OPNsense Forum
International Forums => German - Deutsch => Topic started by: stumpjumper on March 06, 2020, 10:07:41 am
-
I have a problem with reconnecting a vpn Tunnel after DSL-Line went reconnected by provider.
This behaviour is the same on IPsec and wireguard.
Description:
The vpn-tunnel is up and working as expected. After 24 hours the WAN is disconnected and reconnected by the provider. This breaks the vp-tunnel.
I was expecting that the tunnel will reconnect itself, in case of ipsec by DPD, in case of wireguard via keepalive in endpont config.
Both sides have a fixed IP.
As a workaround i created a cron job that restarts the OPNSense on both Sides. After the reboot the tunnel is back in work.
Does anybody have the same behaviour ?
Any suggestions how this can be solved?
-
Hello
you're in german forum here... But no problem.. You still get help ;)
For normal, the VPN should automatically reconnect. How fast is the reconnect happening?
Do you have any specialized config in your VPN config files?
Is the VPN log saying anything usable? ( clog -f /var/log/openvpn.log )
-
Entschuldigung, ich habe den Beitrag versehentlich in Englisch verfasst, deshalb antworte ich selbst mit dem deutschen Text.
Problembeschreibung:
Eine Seite des VPN-Tunnels hängt über einen DSL Router mit Port-Forwarding auf die OPNSense am Internet, die andere Seite ist direkt am Internet.
Der Tunnel wird aufgebut und funktioniert wie erwartet.
Auf der DSL Seite wird nach 24h die Leitung vom Provider zwangsgetrennt. Nach der Zwangstrennung kommt der Tunnel nicht mehr hoch. Es ist hier Egal ob es sich um einen IPSec oder einen Wireguard Tunnel handelt, bei beiden hat man das selbe Verhalten.
Ich hatte erwartet dass der Tunnel nach einer Unterbrechung autom. wieder aufgebaut wird. Im falle von ipsec durch DPD, im falle wireguard durch keepalive in der Endpoint Konfig. Das passiert aber nicht. Als temporäre Lösung habe ich auf beiden OPNSense'n einen Cronjob erstellt der die OPNsense rebooted. Nach dem Reboot kommt der Tunnel sofort wieder hoch.
Kennt jemand dieses Verhalten und hat ev. eine Lösung ?
-
Nein das Log schweigt sich leider aus. Es handelt sich aber NICHT um einen openvpn Tunnel. Wie gesagt habe ich dieses Verhalten sowohl bei IPsec als auch bei Wireguard.
In beiden Fällen Site2Site. Um Missverständnissen vorzubeugen, es ist immer nur eine Tunnelart in Verwendung, also nicht parallel.
Ich hatte das Verhalten zuerst mit IPSec und habe dann testweise auf Wireguard umgestellt. Auf der DSL Seite ist die Leitung offensichtlich für ca. 1h unterbrochen. Die IPSec Konfiguration wurde komplett gelöscht so dass diese nicht mehr mitspielen kann. Ich meine damit z.B Metrik bei Routen etc.
-
Ich würde der Zwangstrennung durch den Router zu einer festen Zeit zuvorkommen (in der Nacht) und 10 min später per Cron reboot oder VPN neu starten...
Man kann auch (bei openVPN) Server und Client tauschen... ;-)
PS: Zwangstrennung für 1 h? Ernsthaft? Da wird der reconnect für den Tunnel irgendwann time-out haben...
-
Entschuldige bitte wegen der OpenVPN verwechslung...
Also bei IPSec kenne ich mich nur etwas aus.. Aber ich gebe mal meine Vermutungen ab:
Eine Zwangstreunnung über ein Stunde finde ich ebenfalls recht heftig... Wie überprüfst du dies?
Ändert sich bei jeder Zwangstrennung die IP? Oder bekommst du wieder die gleiche?
Ich denke mir vielleicht, dass wenn du DynDNS benutzt, dass bei einer IP Änderung der DNS Eintrag erst nach einer Stunde geändert wird.
Wie ist denn der Tunnel Mode bei der Phase1 eingestellt?
Die DPD wird wie bereits von chemlud vermutet das teil auf nen TimeOut laufen... Außer du hast hier die Settings so hoch gedreht, dass dies auch nach über einer Stunde versucht wird.
