Guten Morgen,
ich bräuchte mal wieder Eure Hilfe, wie schon all zu oft in den Letzen Tagen!
Ich würde gerne mal OpenVPN und IPsec in der OpnSense gegenüberstellen. Jetzt habe ich versucht mir der Dokumentation
https://wiki.opnsense.org/manual/how-tos/ipsec-road.html (https://wiki.opnsense.org/manual/how-tos/ipsec-road.html)
Die zu tun, bekomme aber immer Fehlermeldungen. Habe auch festgestellt, dass die Doku nicht aktuell ist.
Hat jemand eine Doku die ich verwenden kann?
Viele Grüße
Stephan
Hallo Stephan,
was genau passt denn nicht oder was möchstest du wissen?
Meine Meinung:
- OpenVPN eignet sich für Roadwarrior besser weil:
- Freie Clients für alle Plattformen verfügbar sind
- Sicherheit in Sachen Verschlüsselung frei konfigurierbar ist. (Wenn du IPsec ohne Client machst musst du dich an die Vorgaben von Microsoft bzw. Apple richten was die integrierten IPsec Clients können.
- Gute Performance und flexibel mit TUN/TAP
Ich verwende IPsec hauptsächlich zur Standortvernetzung weil es alle anderen Produkte unterstützen, also für Site-to-Site Tunnel. Für Roadwarrior verwende ich es nur wenn nur die integrierte OS Funktionalität verwendet werden darf oder die Leute sich an der Windows-Domain anmelden sollen. (Das geht allerdings mittlerweile mit dem Service von OpenVPN auch)
Hallo,
was nicht passt, kann vielfältig sein da die Doku ja etwas veraltet ist! Es wäre toll, wenn mir jemand sein Setup schicken könnte für IPsec RoadWarrior und ich es einfach zum Testen übernehmen kann. Als Client nutze ich NCP.
Ich denke, das wäre die einfachte Version.
Viele Grüße
Stephan
So,
habe jetzt mal meine Konfig kopiert und hoffe es kann mit jemand sagen wo mein Fehler ist! Finde den einfach nicht!!
Hir meine zwei Phasen im Überblick:
(https://6vpmla.db.files.1drv.com/y4maHSH5PiAmhkwpT99WnC64pGAbjbAygF4FISpjTST7AjKwZAlPeFChOWA18qq7FRMOGj7K8Ku2ZQ6YPS6x3-i_FUSr2UpZIImaSfFj4rCVZXcSh0R3rn4pt1SvjjLo5T3mWq4tFWXQ0NPSFsQCKWY620GgtqKs3CwBJLz1D-7O2IL_N_xcOx3FRfj29rTGvcXCXdxTDyTKlvuYPAekQLz9w?width=1464&height=227&cropmode=none)
Hier die Mobile_Client Einstellungen:
(https://6lpjla.db.files.1drv.com/y4mQTeFAwjZd7sEePPB0SL8TkA_gFZd-1Bz8xQ25_lroN_mHa2gSDRS_Emj3UINsud5R3a4Ql2o51TEYCSMOiDFnNjc0dqk52Dzv3s5-2RYzZJy_gtSxXlB0nnjKVjbiJZsx5k6OftaOGnhi9EpeIdcQJSFha91Ef4oaLSQ5aiuCMtdLoaKkua1vKeakodOchmAJnN9GEZO2kWtKFvOxIVDhg?width=777&height=853&cropmode=none)
Hier die Phase 1:
(https://6vpzla.db.files.1drv.com/y4mj7cuMVQ0cZ3deLNLjFkFGp0eIceTa7S4LyaPvi_D2JkBB4A03pRNZmAuHeHHaev_P1I3V7Tg9Mp2eNr7YP7J2mJ17WPQgLNeCBfoJSw8cECaUUFX7NoTvOK78_hYrSVAJoK3vJI81-dmpLbmFJndOlPtvRvFxGxfUSRbgtHApthWd27ESJ5nnuA7ca2OS6P4B3wdrZkhhqefq-o6f3BXvg?width=781&height=879&cropmode=none)
(https://6vpyla.db.files.1drv.com/y4m-eog5fa3siE1Cxg_b4-ED0zWMzQYsO2ldYVrNtlE6owhFsrP1mjcJeuk4-6pGGN2a8m_JaaqAVnlvw87qm5USdhxBiBYJ8Wjx8ubZcjGPqNQ70CcM2pCaxJ7vL7LesRoAn2tKxj2E6bkxmUcGpH8y_iyRvPCgTwIi4SHuVDzA2B_9zAz1B9gDro-7wz5MpKv4Doqf8zeYTJpJtEzE5lhFg?width=751&height=697&cropmode=none)
