pfsense hinter Fritzbox

    Hallo,


    ich habe zwei Server bei Netcup.

    1. pfsense

    2. Windows Server 2019

    beide sind per VLAN in einem Lokal Netz. 10.1.100.0/24


    Die Firewall auf dem Windows-Server ist zu, sodass er nur über die pfsense erreichbar ist.

    Auf die pfSense kann ich mich als mobil-Client per IP Sec VPN mit Zertifikat einwählen und habe dann Zugriff auf das Netz und den
    Windows-Server.


    Nun habe ich mir auf Basis eine HP T620 Plus mit 4x NIC eine pfsense-Maschine aufgebaut. Diese hängt zuhause hinter der Fritzbox. Da die Firewall das ja abkönnen sollte, leite ich alles als 'Exposed host' an die Firewall weiter. Ich möchte ja nicht jeden Port doppelt konfigurieren müssen.


    Auf LAN-Seite der lokalen pfsense gibt es nun das Netz 10.1.110.0/24.

    Diese beiden Netze würde ich nun wiederum gerne per IP Sec Tunnel verbinden.


    Die IP-Adresse der Fritzbox bekomme ich über eine dynDNS-Domain, die der gehosteten ist ja fix.


    Was muss ich bei der Maschine hinter der Fritzbox noch konfigurieren, damit die P1 eine Verbindung bekommt? Gerade wird mir dort die 'lokale' WAN-IP angezeigt.

    Host: 192.168.178.51

    ich nutze die Domains als 'Remote Gateway'

    Unklar ist mir auch, was ich bei 'My Identifyer' und 'Peer Identifyer' am besten eintragen sollte.


    Habe jetzt bei Netcup:

    My Identifyer: My IP address - weil die da fix ist.

    Peer identifier: Distiguished Name mit dem Host-Name der Remote-Maschine


    Lokal:

    My Identifyer: Distiguished NamPeer identifier: Peer IP


    Danke für eue Hilfe beim Internet-lernen.

    Eine Frage Vorweg:
    Was ist das Ziel? Liege ich richtig, das du den Windows Server über das VPN ansprechen willst?

    Ist die P1 (ich denke das ist die PFSense bei Netcup) aus dem Netz heraus erreichbar (ich vermute ja)?

    Warum baust du die Verbindung nicht von "Innen" zu Netcup auf?


    Bei den Identifyer einfach die Namen bzw. die IPs (ggf. FQDN) nehmen (wie es in den docs steht),

    Hi,

    Hauptziel ist es was zu lernen.


    Ich habe jetzt einen Tunnel aufgebaut und route über ein VTI die beiden Netze.

    Ein Problem war wohl die *.tech domain. Seit ich die IP direkt eingetragen habe, läuft es.


    Nun habe ich nur ein Problem:

    Ich kommen vom Lokalen Netz (10.1.110.0/24) in das Netcup-Remote-Netz (10.1.100.0/24)

    Vom Server in 10.1.100.20 komme ich aber nur bis zur Firewall: 10.1.100.1

    Schon die IP des VTI-Interfaces erreiche ich nicht mehr; keine der beiden Seiten.

    Von der Remote-Firewall aus erreiche ich alles.

    Wie rum du den Tunnel aufbaust ist völlig egal. Man geht halt den einfacheren Weg :).

    Zur Erreichbarkeit: Ich denke es fehlt die Route auf der 100.20. Die PFSense muss diese auch haben. Der Windows Server hat denke ich mal die 100.1 als default für alles. Wenn nicht, muss er auch wissen, das er für die 110.X über die 100.1 gehen muss.

    Eine weitere Frage:


    Ich habe nun ein 1Gbit vLAN zwischen pfsense und Windows-Server geschaltet.


    Beim download vom Server aus dem lokalen Netz komme ich aber nur auf 6MB/s.


    Wie kann ich herausfinden, wo ich die Geschwindigkeit verliere?


