Netgate SG-1000 microFirewall

Author Topic: IPsec routing?  (Read 71 times)

0 Members and 1 Guest are viewing this topic.

Offline shinduke

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
IPsec routing?
« on: April 16, 2018, 06:40:18 am »
Hallo zusammen,

ich bin noch recht neu in PFsense und stehe bereits vor meinem ersten Problem.

Folgendes Scenario:

Ich habe einen IPsec tunnel eingerichtet und laut Übersicht ist dieser auch aktiv. Mein Gegenüber kann per "tracert" auf eine meiner IPs nachweisen, dass er direkt 2 Hops hat und auf der IP landet. Bei mir sieht das jedoch anders aus. Wenn ich die IP von meinem Gegenüber eingebe, bekomme ich als erste IP meine FW und dann geht er scheinbar ins Internet. Meine Vermutung ist, dass hier eine Route oder sowas fehlt.

Die Infos:
- unser Netz: 192.168.157.0 / 24
- Kundennetz: 10.1.100.0 / 24

Der IPsec Tunnel ist mit P1 und P2 eingerichtet.

NAT Outbound ist auf automatisch.

IPces Regeln sind mit IPv4 any to any offen

Ich hoffe ihr könnt mir helfen. Sollten Infos fehlen kann ich diese direkt nachreichen.
Ich hoffe ihr könnt mir hier helfen und mir sagen wo ich was einrichten muss.
« Last Edit: April 16, 2018, 06:55:10 am by shinduke »

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: IPsec routing?
« Reply #1 on: April 16, 2018, 06:47:52 am »
> Der IPsec Tunnel ist mit P1 und P2 eingerichtet.

Wenn das korrekt eingerichtet ist, dann setzt IPSEC die Routen selbst, die tauchen leider auch nicht im System in der Routing Tabelle auf. Was bringt dich auf die Idee, dass es danach "scheinbar ins Internet" geht?
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline shinduke

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: IPsec routing?
« Reply #2 on: April 16, 2018, 06:51:25 am »
Naja zum einen ist die IP Adresse des Ziels nicht pingbar und wenn ich nen tracert von einem Client aus unserem Netz auf die IP des Ziel-Servers mache kommen 30 Hops wovon nur der erste sichtbar ist.
Umgekehrt, wie gesagt macht der Kunde 2 Hops: 1 FW des Kunden 2 die Ip des Clients

Offline shinduke

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: IPsec routing?
« Reply #3 on: April 16, 2018, 06:59:16 am »


Hier der Status.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: IPsec routing?
« Reply #4 on: April 16, 2018, 07:42:20 am »
> kommen 30 Hops wovon nur der erste sichtbar ist.

Das heißt nicht, dass es ins Internet geht, ansonsten hättest du dort IPs stehen von extern/WAN Seite
Sternchen heißt nur dass er keine Antwort bekommt.

> Umgekehrt, wie gesagt macht der Kunde 2 Hops: 1 FW des Kunden 2 die Ip des Clients

Das heißt lediglich dass deine Seite Pakete annimmt und durchreicht. Hat der Spezi auf der anderen Seite denn seine Firewall Regeln auf IPSEC Seite freigegeben? Sonst ists kein Wunder dass du nirgends hinkommst...
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline shinduke

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: IPsec routing?
« Reply #5 on: April 16, 2018, 07:45:12 am »
Hmm...Guter Einwand... Ich geh dem Herren mal auf den zahn fühlen

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: IPsec routing?
« Reply #6 on: April 16, 2018, 07:50:33 am »
Fun Fact: Von mehreren Dutzend Support Anfragen von Firmen zu pfSense + IPSec (oder auch OpenVPN) waren komischerweise <10% Fehler der pfSense. Allermeistens waren es die Gegenstellen, die

1) falsch konfiguriert waren (einfach)
2) andere Werte zum Verbindungsaufbau genutzt haben (mittelschwer böse)
3) andere VPN Strecken oder Routen, an die man nicht mehr dachte, die überlappt haben und deshalb für Chaos gesorgt haben
4) oder sich die Gegenseite fast gar nicht um Standards geschert hat.

Insofern - lieber nochmal prüfen ;)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.