Einrichtung einer pf mit Proxy zusammen mit einem Lancom Router



  • Hallo Forum,

    ich grübel schon ewig über eine "Baustelle".

    Eigentlich möchte ich meine pfsense direkt am DSL Modem betreiben. Nun soll aber zwischen den Klienten noch ein Lancom Router gesetzt werden. Das hat den Hintergrund das dieser verschlüsselte ipsec Verbindungen nach Bedarf aufbaut um bestimmte entfernte Dienste anbietenzu können. Diese wären Zum Beispiel Zugriffe auf geschützte Webserver und Mailserver. Das ipsec kann in keinem Fall die pf machen.

    Baue ich das ganze so auf, musste ich bisher für den Lancom die IP komplett freigeben In der Firewall für ausgehenden Verkehr. Dann hat er seine Tunnel gegraben und die Dienste waren erreichbar. Seit dem update der pf auf 2.2.6 geht es nicht mehr.

    Mittlerweile habe ich noch die Ports 500 und 4500 für any am LAN geöffnet und die Zielserver ebenfalls als uneingeschränkt eingetragen. Witzigerweise bauen sich nun zwar einige der Tunnel auf aber die Dienste dahinter bleiben unerreichbar. Die Firewall der pf zeigt an das in keiner weise geblockt wird. Nur Pass Meldungen.

    Snort blockt ebenfalls nichts.

    Entweder ich bekomme heraus wie diese Konstellation zum laufen zu bringen ist oder ich baue um. Nämlich DSL Router, dann Lancom und zuletzt die pf vor den Klienten. Das wäre aber ein Triple NAT denn der Lancom darf keine eigene Verbindung mit einem Modem aufbauen. Dann wird sicherlich auch der Aufbau der Tunnel gelingen. Ich vermute das auch der Proxy dann seine Arbeit macht und die Anfragen an die geschützten Dienste per Lancom korrekt durchreicht?

    Kennt jemand was vergeichbares? Die Dienste werden allerdings leider auch von Programmen benötigt die keine oder nur eine halbgare Implementierung der Proxy Funktion haben, also teilweise an Port 443 und 80 klopfen. Diese will ich aber an der pf dicht machen, der Web Verkehr soll soweit möglich untransparent über Port 8080 an den Squid gehen. Der scannt auch nach Viren und den https Verkehr. Verzichte ich auf die Sperrung oder gibt es hier alternativen?

    Grüße

    Edit: Es scheint ein Bug in der Filter.inc zu sein. Betrifft generell ipsec bzw isakmp :(



  • Lösung gefunden. Im englischen Teil des Forums hat Jemand mit seinem ios Gerät ein gleichwertiges Problem gehabt.

    Ein Hinweis ergab sich daraus das Phase 1 mit Port 500 ja funktioniert und es lediglich an Phase 2 port 4500 haperte.

    Unter Firewall > Nat > Outbound muss eine Regel ergänzt werden. Sie muss identisch mit der Standard Regel sein die für Port 500 schon existiert, natürlich aber mit Port 4500.

    Ging auf Anhieb und ohne die im Änderungen in der Filter.inc die im englischen Beitrag verlinkt wurde.

    Den findet man übrigens hier : https://forum.pfsense.org/index.php?topic=103503.15

    Grüße


Log in to reply