Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: SvL on October 31, 2023, 01:26:50 PM

Title: IPv6 IPSec VPN OPNsense 23.7.7_3
Post by: SvL on October 31, 2023, 01:26:50 PM
Hallo zusammen,

ich habe wegen DS-lite IPv6 am WAN (DHCPv6) und im LAN (DHCPv6 und RA) aktiviert. Das funktioniert soweit. Ich möchte gerne über VPN über meinen Internetzugang surfen können, primär wegen Pi-Hole im LAN und schlechter Adblocker-Auswahl auf iOS. Mein Netzwerk sieht wie folgt aus:

Internet -> OPNsense -> Clients

Ich habe IPSec nach dieser Anleitung konfiguriert:

https://administrator.de/forum/opnsense-vpn-ikev2-laeuft-einfach-nicht-5190139942.html#comment-5198246557

und auf IPv6 umgebogen. Am WAN sind die Regeln:

Code Select

Protocol Source Port Destination Port Gateway Schedule
IPv6 ESP * *       WAN address * * *         IPSec ESP
IPv6 TCP/UDP * * WAN address 500 (ISAKMP) * * IPSec ISAKMP
IPv6 TCP/UDP * * WAN address 4500 (IPsec NAT-T) * * ÎPSec NAT-T


und bei IPSec

Code Select

IPv6 * * * LAN net * * *


automatisch hinzugefügt worden.

In der IPSec Mobile Client Konfiguration übergebe ich ein v6 Subnetz und die v6 IP des Pi-hole. Wenn die VPN-Verbindung aufgebaut ist, und ich z.B. wieistmeineip.de/ipv6-test/ aufrufe, wird jedoch die IPv6 und IPv4 LTE IP-Adresse angezeigt. Die Seite internet.nl zeigt beim Test an, das die LTE Nameserver meines Providers genutzt werden.

In iOS (BNordmittel VPN) kann ich jedoch sehen, das die VPN VErbindung zu meiner v6 WAN IP aufgebaut und eine v6 IP aus dem zugewiesenen Pool vergeben wurde.

Im eigentlichen Artikel zum VPN steht folgender Hinweis:

https://administrator.de/tutorial/ipsec-ikev2-vpn-fuer-mobile-benutzer-auf-der-pfsense-oder-opnsense-firewall-einrichten-337198.html

QuoteWer so unter Windows den gesamten Datenverkehr in den Tunnel routet muss, wie oben bereits beschrieben, zusätzlich in der Phase 2 IPsec Konfiguration unter Local network "Network" wählen und eine Wildcard Route mit 0.0.0.0 /0 dort eintragen !
Damit werden dann auch für andere Clients (Apple, Smartphone, etc.) alles in den VPN Tunnel gesendet.
Der Thread Hinweis des Kollegen @justas unten in den weiterführenden Links hat weitere Infos dazu.

Wenn ich das konfiguriere sehe ich im Firewall Live-Log, das die IPsec Default deny / state violation rule getriggert wird und nichts im LAN ankommt.

Wo liegt hier mein Fehler?

Vielen Dank schonmal.
Title: Re: IPv6 IPSec VPN OPNsense 23.7.7_3
Post by: Saarbremer on October 31, 2023, 02:16:05 PM
Hast du auch die Firewall Regel für IPsec auf Destination Any geändert?
Title: Re: IPv6 IPSec VPN OPNsense 23.7.7_3
Post by: Monviech (Cedrik) on October 31, 2023, 02:56:44 PM
https://github.com/opnsense/core/issues/6964
https://github.com/opnsense/docs/commit/7bfa32740c7c8ace369a0263d7e3be365e96f99c

Benutz am besten Wireguard, da funktioniert der IPv6 Transport einwandfrei.
Title: Re: IPv6 IPSec VPN OPNsense 23.7.7_3
Post by: SvL on October 31, 2023, 04:37:12 PM
Okay, schade. Das wird ja sicher zeitnah kommen, dann teste ich mal Wireguard.

Besten Dank.
Text only | Text with Images