Vielleicht finden wir so irgendwie den Fehler ;)
-
Erst mal vielen Dank für Eure Antworten,
Zu Euren Fragen:
Beide Seiten haben eine feste IP DynDNS spielt also keine Rolle.
Die variante mit dem Reboot habe ich ja schon, Ziel sollte aber sein daß das ohne reboot funktioniert.
Der Tunnel kann ja theoretisch auch sonst mal unterbrochen werden und sollte sich dann wieder aufbauen.
Bei der Zwangstrennung ist die Zeit halt bekannt deshalb funktioniert die Variante "Reboot".
-
Feste IP und 1h nächtliche Zwangstrennung? Was ist das für ein Provider?
-
natürlich die deutsche T....
Dass die Zwangstrennung durch denProvider eine Stunde dauert glaube ich eher nicht. So wie es aussieht läuft auf der DSL-Seite auf dem Router/Firewall (Sophos) irgendein Job. Genaueres kann ich da nicht sagen, der Betreiber dieses Routers schwört aber Stein und Bein dass er nichts blockiert. Was sich ja eigentlich dadurch bestätigt dass der Tunnel beim reboot wieder aufgebaut wird.
-
Moin,
wurde das Problem bereits gelöst?
Ich habe mir gerade die OPNsense eingerichtet ähnliches Problem.
Allerdings funktionieren nach der Zwangstrennung wohl auch gelgentlich keine Portweiterleitungen mehr (wirklich keine der eingerichteten), nach einem Neustart ist alles wieder erreichbar.
Ich habe 2 Synology an 2 Standorten. Auch wenn ich nur die PPPoE-Verbindung neu aufbaue, was nur eine Sekunde dauert und ich habe eine neue IP (feste IP habe ich nicht), kann ich die Tunnel nicht wieder aufbauen, bis ich die OPNsense neu gestartet habe.
Abgesehen davon habe ich auch Probleme die Telefonanlage hinter der OPNsense zuverlassig ans Laufen zu bekommen, aber das habe ich in einem anderen Thema bereits angesprochen.
Mit freundlichem Gruß
Andreas
OPNsense lauft auf einem separaten Rechner mit 3 Netzwerkkarten (keine VM).
1&1 -> Vigor 130 alsl reines Modem -> OPNsense -> Switch -> Synology
-
Hallo Andreas,
wirklich gelöst wurde das Problem bisher nicht, es hat sich aber gezeigt daß das Problem offensichtlich von der Sophos FW auf der DSL-Seite kommt.
Die OPNSensen werden inzwischen nicht mehr neu gebootet, nur die Sophos wird noch neu gestartet danach kommt der Tunnel sofort wieder hoch.
Das scheint ein bekannter Fehler auf der Sophos zu sein der zwar nicht allzu häufig auftritt aber ab und zu vorkommt.
Bei Deiner Beschreibung fällt mir auf dass du nach der Zwangstrennung eine n neue IP bekommst, kann denn diese IP über einen DYNDNS-Dienst dann auch aufgelöst werden. Möglicherweise ist das der Grund dass der Tunnel nicht mehr hoch kommt.
-
Moin,
nach dem Cronjob, um einer Zwangstrennung zuvor zu kommen, zeigt mir DynDNS in der OPNsense sofort die korrekte externe IP an. OPNsense neu gestartet und ich kann den VPN zwischen den Synologies wieder neu aufbauen, was allerdings aufgrund der Dauer der Trennung und Unterbrechung des sämtlichen Netzwerkverkehrs (DHCP Server auf der OPNsense) nicht so ideal ist.
Mit freundlichem Gruß
Andreas
-
Hallo Andreas,
hängen die OPENsense'n direkt am DSL oder ist da noch was vom Provider davor (FritzBox, DSL-Modem etc.)?
Kommt im LiveLog auf der OPNSense noch was an oder siehst Du überhaupt kein Datenpaket mehr.
In meinem Fall ist es so dass die Sophos die DSL-Leitung steuert und die Wireguard Ports auf die OPNSense forwarded. Dieses Forwarding funktioniert auf der Sophos nach der Trennung nicht mehr (OPNSense sieht kein Datenpaket mehr).
