Messages

Du brauchst auf beiden Seiten EINE Phase 1 mit DREI P2. Dann also entsprechend auf der Opnsense Seite so:

OPN:
P1 blabla
P2
Local 192.168.2.0/24 Remote 192.168.1.0
Local 192.168.3.0/24 Remote 192.168.1.0
Local 192.168.4.0/24 Remote 192.168.1.0

FritzBox:
P1 blabla
P2
Local 192.168.1.0/24 Remote 192.168.2.0/24
Local 192.168.1.0/24 Remote 192.168.3.0/24
Local 192.168.1.0/24 Remote 192.168.4.0/24

Aber das die Verschlüsselungsparameter etc. identisch eingestellt werden müssen, ist ja klar. sonst können die Router keine Verbidung aushandeln.

Hi,
ich hatte vor kurzem das selbe Problem. Bei mir lag es daran, dass ich die P2 geklont habe (Opnsense) und nicht "neu erstellt" habe.

Also Grundsätzlich reicht es natürlich, wenn du eine Phase1 verwendest, in der du dann drei P2 Einträge, also die Subnetze die du erreichen willst, einbaust. Dort auch wieder drauf achten, das die Parameter, bis auf die IP's identisch sind.

Die Phase 2 sieht dann in etwa so aus, angenommen 192.168.1.0/24 ist das OPNSense Netzwerk und 192.168.2.0, 3.0, 4.0/24 die drei Fritzbox Netze:

OPNSense
P2:
Local: 192.168.1.0/24  Remote: 192.168.2.0/24
Local: 192.168.1.0/24 Remote: 192.168.3.0/24
Local: 192.168.1.0/24  Remote: 192.168.4.0/24

Fritzbox:
P2:
Local: 192.168.2.0/24  Remote: 192.168.1.0/24
Local: 192.168.3.0/24  Remote: 192.168.1.0/24
Local: 192.168.4.0/24  Remote: 192.168.1.0/24

Ich arbeite bei solchen Einstellungen immer mit IP Adressen, du kannst ja im Dropdown Menu auch die Interfaces auswählen - davon rate ich ab, wegen der Übersicht.

Dann musst auf beiden Firewalls für IP Sec auch den Traffic erlauben. Zum Testen würde ich aber erst einmal eine "Permit any any" Regel für IPSec einbauen, um zu sehen, dass die Verbindungen überhaupt zustande kommen. Wenn das immer noch nicht klappt -> mal ein Blick in die Logausgabe werfen.

Hi,
ist denn auch das Zielnetz für die OpenVPN Clients geroutet, sodass sie prinzipiell dahin kommen?
VPN -> OpenVPN -> Server -> xyz ->  IPv4 Local Network: dort müssen alle Netze eingetragen sein, die erreichbar sein müssen, zusätzlich zur Firewall Regel.

Hi,
ich komme nicht weiter: ich habe einen IPSec Mobile Clinet Tunnel erstellt und komme mit Win10 und Andriod nicht in Phase1. Fehlermeldung ist immer

Code Select Expand

charon: 12[IKE] <427> no IKE config found for 10.27.20.200...82.198.197.137, sending NO_PROPOSAL_CHOSEN

P1:
IKEv2
Auth: Mutual PSK+ Xauth
My Ident: meine externe IP
PSK: Ein Passwort

Enc Algorithm: AES 256
Hash: SHA256
DH: Gruppe14

P2
Mein Netz + fürs Testing sämtliche Encryption Protocols enabled.

Mobile Clinet: Netz bereitgestellt, Auth Server selected.. sieht alles gut aus.


Wenn ich mit WireShark auf Window Seite den Traffic verfolge steht im Payload immer: IKE Attribute AES-CBC KEy Length: 256.

AES-CBC kann ich in P1 aber gar nicht auswählen und ich denke deswegen kommt es zu der Fehlermeldung, weil die Server sich nicht auf eine Sicherheit einigen können. Oder ist AES-CBC default im OPN?

Übersehe ich einen Fehler?

IPSec Site2Site Verbindungen habe ich ganz gut im Griff, daher sehe ich jetzt erstmal keinen offensichtlichen Fehler. Ich habe auch schon alle Einstellungen aus dem OPNSENSE Howto IPSec Road Warrior Tutorial durch, selbes Ergebnis.

Bin für Hinweise Dankbar!

Problem gelöst. Man darf den Phase2 Entry nicht clonen und anpassen, sondern muss ihn von scratch auf neu einrichten.

Durch Zufall bin ich auf einen 3 Jahre alten Thread gestoßen, wo es jemand berichtet:
https://forum.netgate.com/topic/80051/cannot-get-multiple-phase-2-to-work-on-site-to-site-pfsense-2-2/8

Die richtige Phase2 lautet demnach für mein Setup siehe screenshots. Vielleicht hilft es anderen weiter.

Hallo,
ich stehe gerade vor einem Rätsel, mir ist noch nicht klar, wie ich verschiedene Netze im IPSec route. Im OpenVPN ist es für mich ganz einfach, dort trage ich die entsprechenden Netze, die in einer ovpn s2s Verbindung erreichbar sein sollen, in die Remote Netze spalte ein.

Aber IPSec? Wie muss es dort aus sehen? Für jedes Netz, dass ich Routen will eine Phase2 einbauen? Falls ja, muss das aussehen?

Verbindungsdiagramm (exemplarisch):

[192.168.229.0/24]
             |
             |
  WAN (ovpn S2S)
             |
             |
[OPNSense 18.1.12 Main Server]
             |
             |
   WAN (IPSec S2S)
             |
             |
[192.168.140.0/24]


Es gibt 5 weitere S2S ovpn Verbindungen. Zwischen OVPN und dem Main Server funktioniert das Routing hin und her ohne Probleme. Auch die Verbindung vom IPSec zum Mainserver und zurück funktioniert gut.