    WS -- 1Gbit --> pfSense --> Tunnel --> Fritzbox --> pfSense --> Lokaler Rechner


    Habe 500Mbit-Internet und hätte daher im downlink min. ~50MB/s erwartet.


    Beide pfSense haben Hardware AES-NI und ausreichend Dampf.


    Besten Dank!

    die MTU bei den VTi ist auf 'default'.

    Mit SMB komme ich auf immerhin 25MB/.


    So langsam steht das Netz wie es soll :) Bis hierher schon mal 1000 Dank!


    Auf die Netcup-pfsense kann ich mich auch als VPN Mobile-User aufschalten und bekomme dann Zugriff auf das 10.1.100.0/24 Netz.

    (https://administrator.de/tutor…richten-337198.html#toc-5)


    Aus dem 10.1.100.0/24er habe ich auch Zugriff auf 10.1.110.0/24 und mein Heimnetz 192.168.0.0/24 das sich per Fritzbox direkt an die pfsense hängt.


    Diesen Zugriff auf alle Netze der Netcup-pfsense, hätte ich nun auch gerne als Mobil-VPN Nutzer. (Zugriff auf das NAS in 10.1.110.50 oder den Drucker zuhause 192.168.0.50)


    Ich habe der VPN-Verbindung in Windows bereits erweitert:

    Add-VpnConnectionRoute -ConnectionName "VPN" -DestinationPrefix 10.1.110.0/24 -PassThru


    Und in der pfsense eine zweite Phase 2 mit 10.1.110.0/24 als Netz angelegt.


    Bin ich da auf dem richtigen Weg?

    Nur mal zum Verständnis: Wenn 10.1.100.0 auf 10.1.110.0 zugreifen soll und umgekehrt, muss es dann nicht 10.1.100.0/16 und 10.1.110.0/16 sein (statt /24)?


    Gruß

    moshh

    > Nur mal zum Verständnis: Wenn 10.1.100.0 auf 10.1.110.0 zugreifen soll und umgekehrt, muss es dann nicht 10.1.100.0/16 und 10.1.110.0/16 sein (statt /24)?


    Ich kenne den SW Stack nicht - aber eigentlich gehe ich davon aus das beide Netzwerke über die VPN Endpoints geroutet werden - dann wäre /24 schon richtig. Mit /16 müssten sich alle Rechner direkt (layer 2) sehen, denke ich. Und das ist nicht der Fall.


    Gib doch bitte mal den output von "ip r" auf jeweils einem client der beiden Seiten. Damit sieht man die definierten routen.

    Das sieht auf meinem 'router' z.B. so aus:

    # ip r

    default via 192.168.178.1 dev eth0
    192.168.176.0/20 dev eth0 proto kernel scope link src 192.168.179.2

    192.168.200.0/24 via 192.168.177.124 dev eth0


    192.168.178.0/20 ist mein Heimnetz [192.168.17[6789] sind da enthalten
    192.168.200.0/24 ist mein VPN Netzwerk (also z.B. mein handy wenn es unterwegs ist). Das Netzwerk liegt ausserhalb von 192.168.176.0/20
    192.168.177.124 ist ein container der auch eine IP im 192.168.200.0/24 Netz hat.


    -> Lokal via /20 spricht jeder direkt an
    -> Ins VPN (192.168.200.0/24) muss er über den vpn container (192.168.177.124)

    -> Wenn das nicht ausreicht um an die Zieladresse zu kommen wird über 192.168.178.1 (Fritzbox) geroutet


    So in der Richtung muss das aufgedröselt werden, meine ich. Wenn die Fritzboxen VPNs bauen erscheint das einfacher, weil das routing intern gehandelt wird. Ggf. kann man aber auch dort (also auf dem default gw) noch eine Route via 192.168.177.124 definieren, ich meine die Oberfläche gibt das her.


    Frohe Verwirrung (sorry),

    ItsMee