Gruss Jürgen
-
Hallo Jürgen,
die OPNsense verbindet sich direkt per PPPoE über ein externes Modem mit dem Internet. Direkter geht es bei DSL nicht oder?
Im Livelog passiert noch etwas, aber nichts, was darauf schließen lässt, warum keine Verbindung stattfinden kann.
Mit freundlichem Gruß
Andreas
-
Hallo Andreas,
können beide Seiten die Verbindung aufbauen? Ich meinte mit dem Livelog ob du dort siehst dass die Gegenseite versucht die Verbindung zu initieren wenn dort z.B. ein Dauerping läuft und währenddessen die Verbindung getrennt wird.
Ich nehme mal an "normales" Internet geht.
Gruss Jürgen
-
Moin,
nein, ich kann nicht erkennen, dass benötigter Verkehr rein oder raus geht. Im Livelog sieht es so aus, als wenn die Geräte nichts machen. Egal ob intern oder extern (extern eine Synology, die zu meiner internen Synology einen VPN aufbauen soll).
Bei den letzten Malen war es anscheinend egal, ob ich das interne Gerät oder die OPNsense neu starte. Es sah so aus, als wenn nur Verbindungen betroffen sind, die zuvor eine ständige Verbindung per Portweiterleitung zu einem Dienst (VPN oder VoIP) hatten. Portweiterleitungen, welche nur auf Anfrage manuell genutztt werden, funktionierten. Nur die Dienste meiner Telefonanlage neu zu starten reicht nicht. Also entweder jeden Client neu starten oder die OPNsense neu starten. Zweites ist einfacher.
Bei mir liegt alles auf einem Synology-NAS, auch die Telefonanlage in einer VM über ein VLAN. WireGuard läuft ebenfalls auf der Synology in einer VM. Es lief aber auch schon mal gar keine Weiterleitung. Es ist immer etwas anders.
Die Telefonanlage habe ich mal mehrere Stunden in diesem Zustand gelassen, um zu gucken, ob einfach irgendetwas Zeit benötigt, um die neue externe IP zu registrieren, aber es war ein Neustart nötig. Die Telefonanlage zeigte beim registrieren der Leitungen ständig einen Timeout, speich der Server wird nicht erreicht oder die Antwort kommt nicht zurück. Ich vermute zweiteres, da sonst ein "Server unreachable" kommen müsste. Daher war auch schon die Vermutung, ob es an den static portforwarding liegt, aber das kann eigentlich nicht sein, da sich intern nichts ändert. Oder werden dann bei einer anderen externen IP nichts weitergeleitet, da die Anfragen über eine andere externe IP reinkommen und es dann nicht mehr "Static" wäre?
Mit freundlichem Gruß
Andreas
-
Was passiert bei dir, wenn du im Fehlerfall folgenden Cronjob ausführst?
System -> Einstellungen -> Cron
Neuen Job anlegen. Uhrzeit 1 Minute nach jetzt stellen, damit der kurzfristig ausgeführt wird.
* Heißt jede/r, speich jede Stunde / jeder Tag etc.
Befehl: Update and reload firewall aliases
Parameter: wan (kleingeschrieben)
-
Ich habe die OPNsense heute Nacht nicht neu starten lassen. Der VPN wurde ca. 32 Minuten nach Erhalt der neuen externen IP neu aufgebaut. 1 Minute nach Neustart sollen sich die Aliase aktualisieren. Ich entdecke keinen konkreten Verlauf, wann eine Neuverbindung wieder klappt und wann nicht, außer nach Neustart.
-
Moin Jürgen,
ich habe die Einstellungen der Firewall nochmals durchfortstet.
Hast Du bereits folgendes Probiert? Mein Test steht noch aus...
Firewall -> Einstellungen -> Erweitert
1. Filterung statischer Routen
2. Dynamic state reset
Zweiteres hört sich vielversprechend an.
-
Ich habe nur Punkt 2 probiert. Nach Trennung und Erhalt einer neuen IP hat die Neuverbindung ca. 1/2 Minute gedauert. Erstmal musste die Synology den Verlust des VPN registrieren und hat dann innerhalb ein paar Sekunden neu verbunden. Ich hoffe, dass es so bleibt.
