Einrichtung von einem IPSec-VPN zwischen Ubiquiti Security Gateway und PFSense Firewall

Worum geht es

Wer mich kennt weiß, dass ich schon lange und sehr gerne Produkte von der Firma Ubiquiti einsetze. Das Portfolio erstreckt sich über alle möglichen Netzwerk-Geräte, angefangen von WLAN-APs über Switches bis hin zu Routern. Einer dieser Router, die man kaufen kann, ist das Ubiquiti Security Gateway. Dieses gibt es in zwei Varianten, einmal “normal” und einmal als Pro-Modell. Verwaltet werden die Geräte über einen Controller, über diesen Controller kann man unter anderem auch einen VPN-Tunnel zwischen zwei Geräten erstellen. Ich stand vor kurzem vor der Herausforderung, mit nur einem USG Pro-Gerät einen IPsec-VPN-Tunnel zu einem anderen Router aufzubauen, genauer gesagt zu einer PFSense Firewall. Ich habe ein bisschen gesucht und habe erst nach ein wenig rumprobieren die korrekten Einstellungen herausgefunden, die ich hier gerne teile.

Wichtige Information: Ein Security Gateway kann nur ein IPsec-VPN nutzen, wenn auf dem Router direkt die (WAN-) IP anliegt. Sobald ein NAT vorhanden ist, geht kein IPsec VPN mehr. In diesem Fall muss OpenVPN genutzt werden!

Die Einstellungen im Security Gateway

Wir beginnen mit den Einstellungen im USG Pro. Hier wird in der entsprechenden Site in der Administration unter Networks ein neues Netzwerk erstellt.

Die Einstellungen sehen wie folgt aus:

Die Möglichkeiten, die mir hier geboten werden, sind leider nicht die besser, z.B. stört mich die Verwendung von SHA1, die (noch schlechtere) Alternative wäre MD5. SHA256 ist leider nicht vorhanden, das sollte eigentlich Standard sein. Ist aber leider nicht, schade.

Die Advanced Options

Die Werte für die Encryption und die DH Group können natürlich mit der Gegenseite angepasst werden (die Aussage im Screenshot bezieht sich auf die Screenshots der Gegenseite), solange beide Seiten gleich eingestellt sind, wird auch eine Verbindung aufgebaut. DH Group 2 ist vielleicht auch nicht die beste Wahl heutzutage…

Die Einstellungen in der PFSense

Nachdem wir nun die Seite A mit dem USG eingerichtet haben, kommen wir nun zu den Einstellungen der Site B. Hier gilt es, die Einstellungen der PFSense an das USG Pro anzupassen, damit der Tunnel aufgebaut werden kann.

Wir beginnen mit VPN => IPsec

Hier müssen wir die beiden Phasen des VPNs nacheinander anlegen, wir beginnen mit Phase 1. Dazu erstellen wir einen neuen P1-Tunnel.

Dieser wird wie folgt konfiguriert:

Nachdem wir die Einstellungen wie in dem Screenshot gesetzt haben, speichern wir die Phase 1 und fügen die Phase 2 hinzu. Die Einstellungen dieser Phase 2 sehen wie folgt aus:

Werden die Einstellungen wie in diesen Screenshots gesetzt, verbinden sich die beiden Systeme zueinander und bauen einen IPsec-VPN-Tunnel auf. Wird in der Phase 2 unter Advanced Configuration eine IP-Adresse auf der Gegenseite angegeben, wird diese versucht anzupingen. Dies führt dazu, dass ein System im anderen Netzsegment versucht wird zu erreichen und sich dadurch ggf. der Tunnel (wieder) aufbaut, falls die Verbindung mal unterbrochen werden sollte.

Die Performance

Die Nutzung von einem IPsec-VPN zwischen zwei USG Pro-Geräten ist einigermaßen schnell und man kann mit einer akzeptablen Bandbreite arbeiten. Ich habe leider gemerkt, dass die nutzbare Bandbreite bei dieser Art von VPN ziemlich beschränkt ist, ich habe eine maximale Datenübertragung von 20 Mbps gesehen, was nicht wirklich viel ist wenn man bedenkt, dass ein Gerät einen Downstream von bis zu 400 Mbps hat und das andere Geräte in einem Rechenzentrum mit Gigabit-Anbindung steht. Dieses Problem haben wohl auch noch andere, im Ubiquiti-Forum sind einige Einträge zu lesen, bei denen die mangelnde Bandbreite von einem IPsec-VPN angemerkt wird. Wenn ich es zeitlich schaffe, werde ich testweise mal eine IPsec-VPN-Strecke auf OpenVPN umstellen und mir die Bandbreite in diesem Szenario angucken, vielleicht bringt dies schon eine Lösung bzw. Besserung.

Fazit

Die Anbindung zwischen USG Pro und PFSense ist grundsätzlich möglich, dieser Artikel listet die benötigten Einstellungen und Optionen auf. Was unschön ist, ist die magere Art der Verschlüsselung und die mangelhafte Bandbreite. Wenn allerdings, wie in meinem Fall, nur Kilobytes über die Strecke laufen, kann die Höhe der maximalen Bandbreite ein bisschen vernachlässigt werden. Ist dies aber wichtig, ist diese Art der Verbindung vermutlich nicht die wünschenswerte Lösung.

Jan

Jan Kappen arbeitet sein 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Seit September 2018 ist Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.