PFSense und Lancom

Ich habe eine PFSense Firewall (LAN1) die ich per IPSEC an einen LANCOM (LAN2) verbunden habe.
Ich kann problemlos LAN2 aus LAN 1 erreichen. Ich möchte aber zusätzlich ein weiteren IP Bereich durch den Tunnel leiten und das bekomme ich nicht hin. Hat jemand einen Tip für mich?!

Please also mark the comments that contributed to the solution of the article

Content-Key: 82142805453

Url: https://administrator.de/contentid/82142805453

Printed on: April 27, 2024 at 18:04 o'clock

16 Comments

Latest comment

Hi,
nur mal im Vorfeld gefragt. Was erwartest Du für Antworten auf eine Frage, die eigentlich Null Informationen enthält, außer der Info, das es sich um eine pfSense und einen LANCOM mit IPSec-Tunnel handelt.
Die Glaskugel habe ich gerade verborgt.

Also bitte ein wenig mehr Input. IP-Konfiguration, Logs, etc....
Gruß orcape

Also lokales Netz 192.168.100.0 entferntes Netz 210.121.115.0 beide per IPSEC verbunden. jetzt will ich auf der Seite wo das Netz 210.121.115.0 ist noch das Netz 192.168.22.0 erreichen. Da der Lancom auf der Gegenseite ebenfalls ein Routing vornimmt. Phase1 eingerichtet Phase2 mit dem LAn netz 210.121.115.0 eingerichtet. weder ein zusätzlicher Eintrag in Phase 2 bringt erfolg. Noch kann ich ein zusätzliches Gateway einrichten um die Anfragen in den VPN Tunnel zu leiten. er gibt die Anfragen immer ins freie Internet weiter anstatt in den Tunnel.

Zum einen ist die IP 210.121.115.0 keine freigegebene private IP-Adresse, es sei denn es ist eine vom Provider zugeteilte IP.
https://www.ionos.de/hilfe/server-cloud-infrastructure/privates-netzwerk ...
Das solltest Du möglichst ändern.
Wenn Du Dich nicht weiter an der Config des bestehenden Tunnels vergreifen willst, wäre die einfachste Lösung, die Änderung der Netzmaske von z.B. /24 auf /16.
Wobei Du das 2. erreichbare Netz in eben diesem 16er Bereich des ersten Netzes platzierst.

Die IP Adressen sind vorgegeben es handelt sich dabei um Konzernvorgaben!

Du willst auf der LANCOM-Seite ein weiteres Netz erreichen. Wie sieht denn die config dort aus, denn ein weiterer Phase2-Eintrag auf der pfSense ist wohl nur die halbe Wahrheit.

Also Routing ist eingetragen auf dem Lancom. Wenn ich ein tracert mache sehe ich das die Pakete gleich ins öffentliche Netz geleitet werden.

Mahlzeit.

Zitat von @Fischi71:
Also Routing ist eingetragen auf dem Lancom. Wenn ich ein tracert mache sehe ich das die Pakete gleich ins öffentliche Netz geleitet werden.

Lancoms fand ich immer gruselig. Hast du die Einrichtung entsprechend des Lancom Tutorials eingerichtet, bzw. gibt es bei deiner Konfiguration Abweichungen (IP Adressen ausgenommen)?

https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/IKEv2_tutori ...

Kannst du mal (anonymisierte) Screenshots der PFSense und Lancom VPN Konfiguration hochladen? Dann würde man vielleicht schneller auf die Ursache stoßen.

Gruß
Marc

Mach ich gleich! Lancom ist eingerichtet. Ich persönliche finde Lancom im Handling wesentlich besser und logischer. Aber das ist meine persönliche Meinung. Haben solche Site ti Site Verbindung schon zu hunderte gemacht aber mit PFSense bin ich echt zu blöd

Du musst lediglich eine 2te Phase 2 eintragen, dann klappt es auch für den 2ten Netzwerkbereich.
Guckst du dazu auch HIER und ein wenig auch hier.

Haben solche Site ti Site Verbindung schon zu hunderte gemacht aber mit PFSense bin ich echt zu blöd

Wenn Du Dich lange genug damit auseinandergesetzt hast, einfach easy, aber sicher hast Du noch keine Fritzbox-Erfahrungen gemacht.

Du siehst aber an der Meinung von @radiogugu, das so manch einer LANCOM gruselig findet.

Im übrigen war die Zuarbeit zum Problem, etwas dürftig, aber Du scheinst ja daran zu arbeiten.
Zieh Dir @aqui 's Links rein, dann sollte das schon klappen.

Leider hat es so nicht geklappt.

Sorry, auch dieser Satz wieder "voll aussagefähig" und reiht sich ein, in.....

Im übrigen war die Zuarbeit zum Problem, etwas dürftig,...

Zitat von @Fischi71:
Leider hat es so nicht geklappt.

Du musst ein paar mehr Informationen preisgeben, sonst raten wir uns hier im Kreis.

Bitte Auszüge der Logs der beiden Firewalls vom Verbindungsversuch bzw. dessen Scheitern posten. Screenshots der aktuellen Konfiguration wären auch noch immer nicht schlecht (öffentliche IPs natürlich anonymisiert).

Gruß
Marc