Hier die Phase 2:
(https://6lpgla.db.files.1drv.com/y4mCrAYdHy9WpKxhhNxHd9ljPapbqKUozc6Cu_DGuCet01mDm4_LDd9MNtw5kXSFTADzImsCyHI4Wofg1hwGvVozXF9nvaUNpil_jcPO3Jfweo0VnslITC1K5mzjl1Q6VO6ewNZt5e9zxxVTeuNkbdfs74yu6WVAwjUbbhanHxH_2uUcdNaUcMC7JbndwQLqU2QvyEltjdhRNcrjmY2ObCdkA?width=643&height=909&cropmode=none)
Hier die Benutzereinstellungen, wobei ich mir mit den Privilegs nicht sicher bin!?:
(https://6lpila.db.files.1drv.com/y4mO2BdI01e40xdeglFziNyZjz0QzGFe4UBFOUC4pPRdg3z4ZEFX0PdblOrEfph_zWO0qmcLU9Ja6GcyzcW6JlQkGrs_gQQOEov2qb-iF0LkjtGjrg-yeORLrxXXaTEf8JPurFBcOBBMtTf7-KzBuBlsiX0aKjqu4FpKZxRLXnvcNKB8ANur9jUO42lbSvgZ7_aVVuExDr0bH14hcyQBP0i2w?width=1551&height=165&cropmode=none)
Als Client benutze ich NCP:
(https://6lpnla.db.files.1drv.com/y4md2mj8qQGK-APCN_lSp7gkuZ9n2FU_21aWx5NFaaKC9UrVaXYaX4F9LU80TyNVwE-11Khodzb0MhYszjXHAJ5-c-OVSclGaO8niOz6a4D99mC8ZMqpBeRimYBYREV8H0wgCDT9XSosJeGHVRwu5mkMsWylZDtfiytEccaN-f500g9xkftL9ZNnuOe5Ocx1CgWLwYc28RORJxpDwy4CoK9oA?width=676&height=431&cropmode=none)
(https://6lpkla.db.files.1drv.com/y4mg0enoxhrbAoJtRb_inddmrH9eqtxtITgGsawTpS8Mme2xY1O8Cvsu5PtG3T7IEuuSjLt84PZHytsFWc0BcCjOU9ExZjjqVMgYS9Gxe0p0ue0AmWO7o5JwC5N7aEP83yX56r1FScSIFtGJugS2rl_EDMwKTcpym89PRu1SJ2LVdr4qKWxVu_KnbipgHxLKrBt6Con-DwUeR8P6wdR9XUtwQ?width=676&height=431&cropmode=none)
(https://6lpzla.db.files.1drv.com/y4mnyV_SWSUqKgbOMDKhHmJUlzgKZSoDF5njJAYaXT32EZKdR_C-H3JuPFWbaTG5CZpQHgyoOlfuy6OAjHOLxOWig3xafdSkxHpxaTFjEYY53H6SsO475g6kYvho8ttMMWNnyOQFOWvzOB8scUU84Djg1JanJdLqj32n7ced6AFAyMcwn4Dy3PUp4G48U0exiGTKx12Iz7GqeMO4ur3rhT5pw?width=676&height=431&cropmode=none)
Als Fehlermeldung im Log des NCP kommt immer:
25.03.2020 15:42:11 - System: DNSHandling=0
25.03.2020 15:42:11 - IPSec: Start building connection
25.03.2020 15:42:11 - IpsDial: connection time interface choice,LocIpa=172.17.0.250,AdapterIndex=203
25.03.2020 15:42:11 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=172.17.0.250 : test
25.03.2020 15:42:11 - Ike: ConRef=7, XMIT_MSG1_AGGRESSIVE, name=test, vpngw=172.17.0.250:500
25.03.2020 15:42:11 - ike_phase1:send_id:ID_IPV4_ADDR:pid=0,port=0,172.17.0.250
25.03.2020 15:42:11 - Ike: ConRef=7, Send NAT-D vendor ID,remprt=500
25.03.2020 15:42:14 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:14 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:18 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:18 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:22 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:22 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:26 - INFO - MONITOR: Disconnected
25.03.2020 15:42:26 - INFO - MONITOR: Media=LAN, Tx=0 Byte, Rx=0 Byte
25.03.2020 15:42:26 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - test.