Mein Ziel ist es, dass ich auch vom IPSec Standort zu den ovpn Verbindungen komme.

Was habe ich bereits getan?
Dem ovpn Standort die Route zum Netz 192.168.140.0/24 bekannt gegeben.
Meine Phase2 config auf dem Main Server sieht so aus:

localsubnet 172.27.0.0/22 remote 192.168.140.0 (funktioniert)
localsubnet 192.168.229.0/24 remte 192.168.140 (funktioniert nicht)

Phase2 auf IPSec Standort:
localsubnet 192.168.140.0/24 remote 172.27.0.0/22 (funktioniert)
localsubnet 192.168.140.0/24 remote 192.168.229.0/24 (funktioniert nicht)

Füs testing habe ich im IPSec FW eine allow any any Regel eingebaut.

Wo liegt der Hase begraben?
Danke!
PS: alle Standorte haben Opnsense latest gratest stable version.

You mean DH Key group "off"? changes nothing. there's a freaky 100 mbit wall, that i cant break through. I even attached a 1gbit switch and the status led's shows a 1gbit connection too.

Yip. There is no traffic sharper. its nearly a default setup. I changed the the settings to AES (128bit) + SHA256 +DH G14 and its not slower or faster than before.

Hi,
i just bought an Decisco OPNsense Dual A10 DC rack Appliancen and configured a IPSec Tunnel for testing purposes. So I connected the WAN interfaces directly and both are showing a 1000baste T <full duplex> Status at the Interface Overview.

So if I do some speed tests like iperf or downloading an big ISO file between the VPN Sites via wget, I allways got limited by 100MBit/s. What causes  that hard limit? Not 110, not 120, not 90 Mbit, every Time and test is allways limited by 100MBits. The WAN interfaces should deliver 1GBit. I woulnd expect 1GBit IPSec speed, but something round about 200MBit should be possible.

I'm confused.
PS: i played around with some other encyption algorithm from weak to strong - nothing has any impact on the speed.

Thanks for any hint!

Hallo,
ich nutze diverse OpnSense Installationen an Standorten (neustes release) und möchte nun auch schrittweise den DHCP Service + unbound DNS nutzen.

Ich schaffe es allerdings nicht, dass die DHCP clients an meinem Hauptserver (Windows AD-DNS) registriert werden und habe auch eine Vermutung:

Unter System -> General -> DNS Servers sind meine DNS Server vom Head Quarter eingetragen.

Unbound DNS versucht nun via default Interface (WAN) diese Server zu erreichen, was natürlich nicht geht. Wie kann ich unbound bei bringen, über welches Interface er die DNS Server erreichen soll (VPN Tunnel)? Ich vermute, dass er das WAN interface nutzt, weil ich via TCP Dump keine Anfragen auf dem HQ DNS Server von OpenSense empfange.

Wenn ich in meinem Testnetzwerk, wo das WAN interface mit dem Hausnetz Verbunden ist, das Szenario nachbaue, funktioniert es. Daher meiner Vermutung, dass ich irgendwie die Anfragen vom Default Interface durch den VPN Tunnel routen muss.

Im VPN Tunnel ist zwischen der Site 2 Site Verbindung alles erlaubt und sämtliche NSlookup und dig Befehle auf Clientsite Richtung HQ DNS Server funktionieren.

Vielen Dank für Hilfe und Anregungen!

Thank you, that was the solution!

Hi
I'm using an HA Setup. All configs and firewall rules are synced to the backup server. My clients uses the virtual IP as their gateway. If the master goes down, the connection will be shortly disconnected and the backup server starts to route them.
Now I'm wondering about the connection loss. I activated " Synchronize States" at the master. Shouldn't the connections switch seamless to the backup server?

I have only configured the HA connection at the master side, not at the backup side. is that my failure? Do I have to configure HA on both sides? I thought that is needless because the snyc of configs from master to slave is working.

thanks!

Hey,
i have a few interfaces in my setup and i'm able to collect much data for all them except of the openVPN Interace. I allways get the message "No Data Available". Please have a look a the attachment.

What I have done so far?
Rebooted the system,
restarted the services flowd_aggregate and samplicate

checked, that the openvpn interface is listed in netflow.

thanks for any advice!

Hallo,
danke für die Antworten.

Also Int 4 hat ein eingetragenes GW. Via Diagostics -> Ping kann ich von dem Interface aus auch das Internet erreichen (ping 8.8.8.8 erfolgreich).

Es gibt beim Interface 3 eine Regel:
Pass; Source *; Dest *; Gateway Int 4

beim Interface 4 gibt es zusätzlich die Regel:
Pass; Source Int 3; Dest *; Gateway Int 4

Dennoch bekomme ich aus dem Int3 keinen Erfolgreichen Ping Richtung 8.8.8.8.

Übersehe ich noch etwas?


##########

EDIT:

##########

Okay, von OpnSense Seite aus zu testen ist in diesem Fall nicht verifizierbar. Wenn ich den Test von einem Client in dem Entsprechenden Netz ausführe, dann geht es!

Vielen Dank!

Hallo,
ich habe hier einen OpnSense 18.1.6 Server mit mehreren Inferaces

Int 1 default Gateway, Static IP
Int 2 Internel Network
Int 3 WiFi Network
Int 4 LTE Router

Wie erreiche ich es, dass Int 3 via Int 4 ins Internet Routet? Beim Gateway in den Interface Settings vom Int3 kann ich das Gateway Int4 nicht angeben. Eine Firewall Regel * nach * via Gateway Int4 habe ich auch schon eingebaut.
Gateway Switching ist auch erlaubt.

Danke für Hinweise!
VG
Claas