Hallo zusammen,
nutze mehrere OPNsense FW mit IPSec site-2-site Tunnel im Legacy modus. Mit der anstehenden OPNsense Version 26.x soll der Legacy Mode endgültig Geschichte sein. Sah mir gestern den neuen Modus an und muss gestehen, ich kapiere es nicht wie es in der OPNsense Doku beschrieben ist.
Kennt jemand eine Seite die die Konfiguration ausführlichst beschreibt/erklärt?
Ich habe eins zu eins die gleiche Frage und leider keine logische Anleitung gefunden.
Händisch das umzusetzten hat kein Ergebnis gebracht.
Vielleicht gibt es hier einen Profi der das gut erklären kann.
(Hoffe das ich mich hier anhängen kann....)
Ich habe inzwischen mehrere Tunnel exakt nach der Anleitung in der OPNsense-Doku migriert. Könnt ihr etwas genauer beschreiben, *wo* es hakt?
Ich scheitere derzeit schon an dem Punkt bei Phase 1 was bei Local und Remote rein muss. Das jeweilige Netzwerk oder der DNS Name?
NACHTRAG: Habs herausgefunden, der DNS Name, bzw. die "extrerne IP".
Ich werde morgen auch Screenshots einstellen inkl. meiner (etwas neutral) Konfiguration.
Es geht eigentlich doch ganz einfach wenn man es gecheckt hat. Anscheinend bin ich da voll auf der Leitung gesessen. Muss auch gestehen, die Anleitungen bei OPNsense sind auf den ersten Blick mit ihren Beispieladressen und dazu noch ohne Screenshot verwirrend.
Die IP Adresse oder der FQDN der Gegenstelle natürlich. Die Tunnel-Netze sind doch Phase 2 ...
Quote from: Patrick M. Hausen on July 13, 2025, 06:36:43 PMDie IP Adresse oder der FQDN der Gegenstelle natürlich. Die Tunnel-Netze sind doch Phase 2 ...
Ja, die Oberfläche ist das verwirrende daran und die Bezeichnung ,,Adresses" bei diesen Feldern.
Jetzt ist zumindest bei mir der Knoten geplatzt...
Danke für die Screenshots
Hallo zusammen,
habs inzwischen ebenfalls geschnallt und erfolgreich umgesetzt. Die Menüstrukturierung ist etwas gewühnungsbedürftig... aber so häufig sind Änderungen am VPN Tunnel nicht.
Vermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut. Die OPNsense ist bei mir der Initiator.
Zweiter negativer Punkt, beim aktivieren des IPSec Option wird keine default FW-Regel für ISAKMP angelegt. Dadurch scheitert logischerweise IKE Phase-1. Kann das jemand bestätigen oder war es nur bei meiner Installation so?
Quote from: FWStarter on July 15, 2025, 05:03:55 PMVermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut.
Hallo,
hast mal riskiert, den "Advanced Mode" zu aktivieren?
Da tauchen dann zusätzliche Settings auf, unter anderem "DPD delay (s)" und "DPD timeout (s)".
Da sollte das Gesuchte dabei sein.
Aber ich stimme zu, die neue Oberfläche trifft auch meinen Geschmack nicht.
Auch hätte man für grundsätzlich benötigte Optionen typische Standartwerte setzen können.
Das ist so, das war aber ein Feature-Request schon für die alte Version - weniger Magie, mehr explizite Konfiguration. Ich finde es ebenfalls besser, die Firewall-Regeln für ISAKMP und IPsec manuell anzulegen.
@Patrick M. Hausen,
bin voll bei dir. Allerdings wird bei mir eine ESP Regel für Port 4500 automatisch angelegt und die für ISAKMP ist manuell anzulegen. Dieser Mix ist Mist und mMn. sollte das System entweder beides oder keines anlegen.
Noch eine blöde Frage. Wenn bei IKE1 das Textfeld für "local Addresses" leer bleibt, setzt OPNsense %all ein. Da meine OPNsensen immer hinter einem DSL Router sitzen, wäre es für mich vorteilhafter das WAN Interface zu verwenden. Das blöde hierbei ist, jeder DSL-Router hat einen anderen IP Adressbereich. Gibt es anstatt %all auch eine Variable für WAN?
In Firewall-Regeln gibt es den definierten Alias "WAN address", aber ob der beim VPN greift, weiß ich nicht.
Leider komme ich auch nicht ganz zurecht damit. Ich hatte es mal vor 1 Jahr eingerichtet aber dann immer Abbrüche gehabt.
Jetzt habe ich das neu konfiguriert und bekomme zu mindest eine Connection. Aber es fließt kein Datenverkehr. Log sagt dazu
establishing IKE_SA failed, peer not responding
Jemand eine Idee eventuell?
Noch zur Info. Ich habe beide Methoden noch aktiv und schalte dann immer die eine Alte Verbindung ab bevor ich die Neue Teste.
Also Legacy Verbindung 1 disable und Neue Verbindung 1 enable
Quote from: CoolTux on July 20, 2025, 10:21:38 AMLeider komme ich auch nicht ganz zurecht damit. Ich hatte es mal vor 1 Jahr eingerichtet aber dann immer Abbrüche gehabt.
Jetzt habe ich das neu konfiguriert und bekomme zu mindest eine Connection. Aber es fließt kein Datenverkehr. Log sagt dazu
establishing IKE_SA failed, peer not responding
Jemand eine Idee eventuell?
Noch zur Info. Ich habe beide Methoden noch aktiv und schalte dann immer die eine Alte Verbindung ab bevor ich die Neue Teste.
