7530/7590 VPN IPSEC PFSENSE

[freemaui]

Ciao a tutti,
ho da chiedervi una cosa e spero di capire dove "mettere le mani" per risolvere quello che dovrebbe essere un ultimo step.
Ho necessità di fare una VPN site2site tra un FRITZ 7590 e un FIREWALL PFSENSE.
Avevo tra le mani un 7530 che credo, grosso modo si comporti allo stesso modo, e ho cominciato le sperimentazioni.

Sia sul Fritz che su Pfsense ho fatto gli aggiornamenti alle ultime release.
Sul Fritz ho iscritto l'ip statico al servizio dyndns e ho inserito l'indirizzo nella sezione "Protezione DNS Rebind" per garantire la raggiungibilità.

Ho seguito questa GUIDA - mi sono accorto di non poterla ancora linkare -  (la parte lato PFSENSE, seguita pedissequamente)

Preparato il file ipsec-fritzbox.cfg

vpncfg {
connections {
 enabled = yes;
 conn_type = conntype_lan;
 name = "Fritz_PFsense VPN";
 always_renew = yes;
 reject_not_encrypted = no;
 dont_filter_netbios = yes;
 localip = 0.0.0.0;
 local_virtualip = 0.0.0.0;
 remoteip = 999.888.777.666; // Il pfsense ha IP statico publico
 remote_virtualip = 0.0.0.0;
 localid {
   fqdn = "mio.dyncam.com"; // Servizio dyndns per Fritz
   }
 remoteid {
   ipaddr = 999.888.777.666; // Stesso del remoteip
   }
 mode = phase1_mode_idp;
 phase1ss = "dh14/aes/sha"; //phase one hashing algorithms to use
 keytype = connkeytype_pre_shared;
 key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; //Generata da PFSENSE
 cert_do_server_auth = no;
 use_nat_t = no;
 use_xauth = no;
 use_cfgmode = no;
 phase2localid {
   ipnet {
     ipaddr = 192.168.178.0; //Local network of FritzBox
     mask = 255.255.255.0; //Local subnet FritzBox
     }
   }
 phase2remoteid {
   ipnet {
     ipaddr = 192.168.2.0; //Remote network of Pfsense
     mask = 255.255.255.0; //Remote subnet Pfsense
     }
   }
 phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; //phase two hashing algorithms to use
 accesslist = "permit ip any 192.168.2.0 255.255.255.0"; //firewall settings for pfsense lan
 }
 ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                     "udp 0.0.0.0:4500 0.0.0.0:4500";
}


una volta importato, liscio come l'olio (nessun errore)
Preparata la parte PFsense, connessi... vedi OK da entrambe le parti (dal monitor di status dell'IPSEC su Pfsense, pallino verde e log favorevole su FRITZBOX).

Tutto bene? Mannaggia mannaggia NO!!
lato pfsense --> fritz pingo senza problemi
lato fritz --> pfsense non pingo e non mi permette nemmeno di browsare la rete puntando su cartelle condivise

Dove e cosa controllare per rendere la "comunicazione" multi-direzionale?

[freemaui]

Che possa essere un problema di firewall lato PFSENSE?

[freemaui]

Bah, l'unica cosa che ho trovato... lato Pfsense è una banale regola (anche un pò selvaggia) sul protocollo ICMP e TCP/UDP con un bel democratico any su port e destinazione.
Inserita per dovere di cronaca... ma non sortisce effetti.
Dal Fritzbox ping o cartelle della rete sotto Pfsense nemmeno a parlarne.

[Contenuto sponsorizzato]