21
VPN-Verbindung auf Loxone Webinterface hinter Fritzbox-pfSense Kaskade
Hallo Zusammen,
ich möchte gerne von meinem Android Handy von unterwegs auf die Visualisierung meiner Loxone Steuerung zugreifen können (Handy App, nutzt default Port80).
Die Loxone Steuerung befindet sich in einem privaten Netzwerk hinter Kaskade aus Fritzbox 7590 und pfSense Firewall.
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Geh ich da prinzipiell so vor wie in der Anleitung von aqui "IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten" beschrieben, nur mit IKEv1 (Fritzbox kann nur dies) und dann wie ganz unten beschrieben der Portfreigabe oder wäre auch die bei AVM beschriebene MyFRITZ!App und eine Site-to-Site Verbindung (hab ich bei youtube ein Video dazu gesehen) zwischen Fritzbox und pfSense eine gute Möglichkeit.
Vielleicht hat jemand einen Tipp wie ich sicher und schnell zum Ziel komme.
Vielen Dank und Gruß
Hans
ich möchte gerne von meinem Android Handy von unterwegs auf die Visualisierung meiner Loxone Steuerung zugreifen können (Handy App, nutzt default Port80).
Die Loxone Steuerung befindet sich in einem privaten Netzwerk hinter Kaskade aus Fritzbox 7590 und pfSense Firewall.
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Geh ich da prinzipiell so vor wie in der Anleitung von aqui "IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten" beschrieben, nur mit IKEv1 (Fritzbox kann nur dies) und dann wie ganz unten beschrieben der Portfreigabe oder wäre auch die bei AVM beschriebene MyFRITZ!App und eine Site-to-Site Verbindung (hab ich bei youtube ein Video dazu gesehen) zwischen Fritzbox und pfSense eine gute Möglichkeit.
Vielleicht hat jemand einen Tipp wie ich sicher und schnell zum Ziel komme.
Vielen Dank und Gruß
Hans
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 639234
Url: https://administrator.de/contentid/639234
Printed on: April 25, 2024 at 15:04 o'clock
21 Comments
Latest comment
Du kannst alternativ auch L2TP nehmen das ist etwas einfacher zu konfigurieren ohne Zertifikate:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Das Port Forwarding auf der davor kaskadierten FritzBox ist hier im Detail erklärt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn du danach vorgehst kommt das sofort zum Fliegen.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Das Port Forwarding auf der davor kaskadierten FritzBox ist hier im Detail erklärt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn du danach vorgehst kommt das sofort zum Fliegen.
Hallo,
danke für die Info, dann versuche ich es evtl. mal so.
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen (hat bisher noch nicht geklappt).
Gruß Hans
danke für die Info, dann versuche ich es evtl. mal so.
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen (hat bisher noch nicht geklappt).
Gruß Hans
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Die Frage ist jetzt irgenwie verwirrend ?? Was meinst du genau damit ? Du willst doch das VPN auf der pfSense terminieren ?? Oder willst du es auf der FritzBox terminieren ??Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen
Das ist doch kein Problem. Das kommt weil es ein selbst signiertes Zertifikat ist. Du hast das Default US Zertifikat ja hoffentlich durch ein eigens mit eigener CA ersetzt ?!Bei eigenen Zertifikaten fragen die Browser zur Sicherheit dann immer lieber nach. Aber wenn du dein eigenes Zertifikat im Browser logischerweise als vertrauenswürdig abnickst fragt er nicht mehr nach und dein "Problem" ist keins mehr und final gelöst. Einfacher gehts doch nicht, oder ?
Zitat von @aqui:
Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??
Wäre die andere Variante (mit Zertifikat) überhaupt möglich mit der Fritzbox und IKEv1?
Die Frage ist jetzt irgenwie verwirrend ?? Was meinst du genau damit ? Du willst doch das VPN auf der pfSense terminieren ?? Oder willst du es auf der FritzBox terminieren ??Wenn du es auf der pfSense terminierst ist die FritzBox doch nur dummer Durchlauferhitzer für die Pakete und reicht die einfach nur weiter. Wie ist die Frage also gemeint ??
Schon auf der pfSense. Dann hab ich das in dem Video von Raspberry Pi Cloud bezüglich Site-to-Site Verbindung falsch verstanden.
Würde vielleicht auch mein Problem mit dem Sicherheitszertifikat beim Öffnen der pfSense Weboberfläche lösen
Das ist doch kein Problem. Das kommt weil es ein selbst signiertes Zertifikat ist. Du hast das Default US Zertifikat ja hoffentlich durch ein eigens mit eigener CA ersetzt ?!Bei eigenen Zertifikaten fragen die Browser zur Sicherheit dann immer lieber nach. Aber wenn du dein eigenes Zertifikat im Browser logischerweise als vertrauenswürdig abnickst fragt er nicht mehr nach und dein "Problem" ist keins mehr und final gelöst. Einfacher gehts doch nicht, oder ?