-
mal eine ganz doofe frage, du machst du vpn über die sysnology, warum das, warum nicht über die sense?
-
Ich habe nur Punkt 2 probiert. Nach Trennung und Erhalt einer neuen IP hat die Neuverbindung ca. 1/2 Minute gedauert. Erstmal musste die Synology den Verlust des VPN registrieren und hat dann innerhalb ein paar Sekunden neu verbunden. Ich hoffe, dass es so bleibt.
Hallo Andreas,
nein den hatte ich bisher nicht probiert weil ich ja im Prinzip statische IP-Adressen habe.
Bei einem "normalen" DSL Anschluß, damit meine ich ohne SIP-Trunk, macht die Telekom weiterhin eine Zwangstrennung man kann aber im Router einen haken setzen dass man eine feste IP möchte, damit bekommt man wieder die selbe IP. Aber Du hast recht, es ist ja eine Trennung der Leitung, ich werde das mal testen, tut ja nicht weh.
Danke für den Hinweis.
Gruß Jürgen
-
Moin micneu,
auf der anderen Seite befindet sich nur eine FritzBox und eine Synology. Da ist es einfacher 2 VPN-Tunnel mit unterschiedlichen Protokollen zwischen den Synology aufzubauen, da es nur um die Datensynchronisation zwischen den beiden Synology-NAS geht.
Leider wird der VPN direkt wieder als verbunden angezeigt, jedoch erreicht meine Synology nicht die Apps auf der entfernten Synology. Auch hier steht die Verbindung anscheinend erst wieder nach 1/2 Stunde korrekt. Ich verstehe nur nicht, wie der Tunnel als aufgebaut angezeigt werden kann, aber die Verbindung nicht korrekt zu stehen scheint.
Mit freundlichem Gruß
Andreas
-
ich habe zu 3 Fritzboxen VPN´s über die Sense am laufen, und das stabil seit die eingerichtet sind.
keine probleme nach trennung der dsl leitung.
meine gegenstellen sind:
- Fritzbox 7490
- Fritzbox 7590
- Fritzbox 6591
ich nutze auf den fritzboxen den dyndns von AVM, leider ist der sehr kryptisch, aber ich muss ihn ja nicht tippen.
melde dich wenn du willst richten wir das zusammen ein.
-
Auf der Gegenseite befindet sich eine 7490 (60km entfernt). Werden die Einstellungen in der FritzBox bei einem Backup gesichert und bei einem Firmware-Update erhalten? Die Oberfläche der FritzBox erreiche ich momentan nur über ein Portfreigabe, reicht das oder muss ich per SSH drauf?
DynDNS habe ich mit entsprechenden Subdomains bei Strato.
-
Am besten die fritzbox über die gui so konfigurieren das du per https drauf kommst (kann ich gerade nicht aus dem kopf sagen wie) wenn du den Dyndns von AVM nutzt. Ist das gut.
ich nutze für die fritzboxen auch myfritz. So hast du immer Übersicht über die fritzboxen.
Mit Startort als dyndns habe ich keine Erfahrung, ich hoffe das läuft gut damit.
Gesendet von iPad mit Tapatalk Pro
-
> ich nutze auf den fritzboxen den dyndns von AVM, leider ist der sehr kryptisch, aber ich muss ihn ja nicht tippen.
melde dich wenn du willst richten wir das zusammen ein.
Wir haben da erst kürzlich wegen einer pfSense Cluster-Installation nochmal heftig rumgetestet was geht und was nicht, evtl. kann ich da auch mehr beisteuern, da die AVM Crapkisten tatsächlich "mehr" können als AVM zur Konfiguration zulässt, man muss das nur über die cfg-files importieren statt in der UI. Hatte uns ziemliche Kopfzerbrechen bereitet.
> Die Oberfläche der FritzBox erreiche ich momentan nur über ein Portfreigabe, reicht das oder muss ich per SSH drauf?
