Hallo zusammen,
nutze mehrere OPNsense FW mit IPSec site-2-site Tunnel im Legacy modus. Mit der anstehenden OPNsense Version 26.x soll der Legacy Mode endgültig Geschichte sein. Sah mir gestern den neuen Modus an und muss gestehen, ich kapiere es nicht wie es in der OPNsense Doku beschrieben ist.
Kennt jemand eine Seite die die Konfiguration ausführlichst beschreibt/erklärt?
Ich habe eins zu eins die gleiche Frage und leider keine logische Anleitung gefunden.
Händisch das umzusetzten hat kein Ergebnis gebracht.
Vielleicht gibt es hier einen Profi der das gut erklären kann.
(Hoffe das ich mich hier anhängen kann....)
Ich habe inzwischen mehrere Tunnel exakt nach der Anleitung in der OPNsense-Doku migriert. Könnt ihr etwas genauer beschreiben, *wo* es hakt?
Ich scheitere derzeit schon an dem Punkt bei Phase 1 was bei Local und Remote rein muss. Das jeweilige Netzwerk oder der DNS Name?
NACHTRAG: Habs herausgefunden, der DNS Name, bzw. die "extrerne IP".
Ich werde morgen auch Screenshots einstellen inkl. meiner (etwas neutral) Konfiguration.
Es geht eigentlich doch ganz einfach wenn man es gecheckt hat. Anscheinend bin ich da voll auf der Leitung gesessen. Muss auch gestehen, die Anleitungen bei OPNsense sind auf den ersten Blick mit ihren Beispieladressen und dazu noch ohne Screenshot verwirrend.
Die IP Adresse oder der FQDN der Gegenstelle natürlich. Die Tunnel-Netze sind doch Phase 2 ...
Quote from: Patrick M. Hausen on July 13, 2025, 06:36:43 PMDie IP Adresse oder der FQDN der Gegenstelle natürlich. Die Tunnel-Netze sind doch Phase 2 ...
Ja, die Oberfläche ist das verwirrende daran und die Bezeichnung ,,Adresses" bei diesen Feldern.
Jetzt ist zumindest bei mir der Knoten geplatzt...
Danke für die Screenshots
Hallo zusammen,
habs inzwischen ebenfalls geschnallt und erfolgreich umgesetzt. Die Menüstrukturierung ist etwas gewühnungsbedürftig... aber so häufig sind Änderungen am VPN Tunnel nicht.
Vermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut. Die OPNsense ist bei mir der Initiator.
Zweiter negativer Punkt, beim aktivieren des IPSec Option wird keine default FW-Regel für ISAKMP angelegt. Dadurch scheitert logischerweise IKE Phase-1. Kann das jemand bestätigen oder war es nur bei meiner Installation so?
Quote from: FWStarter on July 15, 2025, 05:03:55 PMVermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut.
Hallo,
hast mal riskiert, den "Advanced Mode" zu aktivieren?
Da tauchen dann zusätzliche Settings auf, unter anderem "DPD delay (s)" und "DPD timeout (s)".
Da sollte das Gesuchte dabei sein.
Aber ich stimme zu, die neue Oberfläche trifft auch meinen Geschmack nicht.
Auch hätte man für grundsätzlich benötigte Optionen typische Standartwerte setzen können.
Das ist so, das war aber ein Feature-Request schon für die alte Version - weniger Magie, mehr explizite Konfiguration. Ich finde es ebenfalls besser, die Firewall-Regeln für ISAKMP und IPsec manuell anzulegen.
@Patrick M. Hausen,
bin voll bei dir. Allerdings wird bei mir eine ESP Regel für Port 4500 automatisch angelegt und die für ISAKMP ist manuell anzulegen. Dieser Mix ist Mist und mMn. sollte das System entweder beides oder keines anlegen.
Noch eine blöde Frage. Wenn bei IKE1 das Textfeld für "local Addresses" leer bleibt, setzt OPNsense %all ein. Da meine OPNsensen immer hinter einem DSL Router sitzen, wäre es für mich vorteilhafter das WAN Interface zu verwenden. Das blöde hierbei ist, jeder DSL-Router hat einen anderen IP Adressbereich. Gibt es anstatt %all auch eine Variable für WAN?
In Firewall-Regeln gibt es den definierten Alias "WAN address", aber ob der beim VPN greift, weiß ich nicht.