Hallo,
habe IPSEC mit NAT konfiguriert und übersehen, dass das nur bei Tunnel mit einem Phase2 Entry unterstützt ist. Testweise alle phas 2 entries bis auf einen wieder gelöscht, aber ich sehe nach wie vor in der security policy database die händisch erstellten SPD entries. Wie werde ich die wieder los?
Versions OPNsense 21.1.3-amd64
FreeBSD 12.1-RELEASE-p14-HBSD
OpenSSL 1.1.1j 16 Feb 2021
Danke
mfG Richard
Das ist eine alte Info, mittlerweile geht das unlimitiert.
Momentan hilft beim Flush leider nur ein reboot oder "setkey -FP" und dann IPsec mit "Save" neu laden.
ACHTUNG: mach das nicht wenn du per IPsec die Firewall verwaltest.
Danke für die rasche Info, aber jetzt ist meine Hoffnung geschwunden, weil ich nicht mehr weiß was ich falsch mache, aber ich bin ja nicht das erste Mal über Begrifflichkeiten in der Doku gestolpert.
DMZ mit 10.103.0.0/16 (bei Cisco sag ich in Sachen NAT inside) und daraus soll ein Host mit BINAT über einen IPSEC Tunnel erreichbar sein D.h. 10.103.0.10 <-> 10.249.96.1 genattet
remote subnet 10.160.4.6/32
Interface IPSEC
Type BINAT
External network 10.249.96.1/32
Source / Invert
Source 10.103.0.10/32
Destination / Invert
Destination 10.160.4.6/32
Category
Description
NAT reflection Disable
bei manual spd entry habe ich schon 10.103.0.10/32 oder auch 10.103.0.0/16 probiert
ich sehe die Packete mit einem packet trace im IPSEC ankommen, aber nie am DMZ Interface rausgehen. Lösche ich das NAT raus und route (Probeweise ein Loopback am Router in der DMZ mit 10.249.96.1 konfiguirert) läuft alles, was mir sagt, dass IPSEC und rules passen
Bin ratlos, weil mir auch nicht bekannt ist wo und wie ich das debuggen könnte.
Über einen INput wäre ich dankbar
mfG Richard
Screenshot von P2 bitte
Offtopic:
Quote from: mimugmail on May 17, 2021, 08:57:53 AM
Das ist eine alte Info, mittlerweile geht das unlimitiert.
:D Das ist eine super Info! Seit wann geht das denn und ist die Konfig irgendwo beschrieben? Oder kann ich einfach alle SPD anlegen (also je Phase2 Eintrag die entsprechenden SPD), dazu wie bisher die binat Regeln in der Firewall und fertig? Vor grad mal 2 Wochen habe ich einem Kunden noch gesagt, wir müssten für einen zweiten Phase2 Eintrag mit NAT einen kompletten neuen IPSEC VPN einrichten. :-[
Das geht seit 21.1, das Feature wurde von meinem Arbeitgeber gesponsert, steht auch in den Releasenotes. Einfach beliebig SPD in die SA, geht alles automatisch
Gepriesen sei dein Arbeitgeber! ;D
In 2021 sollte so ein Feature auch zum Standard gehören :)
Hallo, anbei die Phase2 als screenshot. 10.103.0.51 ist es und nicht wie ursprünglich fälschlich.10 geschrieben.
Danke
mfG Richard
Das sieht dann aber gut aus. Screenshot vom Nat bitte
Hallo,
danke fürs drüber schauen. Anbei die NAT config.
Kannst du die Firewall mal rebooten?
Ich habe den reboot gleich für ein upgrade auf 21.1.5 genutzt. Jetzt funktioniert es. Zumindest weiß ich, dass ich es richtig konfiguriert habe :)
Ich bedanke mich für dein engagiertes Helfen
mfG Richard