Portfreigabe? Du meinst eher über die FB-eigene Verbindungsfreigabe "aus dem Internet", oder? Da muss normalerweise nix mit Port Freigabe gemacht werden, die FB ist dann einfach unter der WAN-IP:xyz Port erreichbar (und xyz ist konfigurierbar) :)
Und Per SSH auf eine FB? Ich glaube du sprichst da gerade von der Syno oder? ;)
Ansonsten wenn DynDns durch die Syno dahinter schon gemacht wird (oder custom auf der FB direkt eingetragen das Strato Dingens?) geht das auch beides :)
-
Anscheinend scheint mein Punkt 2 in den Einstellungen doch der Punkt gewesen zu sein, den ich ändern musste und der auch dem TE helfon könnte.
Die "halbe Stunde" scheint ein Problem bei Synology zu sein. Der VPN wird zwar neu aufgebaut, jedoch erreicht Hyper Backup die andere Syniology nicht. Erst wenn ich den VPN manuell trenne und wieder aufbaue, steht die Verbindung in Hyper Backup auch sofort. Es gab gerade ein Update für den Synology NAS, in dessen Changelog folgendes zu finden ist:
Fixed the issue where domain-related services might not resume working because the update of domain data could not be complete.
Leider hat das Update (auf beiden Synologies ausgeführt) mein Problem nicht behoben. Aber ich vermute, dass die Einstellung, die ich in der OPNsense vorgenommen habe, nötig war.
> Die Oberfläche der FritzBox erreiche ich momentan nur über ein Portfreigabe, reicht das oder muss ich per SSH drauf?
Portfreigabe? Du meinst eher über die FB-eigene Verbindungsfreigabe "aus dem Internet", oder? Da muss normalerweise nix mit Port Freigabe gemacht werden, die FB ist dann einfach unter der WAN-IP:xyz Port erreichbar (und xyz ist konfigurierbar) :)
Und Per SSH auf eine FB? Ich glaube du sprichst da gerade von der Syno oder? ;)
Ansonsten wenn DynDns durch die Syno dahinter schon gemacht wird (oder custom auf der FB direkt eingetragen das Strato Dingens?) geht das auch beides :)
Den Port gibt die FritzBox halt für sich frei, wie auch den Port 5060 für die Telefonie. AVM blendet diese Freigaben nur aus, damit die User diese Ports nicht "versehentlich" deaktivieren und sich beschweren, dass etwas nicht läuft. Wenn ich per Browser auf die FB zugreifen will, muss ich auch zwingend IP:Port in die Adresszeile eintippen.
DynDNS ist kein Thema, da bin ich mit meinem Stratoaccount für 17,-€ im Jahr gut bedient ;-)
Ich werde wohl mal die Möglichkeit ausprobieren, dass ich einen VPN direkt zwischen OPNsense und der FritzBox aufspanne. Allerdings muss ich die Zeit finden. Schlecht ist allerdings, dass der VPN der FritzBox recht langsam ist, jedoch haben beide Standorte eh kaum Bandbreite...
Alternativ würde ich auf der entfernten Synology eine WireGuard-VM auf der Synology installieren, wobei mir der VPN auf dem Router lieber ist, daher habe ich mir auch die OPNsense installiert, damit ich mein Netzwerk auch erreichen kann, wenn die Synology Probleme macht.
Mit freudlichem Gruß
Andreas
-
AVM hat gerade die Firmware für die 7590 aktualisiert (7.20) da soll das VPN 3x so schnell sein. (Ich kann bei mir keinen unterschied feststellen da meine Teilnehmer nur eine 50/10 Leitung haben)
Gesendet von iPad mit Tapatalk Pro
-
> da soll das VPN 3x so schnell sein
Mit was? (3)DES und MD5? :D Dass sie das 2020 immer noch überhaupt ausliefern bzw. bei ner IPsec Verbindung als Proposal schicken ist eine Beleidigung für das "P" in VPN. Das P bei AVMs VPN steht eher für Panne ;)
-
Ich habe nun die Verbindung zwischen OPNsense und FritzBox eingerichtet.
Wie verhindere ich die Trennung zwischen 47 und 60 Minuten.
In Minute 47 werden die Keys gelöscht (von der FritzBox oder von der OPNsense?). Danach ist keine Neuverbindung mehr möglich, erst nachdem die Lifetime der empfohlenen 3600 Sekunden (1 Stunde) abgelaufen ist oder ich irgendetwas in der Konfiguration des VPN auf der OPNsense ändere. Bis dahin werden die Anmeldeversuche der FritzBox aufgrund flascher Logindaten abgelehnt.
