Page 1 of 1

IPSec nach VDSL-Umstellung

Posted: October 17th, 2018, 8:39 am
by jadokus
Hallo zusammen,
viele Wochen lief mein IPSec (Net2Net, ipfire zu ipfire) hervorragend stabil. Nun wurde mein Internet auf VDSL umgestellt und ich habe Schwierigkeiten, die ipfire-Seite auf der Gegenseite zu erreichen.
Per Openvpn funktioniert es, aber über IPSec bekomme ich keinen Zugriff. Die grundsätzliche Verbindung steht, so dass die Einwahl per putty auf den ipfire auch über IPSec funktioniert, auch auf das grüne Netz kann ich zugreifen.
Für mich sieht es so aus, als bekäme ich keinen Zugriff auf den Port 444. Da liegt eine Firewalleinstellung nahe. Ich habe alles möglich probiert,
aber die Seite wird einfach nicht angezeigt.

Die Konfiguration ist:

Seite A Seite B
ipfire----------ADSL-Modem-------- --------VDSL-Modem--------ipfire
192.168.3.1 (PPPoE Einwahl) (stat. IP 192.168.0.1) 192.168.1.1

Ich würde mich über den entscheidenden Tip sehr freuen.

Re: IPSec nach VDSL-Umstellung

Posted: October 17th, 2018, 12:13 pm
by frickelpit
Hast du die dafür notwendigen Ports (UDP 500, UDP 4500, ESP) auf dem VDSL-Modem auch an die IPFire durchgereicht?

Re: IPSec nach VDSL-Umstellung

Posted: October 17th, 2018, 2:27 pm
by jadokus
Hallo Frickelpit,

danke für die Rückmeldung. Nein, das habe ich nicht. Kling logisch, aber warum benötigt IPSec das und OpenVPN nicht?
Geht doch über das gleiche Modem...

Danke

Re: IPSec nach VDSL-Umstellung

Posted: October 17th, 2018, 3:00 pm
by frickelpit
Keine Ahnung welchen Port du für OpenVPN nutzt, normalerweise muss auch der an die hinter dem Modem liegende IPfire durchgereicht werden, sofern das anständig funktionieren soll. Kannst das natürlich auch alles über Port 80 o. 443 abwickeln, dann brauchts keine Durchreiche. Machte für Länder wie China lange Zeit Sinn, da nur diese Ports überhaupt offen waren. Jetzt ist das durch DPI auch verbaut.

Re: IPSec nach VDSL-Umstellung

Posted: October 17th, 2018, 3:42 pm
by zargano
Hallo zusammen,

wenn das VDSL-Modem tatsächlich als Modem (und nicht als Router) arbeitet und dementsprechend der IPFire die Einwahl macht, dann sollte es keinerlei Freigaben bedürfen, weil der IPFire an Rot eine öffentliche IP-Adresse hat.

jadokus, schau mal, ob die IPsec-Logs was hergeben und poste ggf. den Inhalt.

Edit: ich hatte testweise mal so ein IPsec-VPN zwischen ADSL und VDSL. Das ging problemlos.

Grüße, zargano

Re: IPSec nach VDSL-Umstellung

Posted: October 17th, 2018, 7:56 pm
by jadokus
Hallo zargano,

nein, das Modem läuft Router und hat einen eigenen Adressbereich. ROT hat ein feste IP aus diesem Bereich und macht die Einwahl nicht selbst. Mit der Einwahl über den ipfire habe ich es nicht zum Laufen bekommen.
Ich kann Dir gerne noch die IPSec-Logs schicken, aber ich glaube nicht, dass das das Problem ist. Die IPSec-Verbindung selber steht ja
und lässt mich auch auf ROT und GRÜN zugreifgen. Nur die ipfire-Seite geht nicht.