25.03.2020 15:42:26 - Ike: phase1:name(test) - ERROR - retry timeout - max retries
25.03.2020 15:42:26 - IPSec: Disconnected from test on channel 1.
Ich weiß einfach nicht weiter....
Viele Grüße
Stephan
Hallo,
poste bitte mal die WAN Regeln und die Interface Konfiguration noch.
Die gewählte Verschlüsselung und Agressive-Mode würde ich auf jedenfall höher wählen. PFS ist meiner Meinung nach heutzutage Pflicht.
Hallo,
hier die benötigten Informationen:
(https://6lpyla.db.files.1drv.com/y4mmOtyarcVM15EShfEypBUX2EYKxu8PvSh5MYNjKhVCdkjapG5eRS-3YbodwC0C5rBG7-kE5ZghYoPnwF3uHN7n0Ia8nZyOFPsz34IZPL--npJiXhN09gn_c8ez44-Pm8jURCQEvXznW_whyNp5tUJdY6izWFONwXreRhi4Iqb7INMVCQnsiAefXJU5FY4oPQpOuD-5Cu5KiTBf6lY0IzDtA?width=1555&height=321&cropmode=none)
(https://61phla.db.files.1drv.com/y4mN9B4mYFo8Upxaovj5d3xXNeszIMStaNaqX9B_tgUvXWmP9K4SapAYMlGDU0Y0XbYeDVmu2EnbHNQ9BT_Q2-4ocRdn9W_VffU_xMLGpxuvElPsX2Q-3nTNb3VoL_jjMHd-PMnEHvmYobxX8DJ1GnZul2jitvNPjEM4IeeaepiKmrzcWi4hDaOSam6Q4Azz8iLn7V-Qt9JugubOpmW4O6v2g?width=803&height=921&cropmode=none)
(https://61pgla.db.files.1drv.com/y4mJ3gr_3bPLicUv9OkUJ-qsl_lqEkjHcQHKayToc0YDgu8za0J2E1vHGHT3dahocR1ZxZyiuSJlPXLdQg4uRoiRzjOLa2HSs0v08QR-eTFxuqZDn9HU9vkLvVHvSMk6fKCiYH5dUOJnIa0KSSbte8c2D15g61jyaHB4VfPIPdqjG0-Ry7phDY1nAqMkRA6_syjvdmoLYqIsjnZfH2ubuJv0Q?width=795&height=911&cropmode=none)
Wobei den GW 172.17.0.254 gibt es in meiner Testumgebung nicht!! Sollte aber ja kein Problem sein.
Viele Grüße
Stephan
Sorry wenn ich da reingrätsche aber genau wenn ich SO eine Konfiguration sehe ist das der Grund warum wir allen Kunden zu OpenVPN raten. Das ist gruselig!
Völlig veraltete Cipher und Hashfunktionen, Modi die seit Jahren nicht mehr empfohlen werden (IKE1 aggressive) etc etc.
Kommt mir vor wie die immer sinnlosere Diskussion vor der Abschaltung von PPTP. Schon lange kein "P" im VPN mehr "aber es wird doch überall unterstützt"...
Da ist der einmalige Aufwand, ein bisschen OVPN Clients für alle auszurollen mit einer stabilen Konfiguration zwar höher, dafür Langzeit-Wirkung wesentlich größer. Und mit Redundanz, Failover und Co. flexibler als das starre IPsec Gefriemel ;)
Grüße
HI JeGr,
das erschrickt mich jetzt ein bissl! Ist nach der Doku von Opnsesne:
https://wiki.opnsense.org/manual/how-tos/ipsec-road.html
Wollte damit einfach mal ein wenige herumspielen.
VG
Stephan
Veralteter Link, nimm das hier:
https://wiki.opnsense.org/manual/how-tos/ipsec-rw.html
Da haste dann auch gscheide Anleitungen für Client