Auch wenn ich auf der FritzBox den VPN nur kurz trenne und dann wieder aufbauen will, wird die Verbindung abgelehnt.
Meldung der OPNsense an die Fritzbox:
charon: 10[IKE] <633> no IKE config found for 192.168.153.1...79.197.254.212, sending NO_PROPOSAL_CHOSEN
Fehlermeldung in der FritzBox:
VPN-Fehler: "DynDNS-Adresse", IKE-Error 0x2026
https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/018/hilfe_syslog_122
Wäre ja schön, wenn der VPN durchgängig laufen würde...
Welche Ports muss ich denn auf der OPNsense definitv weiterleiten, um nicht zu viele freizugeben? Diese leite ich dann von * auf die IP der Firewall weiter? Zumindest habe ich es nun so gemacht.
Besser per PN, um das Thema nicht zu kapern, neues Thema oder geht es hier?
Mit freundlichem Gruß
Andreas
-
Um 2:30 Uhr war die Zwangstrennung. Ich habe alles bis eben stehen lassen, aber es war keine erneute Verbindung möglich (ich habe die FQDN von Strato und keine festen IPs eingetragen). Ich habe auf der OPNsense die Tunnel de-/aktiviert, IPsec neu gestartet, den Pre-Shared-Key geändert und zurückgeändert... Schlussendlich half nur ein Neustart der OPNsense und der Tunnel stand wieder. Das kann doch aber keine Lösung sein?
Edit: Nach kurzer Zeit wird zwar der VPN auf der FritzBox immer noch grün angezeigt, jedoch erreiche ich die Geräte jetzt nicht. Direkt nach dem Neuaufbau war dieses möglich. Gestern Abend war diese auch während der 47 Minuten mögich.
-
> da soll das VPN 3x so schnell sein
Mit was? (3)DES und MD5? :D Dass sie das 2020 immer noch überhaupt ausliefern bzw. bei ner IPsec Verbindung als Proposal schicken ist eine Beleidigung für das "P" in VPN. Das P bei AVMs VPN steht eher für Panne ;)
nein das machen die nicht mehr, hier habe mal eine anleitung erstellt.
keine Garantie das alles richtig ist, aber bei mir läuft es so.
-
@Schubbie bitte mal deine konfig von der ipsec verbindung zu der fritzbox posten (als bild bitte)
und vergleiche mal meine anleitung mit deinen einstellungen.
-
(OT:)
> nein das machen die nicht mehr, hier habe mal eine anleitung erstellt.
Doch genau das machen sie. Ich hab hier mehrere aktuelle FBs und wenn du dir das Proposal beim Verbindungsaufbau anschaust, kommen die noch mit DES und 3DES im Proposal der P1. Das ist armselig. Kann sein, dass sie das in ihrer neuen Laborfirmware jetzt endlich raushaben, aber der letzte 7.1x Stand hier auf den Boxen macht das noch genau so. Und der war bis vor wenigen Tagen noch aktuell. 2020. Grausam.
Und ja es wäre sinnvoll die IPSEC P1 und P2 Settings der Sense und wie du die Fritte konfiguriert hast hier zu posten, damit man sehen kann, ob/was vllt auffällt. Wir haben die Dinger jetzt soweit stabil hinbekommen, dass sie eigentlich alle 60min ihren Neuaufbau machen und sich auch gleich wieder verbinden (auch wenn es bescheuert ist, dass P1 und P2 auf 3600 gelockt sind, was definitiv nicht OK ist).
-
@JeGr hast du in meine anleitung geschaut?
ich mache es da mit aes
-
Vielen Dank für die Unterstützung. Ich versuche heute Abend nochmals Zeit zu finden., Screenshot mit dem Handy macht keinen Sinn
Ein Reconnect alle 60 Minuten ist in beiden von Euch beschriebenen Fällen notwendig?
