Print Page - Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW

Title: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
Post by: ma91it on December 01, 2022, 10:26:45 AM

Hallo Zusammen,

ich habe aktuell folgendes Problem mit der OpnSense-FW (OPNsense 22.7.3_2/HA-Setup):

Wenn ich aus einem WLAN-Netz (sep. VLAN auf LACP; Sophos Central-managed APs) ein Client-IPSec in Richtung eines BinTec-Routers aufbauen möchte, bekomme ich mit div. Geräten (iPad-natives Cisco-VPN; Shrewsoft-Client auf Win10) einen Timeout.

Im Wireshark-Trace erhält man NO-PROPOSAL-CHOSEN.

Hier noch ein paar Eckdaten:

IPSEC-Client-Settings

NAT-T und IKE-Frag. mit 540 Bytes aktiv (auch deak. der Frag. brachte nichts)
PSK-Auth

OpnSense

WLAN-Netz darf "any" ins Internet
S2S-IPSEC aktiv (verwendet prim. WAN-IP) - mein erster Gedanke war hier, dass diese Komponente zwischenfunkt
SNAT der ausgehenden Client-IPSEC-Verbindung auf sec. WAN-IP: getestet mit oder ohne static Port
beteiligtes WLAN-Netz, sowie Public-Quell-IP und Dest-IP (Bintec) sicherheitshalber in den Pass-Through-Netzwerk des S2S-IPSEC hinterlegt
Interface-Scrub testweise mal deaktiviert

Wenn sich die entsprechenden Clients z.B. per Handy-Hotspot mit dem Internet verbinden, lässt sich das Client-IPSec problemlos aufbauen.

In meinem Test-Setup über eine andere OpnSense (egal ob S2S-IPSEC aktiv oder nicht) stößt man leider auf das gleiche Phänomen.

Hättet ihr ggf. eine Idee, wie ich das Client-VPN gangbar bekomme bzw. welche Settings ich noch testen kann?

Vielen Dank im Voraus

Gruß Marco

Title: Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
Post by: Patrick M. Hausen on December 01, 2022, 10:41:44 AM

Im Firewall-Live-Log der Sense anschauen, was da blockiert wird?

Title: Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
Post by: ma91it on December 01, 2022, 12:06:01 PM

Quote from: pmhausen on December 01, 2022, 10:41:44 AM
Im Firewall-Live-Log der Sense anschauen, was da blockiert wird?

Danke für deine Antwort, aber das WLAN-Netz darf alles nach extern.

Habe schon via tcpdump geschaut und sehe entsprechend die Anfragen und Replies (No Proposal Chosen kommt dann von der Gegenseite, vermeintlich weil "Infos" fehlen bzw. irgendwas "hineinspuckt" ;D

Title: Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
Post by: Patrick M. Hausen on December 01, 2022, 12:58:39 PM

Wie sehen die NAT-Regeln aus?

Title: Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
Post by: ma91it on December 01, 2022, 02:15:49 PM

Manual outbound NAT rule generation
(no automatic rules are being generated)

1. NAT-Rule:

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
WAN WLAN_xyz net * Bintec_Router * X.X.X.X (second. WAN) * YES

Wie beschrieben, Static Port hatte ich schon an und aus, das machte keinen Unterscheid.

Gruß Marco

Title: Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
Post by: ma91it on December 06, 2022, 12:10:59 PM

Hallo Zusammen,

hättet ihr noch Ansätze, wie man das Problem beheben könnte?

Danke

Gruß Marco

Title: Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
Post by: Patrick M. Hausen on December 06, 2022, 12:56:56 PM

tcpdump anwerfen und gucken, was da passiert.

OPNsense Forum

International Forums => German - Deutsch => Topic started by: ma91it on December 01, 2022, 10:26:45 AM