Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Z80ACPU on June 09, 2026, 09:23:54 AM

Title: IPSEC zwischen OPNSense und Watchguard
Post by: Z80ACPU on June 09, 2026, 09:23:54 AM
Hallo liebe Leute,
ich hab da mal ein Verständnisproblem.
Ich betreibe diverse IPSEC-VPN zwischen unser Zentrale und den einzelnen Standorten, die "fremdgehostet" werden.

Bei den allermeisten VPN war das "straight forward" Phase1 aufgesetzt, Partner definiert und ein Child aufgesetzt, in dem drei lokale Netze mit einem Remote-Netz bekannt gemacht werden.
Dann noch nen Shared Secret austauschen und fertig ist die Laube. (Sorry für die laxe Ausdrucksweise)

Nun habe ich einen Standort, bei dem vom dortigen Betreiber eine Watchguard als VPN-Router/Firewall eingesetzt wird.

Hier, mit der Watchguard hatte ich wirkliche Schwierigkeiten, das Ganze ans Laufen zu bekommen.
Ich bekam immer nur ein einzelnes Netzwerk im Child ans Laufen. Die jeweils anderen Netzwerke waren angeblich installiert, jedoch null Datenverkehr (kein Ping, nix)
Noch toller: bei jedem Neustart der Verbindung lief (statistisch verteilt) immer ein anderes Netz und die beiden anderen nicht. Mal Netz"A" Netz"B" oder Netz"C".

Ich hab ne Weile gebraucht, um genau das zu bemerken.

Nun habe ich pro Netz ein Child definiert und alle drei Netze laufen.

Meine Frage ist nun:
Warum klappt das mit den "mehrere Netze in einem Child" mit den anderen VPN-Routern. (Da sind auch eineige OPenSenses dabei)
Warum gibt es Zicken mit dieser Wireguard?

Vielleicht könnte mir jemand klären, was der Unterschied ist zwischen "Mehrere Netze in einem Child"<->"Ein Netz pro Child"

Vielen Dank für Eure Gedanken im Voraus
Wolfgang

Title: Re: IPSEC zwischen OPNSense und Watchguard
Post by: Monviech (Cedrik) on June 09, 2026, 09:33:14 AM
Der unterschied ist dass für jedes Child eine eigene SA aufgebaut wird wenn es einzelne Einträge sind, und wenn alle kombiniert sind in einem Eintrag gelten sie als eine einzige SA.

Ein paar IPsec Implementierungen kommen nicht damit klar wenn in einem SA mehrere Traffic Selector (Children bei strongswan) sind.

Generell mit (älteren) Watchguard oder Sonicwall etc... als peer, viel Glück :)
Title: Re: IPSEC zwischen OPNSense und Watchguard
Post by: Patrick M. Hausen on June 09, 2026, 09:34:02 AM
Das ist nicht "zicken". Das ist entweder eine einzige Phase 2 SA mit mehreren Prefixen oder eine Phase 2 SA pro Prefix. Implementierungen können das eine oder das andere unterstützen oder beides. Watchguard offensichtlich nur letzteres.
Title: Re: IPSEC zwischen OPNSense und Watchguard
Post by: Z80ACPU on June 09, 2026, 10:53:30 AM
Hallo Zusammen,
danke für die Aufklärung.

Nur als abschliessende Frage:
Gibt es einen funktionellen Unterschied?

Liebe Grüße
Wolfgang
Title: Re: IPSEC zwischen OPNSense und Watchguard
Post by: Patrick M. Hausen on June 09, 2026, 11:18:43 AM
Nein.
Text only | Text with Images