/*
* C:\Users\Andreas\AppData\Roaming\AVM\FRITZ!Fernzugang\elke_xxx-home_de\fritzbox_elke_xxx-home_de.cfg
* Wed Jul 22 08:55:32 2020
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "dns.xxx-home.de";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "dns.xxx-home.de";
localid {
fqdn = "elke.xxx-home.de";
}
remoteid {
fqdn = "dns.xxx-home.de";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "0dU8zensiert1cd3bf 8bTbbwa3cc9bb1a1";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.53.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.153.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip any 192.168.153.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
-
leider sehe ich in deiner skizze keine ip´s welche seite was hat.
und laut deinem bild hast du 2 sense (je vpn seite eine)
dann braucht man ja auch keine vpn zu der fritzbox.
oder verstehe ich deinen aufbau und dein vorhaben nicht?
du willst zwischen 2 standorten eine vpn laut deinem bild mit wireguard, jetzt sind wir mit ipsec und vpn bei der fritzbox. was ist das problem bitte genau.
- warum ist die vpn nicht zwischen den beiden sense aufgebaut, was ist das problem?
- warum wurde nicht über die beiden sense openvpn gemacht?
- sind auf beiden seiten die sense das standard gateway?
- sind auf beiden seiten modems oder router vor der sense?
- wenn du router hast, sind die ports auf die sense durchgereicht auf die sense (exposthost)?
kannst du mal bitte eine einen netzwerkplan zeichnen in der auch die ip´s der entsprechenden netze mit drin sind.
-
@micneu Du meinst mich?
Ich nehme mir heute Abend mehr Zeit, wenn ich sdiese finde und mache Screenshots.
Beide Seiten haben einen DynDNS, somit müssen FQDN eingetragen werden. Das sind dann DNS.xxx-Home.de für meine OPNsense und für die entfernte FritzBox elke.xxx-home.de (xxx ist ein Platzhalter).
Mit freundlichem Gruß
Andreas
-
ja, ich glaube ich hatte dir sogar angebot dich zu unterstützen. kannst dich gerne melden bei mir
PS: keine ahnung welche firmware du hast, aber man benötigt nicht mehr diese avm tool um vpn´s zu erstellen das geht jetzt direkt in der fritzbox. und nochmal ein beispiel für einen netzwerkplan (ist nicht perfekt, man sieht aber alle wichtigen angaben für das netzwerk)
-
Ich habe jetzt erst den ganzen Text von dir angezeigt bekommen.
Nun sind wir glaube ich etwas durcheinander.
WireGuard soll für meine mobilen Geräte sein, aber unabhängig von dem Site2Site-VPN. Ich könnte theoretisch auf der entfernten Synology eine WireGuard VM installieren.
OpenVPN bieten beide Synologies, jedoch bricht der VPN nach Zwangstrennung ab und benötigt 1/2 Stunde zum Wiederaufbau, bis dahin melden die Synologies, dass der Verbindungsversuch gescheitert ist.
Daher kam hier der Vorschlag mit VPN zwischen FritzBox und OPNsense und die Möglichkeit des Site2Site-VPN gefällt mir.
Aufbau wie folgt, bei meinem Standort angefangen:
Synology (bzw. Netzwerk) -> Switch -> OPNsense -> Modem PPPoE -> DNS.xxx-home.de <-> elke.xxx-home.de -> FritzBox 7490 -> Synology
Die FritzBox steht bei Mutti, welche keinen Plan von Technik hat. Meine Daten sichern nachts über den VPN auf die Synology und wenn Mutti etwas am Rechner macht, wird ihr Ordner in der Synology mit einem Ordner auf meiner Synology direkt synchronisiert, so dass ich dann mal fix Word-Dateien oder sonstiges formatieren kann, mir Schreiben durchlese oder sonstiges und ihre Daten gleich bei mir auf dem RAID liegen.
Mit freundlichem Gruß
Andreas
-
trotzdem verstehe ich deinen netzwerkplan nicht, passt irgend wie nicht zu dem was du hier beschreibst)
-
Ich bin nicht der TE, sondern habe mich hier eingeklinkt. Daher meine vorherige Frage, ob ich ein eigenes Thema eröffnen soll. Vielleicht liegt hier das Verständigungsproblem. Eine Skizze habe ich nicht eingestellt, ich nehme an, dass du die aus dem ersten Post meinst, der nicht von mir ist.
