Guten Tag,
ich habe eine OPNsense hinter einer Fritzbox 7590 eingerichtet, nicht im Bridge Mode, sondern Fritzbox über Lan an WAN OPNsenes.
Die Geräte sind Online und alle Netzte sind untereinander erreichbar (zum test alle Regeln in der Firewall gelockert).
Ich bekomme aber keine IPsec VPN zu einer anderen Fritzbox eingerichtet und denke das Problem liegt an den unterschiedlichen IP Bereichen, Routing etc.
Mit fehlt hier ehrlich gesagt auch das Verständnis und ich konnte auch keine Ipv4 Beispiele finden.
Ich habe bisher von jedem Router (CISCO, UML etc) eine VPN zu einer Fritzbox aufbauen können, habe aber noch nie eine Router Kaskade eingerichtet und auch keine Berührungspunkte mit mehreren IP Netzen.
Bei beiden Anschlüssen handelt es sich um VDSL IPv4 Anschlüsse mit fester IP, besser geht es nicht..
Die Fritzbox vor der Opnsense hat die IP 192.168.2.1
In der Fritzbox ist für die IP 192.167.2.7 (Transfer zur Opnsense) exposed host eingestellt, die Ports VPN Ports dann trotzdem noch mal manuell eingegeben 500, 4500 und ESP freigegeben.
VPN Benutzer sind deaktiviert.
Opnsense
Der WAN Port hat die 192.168.2.7 (im IP Bereich der Fritzbox und von dieser zugewiesen).
Am WAN Port ist DHCP aktiviert und der Haken bei "Block private Betworks" ist draußen.
Am WAN Port sind die Ports 500, 4500 und ESP freigegeben (wahrscheinlich irrelevant).
IPSEC komplett offen zum test.
LAN 1 192.168.1.1 und LAN 2 LAN 192.168.3.1 eingerichtet und ebenfalls DHCP aktiviert.
LAN 1 und LAN 2 ist ebenfalls komplett offen in der Firewall.
IPsec ebenfalls komplett offen.
Die gegenstelle also Fritzbox Standort B zeigt immer Timeout als Fehler.
Die OPNsense sagt nur
Oct 15 15:16:10 charon: 15[NET] <con1|13> sending packet: from 192.168.2.7[500] to 87.XXX.XXX.XXX [500] (488 bytes)
Oct 15 15:16:10 charon: 15[IKE] <con1|13> sending retransmit 1 of request message ID 0, seq 1
Es funktioniert also praktisch überhaupt nicht....
Kann das überhaupt funktionieren, wenn Opnsense als öffentlichen IP die WAN 192.168.7.2 (statt der richtigen öffentlichen) zu öffentliche IP Standort B Port anzeigt?
Connection Version Local ID Local IP Remote ID Remote IP Local Auth Remote Auth Status
(con1) IKEv1 192.168.2.7 192.168.2.7 87.XXX.XXX.XXX 87.XXX.XXX.XXX pre-shared key
Der erste Berührungspunkt muss doch die öffentliche IP sein sonst geht die Verbindung ins leere oder ist das schon richtig?
Wenn nicht was muss ich tun?
VPN der OPNsense
Remote Ip die öffentliche IP des VDSL Anschlusses [87.XXX.XXX.XXX]
Local IP die 192.168.3.0/24
VPN Standort B Fritzbox
Remote IP die öffentliche IP meines VDSL Anschlusses [217.XXX.XXX.XXX]
Local IP der Fritzbox 192.168.10.0/24
Ich würde mich über eine Antwort freuen.
Wird ein Authentifizierungsfehler im IKE Protokoll sein. Denn die FritzBox kann kein 1:1 NAT. So wird niemals eine Verbindung zu Stande kommen. Bevor du da unnötig Zeit verschwendest, es liegt definitiv an der FritzBox, die die IKE Pakete nicht von UDP 500 an UDP 500 weiterleiten kann.
Damit das richtig funktioniert musst du die Sense PPPoE machen lassen.
Oder zu OpenVPN oder Wireguard wechseln.
Vielen Dank für deine Antwort.
Bitte entschuldige die späte Rückmeldung ich hatte überhaupt keine Zeit.
Danke dann werde ich es nicht weiter versuchen, bin fast verzweifelt.
Die Fritzboxen kann man nicht im Bridgemode betreiben und ein anderes Modem kommt nicht in Frage. Es sind noch Analoge Geräte angeschlossen, die sich aktuell nicht austauschen lassen.
Ich werde mich an OpenVPN versuchen.
moin, zur fritzbox und deinen analogengeräten. ich habe es bei mir so das ich ein drahtet modem habe und die fritzbox NUR als telefonanlage einsetze. so kann ich alles machen und die kosten sind auch nicht so hoch.
Ich habe mal einen plan meines netzwerks angehängt.
(https://uploads.tapatalk-cdn.com/20191020/2b073008cadd095d44249167c646e87c.gif)
Gesendet von iPad mit Tapatalk Pro
Vielen Dank für deine Mühe, so möchte ich es jetzt auch realisieren bzw. habe gestern einen test gemacht.
Ich habe das mit Openvpn dann doch verworfen, da IPSec aktuell noch wichtiger scheint, sonst muss alles neu eingerichtet werden, da es um mehrere Standorte geht.
Gestern habe ich einen test mit einem Zyxel VMG1312 im Bridgemode gemacht. Ein Tipp falls jemand den gleichen Router haben sollte und Probleme mit VDSL 50 (geringe Bandbreite). Es gibt eine aktuelle Firmware aber nur auf der Telekom Homepage nicht bei Zyxel.
Jedenfalls habe ich mit dem Zyxel im Bridgemode und VLan7 vor der OPNsense Standort A direkt eine VPN zur Fritzbox Standort B aufbauen können. Die Fritzbox Standort A hinter der Opensense habe ich in den Clientmodus umgestellt und an einen Lanport der Opensense angeschlossen. Die in der Fritzbox eingetragene VoIP Nummer (Telekom) wurde auch registriert, aber telefonieren funktioniert aktuell leider nicht (die Anrufe werden aber angezeigt). Ich nehme an es liegt an einem Port und ich kann das bestimmt lösen, da ich jetzt ja bereits die Bestätigung habe ohne gefragt zu haben ;D
Ist zwar Off Topic, aber um die FB als Telefonanlage laufen zu lassen, gibt es im Netgate Forum ein Thread dazu.
https://forum.netgate.com/topic/106986/howto-telekom-voip-einstellungen (https://forum.netgate.com/topic/106986/howto-telekom-voip-einstellungen)
Kannst Du quasi 1 zu 1 übernehmen.
Bei vielen reicht das schon, hier looft es seit über einem Jahr einwandfrei. Aufpassen bei der FB, die FW 7.12 ist buggy.
@micneu
AVMs Schlachtschiff zur Telefonanlage degradiert, geil. ;D
@mike69 was soll man mit dem sonst machen, als modem kann man es ja leider nicht einsetzen. meine 7490 habe ich zum testen von dsl. ich kenne noch zeiten in dem die fritzboxen sehr gute modems wahren.