Also Legacy Verbindung 1 disable und Neue Verbindung 1 enable
2025-07-20T11:59:42 Informational charon 04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> establishing IKE_SA failed, peer not responding
2025-07-20T11:59:42 Informational charon 04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> giving up after 5 retransmits
2025-07-20T11:58:27 Informational charon 16[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:58:27 Informational charon 16[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 5 of request message ID 0, seq 1
2025-07-20T11:57:45 Informational charon 07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:57:45 Informational charon 07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 4 of request message ID 0, seq 1
2025-07-20T11:57:21 Informational charon 07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:57:21 Informational charon 07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 3 of request message ID 0, seq 1
2025-07-20T11:57:09 Informational charon 07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:57:09 Informational charon 07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 2 of request message ID 0, seq 1
2025-07-20T11:57:01 Informational charon 04[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:57:01 Informational charon 04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 1 of request message ID 0, seq 1
2025-07-20T11:56:57 Informational charon 04[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:56:57 Informational charon 04[ENC] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
2025-07-20T11:56:57 Informational charon 04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> initiating Aggressive Mode IKE_SA 7cb1f566-93ac-4c99-abb8-1c3da9ae6952[4] to 41.8.234.34
2025-07-20T11:56:57 Informational charon 04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> destroying IKE_SA in state CONNECTING without notification
2025-07-20T11:56:57 Informational charon 04[CFG] updated vici connection: 7cb1f566-93ac-4c99-abb8-1c3da9ae6952
2025-07-20T11:56:38 Informational charon 05[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:56:38 Informational charon 05[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 5 of request message ID 0, seq 1
2025-07-20T11:55:56 Informational charon 07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:55:56 Informational charon 07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 4 of request message ID 0, seq 1
2025-07-20T11:55:32 Informational charon 04[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:55:32 Informational charon 04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 3 of request message ID 0, seq 1
2025-07-20T11:55:19 Informational charon 11[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:55:19 Informational charon 11[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 2 of request message ID 0, seq 1
2025-07-20T11:55:12 Informational charon 13[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:55:12 Informational charon 13[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 1 of request message ID 0, seq 1
2025-07-20T11:55:08 Informational charon 12[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)
2025-07-20T11:55:08 Informational charon 12[ENC] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
2025-07-20T11:55:08 Informational charon 12[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> initiating Aggressive Mode IKE_SA 7cb1f566-93ac-4c99-abb8-1c3da9ae6952[1] to 41.8.234.34
2025-07-20T11:55:08 Informational charon 12[CFG] added vici connection: 7cb1f566-93ac-4c99-abb8-1c3da9ae6952
Hier mal ein Log. Anscheinend klappt die Phase2 nicht
Hier klappt doch nicht die IKE_SA, also Phase1.
Seltsam. Die Verbindung an sich wird mir als grün angezeigt in der Übersicht. Danke Dir auf jeden Fall. Dann muss ich da noch mal schauen.
So ich bin dann mal einen Schritt weiter. Jetzt sollte aber Phase 1 abgeschlossen sein.
04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|167> CHILD_SA abd6459a-2039-4b66-b3fc-b6e01ecc5bad{161} established with SPIs ce36476e_i da4437a3_o and TS 10.6.0.0/16 === 192.168.178.0/24
Leider gehen immer noch keine Daten durch. Keine Sende und keine Empfangsdaten werden angezeigt.
Also es sieht im Firewall LiveView so aus das er die Anfragen welche durch den Tunnel sollten über das WAN Interface schickt.
Im obrigen Beispiel 10.6.0.0/16 === 192.168.178.0/24 schickt er eine Anfrage an 192.168.178.1 nicht über IPsec sondern über WAN
Ist denn die Quelle auch ein Rechner in 10.6.0.0/16 oder versuchst du es von der OPNsense selbst aus? Das klappt bei einem Policy Based Tunnel bekanntlich nicht. Wenn ja, hast du die Policy auch aktiviert?
Gruß
Patrick
Die Quelle ist ein Rechner aus 10.6.0.0/16. Im Grunde habe ich meine alte Konfig auf den Gegenstellen belassen und die neue Verbindung auf der Sense versucht weitest gehen logisch der alten Konfig folgend ein zu richten. Und es klappt ja nun auch irgendwie. Nur das keine Daten durch wollen.
Hab es nun hinbekommen. Es läuft :-D
Policy aktiv?
Quote from: Patrick M. Hausen on July 20, 2025, 05:29:08 PMPolicy aktiv?
Jetzt ja. Lach
Muss nur noch den Tunnel stabil bekommen auch wenn mal keine Daten für Minuten durchgehen.
Mit der neuen Version bekomme ich ständig timeouts in der Fritzbox angezeigt. Die legacy lief immer durch.
21.07.25 08:22:37 VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
21.07.25 07:31:02 VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
21.07.25 07:30:47 VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
21.07.25 07:28:19 VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
21.07.25 06:34:59 VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
21.07.25 05:40:43 VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 21.07.25 05:40:26]
21.07.25 05:40:12 VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
21.07.25 05:37:44 VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
21.07.25 04:44:33 VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
Vergleich die generierte Konfigurationsdatei von beiden Varianten.
Komme ich da nur über die ssh Konsole ran oder geht das auch per Frontend?
ssh ...
Danke für den Tip. Ich habe das jetzt verglichen und angepasst. Mal schauen.
Ich habe nun die das neue IPsec genau so konfiguriert wie die alte legacy Verbindung konfiguriert war. Leider habe ich immer noch die IKE-Error 0x2027 Meldungen alle Stunde in meiner Fritzbox, alle 3 Stunden ist der komplette Tunnel weg und muss neu aufgebaut werden. Und wenn für ein paar Stunden gar keine Daten fließen wird die IPsec Verbindung komplett eingestellt.