Mit freundlichem Gruß
Andreas
-
@JeGr hast du in meine anleitung geschaut?
ich mache es da mit aes
Lies nochmal was ich geschrieben hatte Mic, das war nicht was ich gesagt habe. Natürlich _geht_ es mit AES, aber dass sie 2020 überhaupt noch im Proposal mit DES/3DES antworten(!) ist eigentlich ein Unding, wenn man ein "private" Network aufbauen will. Ja sie haben AES gelernt. Wow. Aber dass die Boxen valide(!) immer noch mit unsicheren Settings einen Tunnel aufbauen ist absolut schwach.
@schubbie:
füge in deine .cfg für die FB mal
editable = yes;
unter dem enabled mit ein, dann ist das Ding plötzlich in der UI auch editierbar ;)
zusätzlich kannst du noch eine IP mit
keepalive_ip = <ip>;
mit einbauen, vllt. deine Synology, die dann von der FB gepingt wird. Das sollte den Tunnel ordentlich offenhalten.
-
Moin,
ich hatte zwischenzeitlich per eMail Kontakt zu micneu, danke hierfür.
Einiges habe ich ausprobiert, was aber nur immer nur kurzfristig nach Besserung aussah.
Jetzt habe ich mir vorhin nochmals eine Doku von OPNsense durchgelesen:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html
So habe ich meine ganzen Freigaben gelöscht und nochmals neu angelegt. Danach habe ich beide Seiten diverse Male gestartet und der längste Neuaufbau des VPN hat ca. 1:10 Minuten gebraucht, wo zuvor es häufiger nicht ging. Auch die Fehlermeldungen sind verschwunden. In der FritzBox konnte man diverse Versuche den VPN aufzubauen beobachten und in der OPNsense charon: 10[IKE] <633> no IKE config found for 192.168.153.1...79.197.254.212, sending NO_PROPOSAL_CHOSEN im Log für IPsec lesen, was nun bei Neuverbindung auch nicht mehr auftritt.
Der Fehler war hier ein ganz einfacher. Blöderweise bin ich als bluriger Anfänger davon ausgegangen, dass ich die Regeln auch unter Firewall --> NAT --> Portweiterleitungen eintippen kann, jedoch müssen die lt. obigem Link jedoch direkt unter Firewall --> Regeln --> WAN eingegeben werden und zumindest der Neuaufbau flutscht nun anscheinend Reibungslos.
Davor hatte ich das Problem, dass der Tunnel nur noch wenige Minuten Daten übertragen hat. Der wurde in der FritzBox ständig als verbunden angezeigt, aber es gingen keine Daten mehr durch. Ich hoffe, dass das damit erledigt ist.
Bei der Portweiterleitung denkt ihr vermutlich, dass das ein blöder Anfängerfehler ist ;-) Aber es ist meine erste Firewall (außer dem Ubiklicki Kram), die ich mir einrichte und Beruflich bin ich weit weg von der Materie...
Vielleicht hat der TE ja ähnlichen Fehler gemacht.
Bisher habe ich also folgendes gemacht:
Firewall --> Erweitert --> Dynamic state reset [checked] Reset all states when a dynamic IP address changes.
Und Portweiterleitung neu eingerichtet: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html
Mit freundlichem Gruß
Andreas
-
Ich kann wohl abschließend sagen, dass es bei mir daran lag, das ich die Regeln unter NAT --> Portweiterleitungen angelegt hatte und nicht direkt unter der Schnittstelle als Regel. Seit dem ohne Probleme, auch wenn man es mit manuellen Neuverbindungen übertreibt.
Ich hatte die Weiterleitungen unter NAT eingerichtet, da es in einem ToDo zu Telefonanlagen so beschrieben wird, die allerdings auch noch ein wenig zickt. Da trage ich die Regeln testweise auch demnächst anders ein.
Aber kann mir bitte jemand den Unterschied erklären? Trage ich die Portfreigaben unter NAT ein, dann wird doch automatisch eine Regel erstellt. Worin besteht da nun der Unterschied? Hat die Portweiterleitung im NAT Nebenwirkungen, die in meinem Fall zu solch ein Fehlverhalten führen?
Schön wäre es auch, wenn sich der TE meldet, ob er bereits weitergekommen ist.
Mit freundlichem Gruß
Andreas