Hallo Allerseits,
ich stecke gerade mitten in der IPSEC Migration von Tunnels nach Connections. (Version 25.4.1)
Hierbei ist mir aufgefallen, dass die automatisch erstellten Firewallregeln, bezüglich Port 500 und 4500 bei der Migration gelöscht werden.
Ist das Absicht und ich bin zu doof, das entspechende "Häkchen" zu setzen, dass bei Connections die entsprechende Regel gesetzt wird?
Gibt es an anderer Stelle eine diesbezügliche Einstellung.
Was ist der Gedanke hiner dieser Änderung?
Sommerliche Grüße
Wolfgang
Das ist Absicht. Du musst diese nun manuell anlegen. Viele Anwender hatten sich mehr explizite Konfiguration und Kontrolle anstelle von "Magie" gewünscht und da sind wir nun.
Host-Aliase für jede Gegenstelle, eine Gruppe "IPsec Peers", ein Port-Alias für 4500/500, eine Regel auf WAN - feddich.
Bitte auch die ESP regel nicht vergessen, sonst nix geht.
Quote from: Monviech (Cedrik) on August 14, 2025, 01:24:14 PMBitte auch die ESP regel nicht vergessen, sonst nix geht.
Hab ich nicht, funktioniert trotzdem - UDP Encapsulation regelt.
Hallo Patrick,
na dann. Wenigstens hab ich nix übersehen. Ist ja schon mal was.
Nun hab ich mir die alten "Automatic-Regeln" mal angeguckt:
| Nr. | Source | Port | Destination | Port | Gateway |
| 1 | * | * | IPSEC_Hosts | 500 | WAN |
| 2 | IPSEC_Hosts | * | * | 500 | * |
| 3 | * | * | IPSEC_Hosts | 4500 | WAN |
| 4 | IPSEC_Hosts | * | * | 4500 | * |
| 5 | * | * | IPSEC_Hosts | * | WAN |
| 6 | IPSEC_Hosts | * | * | * | * |
Auf Anhieb hätte ich gesagt, dass eine Regelsatz für Port 500 und eine Regelsatz für 4500 reicht.
Offensichtlich ist der Automatic da anderer Meinung.
Wieso bastelt er da konsequent die überlagernden Regeln 5 und 6 ein?
Das macht er bei jedem "legacy" Tunnel.
Na, wie dem auch sei. Ich bau jetzt alle 6 Regeln, denn ich bin nicht schlauer als die Automatik.
Ist das okay so, oder babbel ich da Mist zusammen?
Liebe Grüße
Wolfgang
Wenn du UDP-Encapsulation an hast, was eigentlich jede moderne Gegenstelle kann, dann reichen UDP 500 und 4500, Source alle Peers, Destination WAN address (oder ein Alias/CARP, falls verwendet), in, allow definitiv aus.
Warum der Automat tut, was er tut, weiß ich nicht, ich hab den vor Jahren beim Umstieg auf OPNsense überall ausgeschaltet. Wie gesagt mag ich keine Magie im Produkt.
Die automatischen Regeln für IPv6 finde ich ok. Wie ich zu DHCP stehe, weiß ich noch nicht. Meine Vorgänger-Firewall hatte keinen DHCP-Server.
Oh weh.. Die Regeln 5 und 6 beziehen sich auf ESP-Protokoll...
Das hab ich nicht gesehen... Sorry für die Verwirrung!
Hallo Zusammen,
noch mal vielen Dank für den intellektuellen Ar**tritt.
Manchmal keist man nur noch in seinem eigenen Grübelkarussel und kommt da ohne dem nicht raus.
Liebe Grüße
Wolfgang