Re: IPSec nach VDSL-Umstellung

Posted: October 18th, 2018, 2:32 pm
by jadokus
Hallo zusammen,

ich habe das Konstrukt nun noch einmal über den Haufen geworfen. Das Modem fungiert jetzt wirklich nur noch als Modem und die Einwahl erfolgt über die ipfire. Trotzdem komme ich über IPSec nicht an die ipfire-Seite des anderen Netzes. Ich habe eben mal einen Portscan gemacht, der Port 444 ist offen. Habe ich noch einen Denkfehler in der ganzen Sache?

Vielen Dank!

Re: IPSec nach VDSL-Umstellung

Posted: October 18th, 2018, 5:30 pm
by zargano
jadokus wrote:
October 18th, 2018, 2:32 pm
Das Modem fungiert jetzt wirklich nur noch als Modem und die Einwahl erfolgt über die ipfire.
Das ist schon mal sehr gut, weil dann der VDSL-Router als Fehlerquelle ausgeschlossen ist. (Der muß ja sonst die entsprechenden Ports für IPsec durchreichen.)
jadokus wrote:
October 18th, 2018, 2:32 pm
Ich habe eben mal einen Portscan gemacht, der Port 444 ist offen.
Auf welchem NIC? Auf grün ist das normal, denn sonst kannst Du ja nicht auf das WebGUI zugreifen. Auf Rot wäre das m.E. ein unnötiges Sicherheitsrisiko: zum Administrieren des IPFire von Extern einfach eine Roadwarrior-VPN-Verbindung aufbauen, dann braucht es auf Rot keinen offenen Port 444.

Grüße, zargano

Re: IPSec nach VDSL-Umstellung

Posted: November 7th, 2018, 8:25 pm
by jadokus
Hallo zargano,

entschuldige bitte, dass ich mich länger nicht gemeldet habe, ich hatte beruflich zu viel um die Ohren, um mich weiter mit dem Thema zu beschäftigen. Nun bekomme ich wieder Luft...
Du schreibst, dass der Portscan auf den Port 444 klappen muss, weil sonst der Zugriff auf die GUI nicht funktioniert. Aber das ist ja genau das Problem: ich komme durch den ipsec-Tunnel nicht auf die GUI, obwohl der Port 444 offen ist. Wo ist denn mein Denkfehler?

Danke

Re: IPSec nach VDSL-Umstellung

Posted: November 8th, 2018, 7:49 pm
by zargano
jadokus wrote:
November 7th, 2018, 8:25 pm
Du schreibst, dass der Portscan auf den Port 444 klappen muss, weil sonst der Zugriff auf die GUI nicht funktioniert. Aber das ist ja genau das Problem: ich komme durch den ipsec-Tunnel nicht auf die GUI, obwohl der Port 444 offen ist.
Hier lieferst Du eine komplett neue Info für mich: nämlich dass der Zugriff durch den IPsec-Tunnel nicht funktionieren würde...

Bei mir geht das durch den Tunnel. Klappt der Zugriff denn lokal aus dem grünen Netzwerk?

Grüße, zargano

Re: IPSec nach VDSL-Umstellung

Posted: November 10th, 2018, 2:26 pm
by jadokus
Hallo zargano,

ich meine, das in meinen ersten Postings geschrieben zu haben, aber vielleicht habe ich mich etwas wirr ausgedrückt.

Also, es funktioniert der lokale Zugriff im grünen Netz, es funktioniert auch der Zugriff über einen OpenVPN-Tunnel,
nur der Zugriff über den IPSEC-Tunnel funktioniert nicht. Beim Portscan wird mir der Port 444 als offen angezeigt.
Die Einwahl mit Putty funktioniert auch über den IPSEC-Tunnel.

Hast Du eine Idee?

Re: IPSec nach VDSL-Umstellung

Posted: November 10th, 2018, 5:33 pm
by zargano
Nein, da kratze ich mich am Kopf. Schau mal, ob Du in den Logs des IPFire Zugriffsversuche siehst oder andere Fehlermeldungen... :-\