Portale
Donazioni
Ciao a tutti,
ho da chiedervi una cosa e spero di capire dove "mettere le mani" per risolvere quello che dovrebbe essere un ultimo step.
Ho necessità di fare una VPN site2site tra un FRITZ 7590 e un FIREWALL PFSENSE.
Avevo tra le mani un 7530 che credo, grosso modo si comporti allo stesso modo, e ho cominciato le sperimentazioni.
Sia sul Fritz che su Pfsense ho fatto gli aggiornamenti alle ultime release.
Sul Fritz ho iscritto l'ip statico al servizio dyndns e ho inserito l'indirizzo nella sezione "Protezione DNS Rebind" per garantire la raggiungibilità.
Ho seguito questa GUIDA - mi sono accorto di non poterla ancora linkare - (la parte lato PFSENSE, seguita pedissequamente)
Preparato il file ipsec-fritzbox.cfg
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fritz_PFsense VPN";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 999.888.777.666; // Il pfsense ha IP statico publico
remote_virtualip = 0.0.0.0;
localid {
fqdn = "mio.dyncam.com"; // Servizio dyndns per Fritz
}
remoteid {
ipaddr = 999.888.777.666; // Stesso del remoteip
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha"; //phase one hashing algorithms to use
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; //Generata da PFSENSE
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0; //Local network of FritzBox
mask = 255.255.255.0; //Local subnet FritzBox
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0; //Remote network of Pfsense
mask = 255.255.255.0; //Remote subnet Pfsense
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; //phase two hashing algorithms to use
accesslist = "permit ip any 192.168.2.0 255.255.255.0"; //firewall settings for pfsense lan
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
una volta importato, liscio come l'olio (nessun errore)
Preparata la parte PFsense, connessi... vedi OK da entrambe le parti (dal monitor di status dell'IPSEC su Pfsense, pallino verde e log favorevole su FRITZBOX).
Tutto bene? Mannaggia mannaggia NO!!
lato pfsense --> fritz pingo senza problemi
lato fritz --> pfsense non pingo e non mi permette nemmeno di browsare la rete puntando su cartelle condivise
Dove e cosa controllare per rendere la "comunicazione" multi-direzionale?
ho da chiedervi una cosa e spero di capire dove "mettere le mani" per risolvere quello che dovrebbe essere un ultimo step.
Ho necessità di fare una VPN site2site tra un FRITZ 7590 e un FIREWALL PFSENSE.
Avevo tra le mani un 7530 che credo, grosso modo si comporti allo stesso modo, e ho cominciato le sperimentazioni.
Sia sul Fritz che su Pfsense ho fatto gli aggiornamenti alle ultime release.
Sul Fritz ho iscritto l'ip statico al servizio dyndns e ho inserito l'indirizzo nella sezione "Protezione DNS Rebind" per garantire la raggiungibilità.
Ho seguito questa GUIDA - mi sono accorto di non poterla ancora linkare - (la parte lato PFSENSE, seguita pedissequamente)
Preparato il file ipsec-fritzbox.cfg
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fritz_PFsense VPN";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 999.888.777.666; // Il pfsense ha IP statico publico
remote_virtualip = 0.0.0.0;
localid {
fqdn = "mio.dyncam.com"; // Servizio dyndns per Fritz
}
remoteid {
ipaddr = 999.888.777.666; // Stesso del remoteip
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha"; //phase one hashing algorithms to use
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; //Generata da PFSENSE
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0; //Local network of FritzBox
mask = 255.255.255.0; //Local subnet FritzBox
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0; //Remote network of Pfsense
mask = 255.255.255.0; //Remote subnet Pfsense
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; //phase two hashing algorithms to use
accesslist = "permit ip any 192.168.2.0 255.255.255.0"; //firewall settings for pfsense lan
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
una volta importato, liscio come l'olio (nessun errore)
Preparata la parte PFsense, connessi... vedi OK da entrambe le parti (dal monitor di status dell'IPSEC su Pfsense, pallino verde e log favorevole su FRITZBOX).
Tutto bene? Mannaggia mannaggia NO!!
lato pfsense --> fritz pingo senza problemi
lato fritz --> pfsense non pingo e non mi permette nemmeno di browsare la rete puntando su cartelle condivise
Dove e cosa controllare per rendere la "comunicazione" multi-direzionale?