Doch hab ich mittlerweile schon gemacht
Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Bekomme immer folgende Meldung (IP ist geschwärzt):
Schon auf der pfSense. Dann hab ich das in dem Video von Raspberry Pi Cloud bezüglich Site-to-Site Verbindung falsch verstanden.
Ja, das musst du dann wohl falsch verstanden haben !Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Musst du auch gar nicht. Es reicht wenn du im Browser diese Verbindung (Zertifikat) als vertrauenswürdig global abnickst dann fragt der Browser auch nicht mehr nach. Aber das importieren im Windows oder Browser wie hier im Forum beschrieben hat irgendwie nicht geklappt.
Musst du auch gar nicht. Es reicht wenn du im Browser diese Verbindung (Zertifikat) als vertrauenswürdig global abnickst dann fragt der Browser auch nicht mehr nach. Und wo geht das, steh auf dem Schlauch?
Muss ich vorher alte Zertifikate löschen?
Hallo,
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
Zitat von @snah0815:
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
Zitat von @aqui:
https://support.mozilla.org/de/kb/sicherheitszertifikate-von-webseiten
https://support.mozilla.org/de/kb/fehlermeldung-sec_error_unknown_issuer
Und wo geht das, steh auf dem Schlauch?
https://wiki.natenom.de/sammelsurium/selbst-signierte-zertifikatehttps://support.mozilla.org/de/kb/sicherheitszertifikate-von-webseiten
https://support.mozilla.org/de/kb/fehlermeldung-sec_error_unknown_issuer
So jetzt hab ich es endgültig zerstört 🙈
Hab in der Zwischenzeit wie in deiner Anleitung beschrieben ein neues Zertifikat für das IKEv2 erstellt und nun kommt folgendes.
Was ist denn da jetzt schon wieder los?
Beim Übernehmen von Zertifikat in den allgemeinen Einstellungen bin ich rausgefallen und jetzt komme ich nicht mehr drauf.
Zitat von @117471:
Hallo,
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
Hallo,
Zitat von @snah0815:
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
Die Frage ist nun wie ich am besten die VPN Verbindung für ausschließlich diese Anwendung einrichte?
VPNs verbinden Netze - keine Anwendungen.
Du kannst natürlich auch im VPN bzw. um dein VPN herum ein Regelwerk etablieren, welches nur bestimmte Ports durchlässt. Was die Datenpakete jedoch letztendlich abschickt / annimmt, ist für die FRITZ!Box und die pfSense völlig transparent.
Zudem stellt sich die Frage, warum Du überhaupt die FRITZ!Box / pfSense erwähnst, in welchem Netz die Steuerung hängt und welche Motivation hinter der Routerkaskade steckt.
Gruß,
Jörg
Hallo Jörg,
die Router Kaskade kommt eigentlich davon, da ich mir nicht so wirklich sicher war ob das mit der pfSense was wird und so hab ich zumindest den Basisschutz hab ich mir gedacht. Außerdem habe ich diese vom Provider bekomme und was mich vor allem dazu bewegt diese drinnen zu lassen ist, dass ich diese als Telefonanlage nutze und auch eine Rückfallebene habe wenn die Festplatt der pfSense mal den Geist aufgibt.
Gruß Hans
Hallo,
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
- Falls nein, würde ich die pfSense als "Exposed Host" in der FRITZ!Box angeben
- Falls ja, würde ich in der FRITZ!Box nur die Ports für das entsprechende VPN-Protokoll an die pfSense weiterleiten
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
Zitat von @117471:
Hallo,
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
Hallo,
ich gehe mal davon aus, dass die Loxone-Steuerung an der pfSense hängt. In dem Fall terminierst Du dein VPN natürlich auf der pfSense.
Hängen an der FRITZ!Box überhaupt noch Geräte (auch per W-LAN usw.?)
- Falls nein, würde ich die pfSense als "Exposed Host" in der FRITZ!Box angeben
- Falls ja, würde ich in der FRITZ!Box nur die Ports für das entsprechende VPN-Protokoll an die pfSense weiterleiten
Deine Idee, hier "Anwendungsbasiert" herumzufiltern, kannst Du getrost wieder vergessen. Du könntest im VPN wie gesagt nach Ports usw. filtern - aber eigentlich ist das Quatsch. Wenn Du deinem eigenen VPN nicht traust, dann brauchst Du mit so etwas gar nicht erst anfangen^^
Denkbarer Störfaktor wäre hier u.U. nohc eine Firewall auf der Loxone-Steuerung. Diese muss natürlich in der Lage sein, Quellpakete aus fremden IP-Netzen anzunehmen. Weil - die Pakete kommen dann ja aus dem Transportnetz des VPN und nicht aus dem LAN.
