagt, die Erfahrung mit pfsense fehlt.
Hat vielleicht jemand aus der Runde so ein Szenario schon mal erfolgreich realisiert und kann mir Tipps geben, worauf zu achten ist?
Besten Dank schon mal für die Hilfe und Entschuldigung für mein begrenztes Verständnis!
-
Hallo,
vielleicht hilft dir das weiter:
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnelGruß
Peter -
Hallo,
ein IPsec VPN von einer Firewall hinter anderen Firewall per NAT ist immer suboptimal.
Besser und einfacher wäre mit Sicherheit das VPN auf dem lancom aufzubauen oder das Lancom zu entfernen.
Ihr werdet nie den Tunnel von Site B nach Site A initialisieren können, nur umgekehrt.
Es fehlt ESP auf der WAN Seite der pfSense.
Du schriebst, ihr habt eine Allow all Regel der Source IP auf dem WAN interface erstellt, es muß meiner Meinung nach als Source IP die interne IP der Lancom sein.
Um den Fehler einzugrenzen, bzw. zu beheben empfehle ich eine allow all Regel auf das WAN interface mit logging.
Auf der Gegenseite dann ein Dauerping um den Tunnel zu initialisieren
Dann sieht man in Schritt 1 was in den Firewalllogs ankommt, Schritt 2 wäre dann die IPsesc logs zu prüfen.
Wenn du die logs schickst kann dir wahrscheinlich besser geholfen werden.Gruß
Christoph