Gruß,
Jörg
So ist es, hab alles hinter der pfSense.
Das mit dem "Exposed Host" bedeutet genau?
Ist der Schutz durch die Fritzbox dann aufgehoben und ich muss auch die Provider Daten und DNS an der pfSense eingeben oder wäre das wieder ein anderer Modus?
Gruß Hans
Kann mir mit der Fehlermeldung jemand helfen?
Bekomme keinen Zugriff mehr. Wahrscheinlich zu oft irgendwelche Zertifikate importiert um die Meldung wegzubekommen 🙈
Einzig mit dem Firefox bekomme ich es noch auf.
Gruß Hans
Bekomme keinen Zugriff mehr. Wahrscheinlich zu oft irgendwelche Zertifikate importiert um die Meldung wegzubekommen 🙈
Einzig mit dem Firefox bekomme ich es noch auf.
Gruß Hans
Hallo,
das ist kein Fehler, sondern lediglich eine Warnung
Firefox verwaltet die Stammzertifikate selber.
In dem Fall fehlt ihm die Stammzertifizierungsstelle, die das Zertifikat für die Webseite erstellt hat.
Gruß,
Jörg
das ist kein Fehler, sondern lediglich eine Warnung
Firefox verwaltet die Stammzertifikate selber.
In dem Fall fehlt ihm die Stammzertifizierungsstelle, die das Zertifikat für die Webseite erstellt hat.
Gruß,
Jörg
Die Warnung verhindert aber, dass ich auf die pfSense komme?
Die Warnung verhindert aber, dass ich auf die pfSense komme?
Sorry, aber das ist doch Quatsch. Wenn du das Zertifikat als OK abnickst in der Vertrauensfrage gibt der Browser IMMER den Zugriff auf das GUI frei.Zumindesten ist das so bei Firefox, Safari und Chrome. Lerne mal deinen Browser und dessen Bedienung besser kennen !!
Sorry, aber das ist leider kein Quatsch!
Ich nutze den Chrome beim Edge ist es übrigens das gleich.
Vorher konnte ich das zumindest immer absegnen, aber jetzt kommt aber wie gesagt diese Meldung und da gibt es nichts zum akzeptieren (zumindest sehe ich da nichts).
Was solls, dann muss ich wohl den Firefox dafür verwenden. Anfangs ging es allerdings einwandfrei mit dem Chrome, auch ohne Zertifikatsmeldung.
Danke euch und ein schönes Wochenende.
Gruß Hans
Ich nutze den Chrome beim Edge ist es übrigens das gleich.
Vorher konnte ich das zumindest immer absegnen, aber jetzt kommt aber wie gesagt diese Meldung und da gibt es nichts zum akzeptieren (zumindest sehe ich da nichts).
Was solls, dann muss ich wohl den Firefox dafür verwenden. Anfangs ging es allerdings einwandfrei mit dem Chrome, auch ohne Zertifikatsmeldung.
Danke euch und ein schönes Wochenende.
Gruß Hans
Das ist Unsinn...weisst du auch selber. In allen diesen Browsern kann man selbstsignierte Zertifikate mit einem simplen Mausklick abnicken. Aber egal...nimm den Firefox ist so oder so besser und sicherer da er keine Google Schnüffelei macht.
Zitat von @aqui:
Das ist Unsinn...weisst du auch selber. In allen diesen Browsern kann man selbstsignierte Zertifikate mit einem simplen Mausklick abnicken. Aber egal...nimm den Firefox ist so oder so besser und sicherer da er keine Google Schnüffelei macht.
Das ist Unsinn...weisst du auch selber. In allen diesen Browsern kann man selbstsignierte Zertifikate mit einem simplen Mausklick abnicken. Aber egal...nimm den Firefox ist so oder so besser und sicherer da er keine Google Schnüffelei macht.
Konnte ich wirklich nicht!
Bin jetzt über den Firefox rein, hab Zertifikate gelöscht und nochmal eines neu erstellt und siehe das es geht.
Keine Ahnung warum, war wahrscheinlich irgendwo ein Fehler drinnen.
Eh egal, Hauptsache es geht 😉
Danke für die Hilfe und sorry, dass es so lange gedauert hat.
Jetzt brauch ich paar Tage zum durchschnaufen bis ich mir deine VPN-Anleitung genauer einziehe.
Schönes WE.
Gruß Hans
Danke für die Hilfe und sorry, dass es so lange gedauert hat.
Immer gerne ! Die Hauptsache ist eben das es jetzt klappt wie es soll ! 😊
