OPNsense Forum

International Forums => German - Deutsch => Topic started by: shb256 on April 18, 2019, 02:45:47 pm

Title: Site to Site VPN mit Fritzbox
Post by: shb256 on April 18, 2019, 02:45:47 pm
Hallo,

ich habe vor längere Zeit Site-to-Site VPN von opnsense (aktuelle Version) mit 2 Fritzboxen (7490) eingerichtet.
Vor der opnsense ist ein Vigor 130 als Modem eingestellt.

Nun habe ich den Vigor von Modem auf Router geändert und zwischen Router und opnsense ist jetzt logischerweise ein neues Netz entstanden. Auf dem Router habe ich die opnsense als DMZ Host eingerichtet. Alle andere Dienst (http, openvpn, usw.) laufen ohne Probleme, IT-Sec macht allerdings Probleme und verbindet sich nicht mehr. Bei einer Änderung auf Modem klappt wieder alles.

Alle drei Standorte haben eine feste IP.
 My identifier ist meine statische IP
 Peer identifier ist die statische IP der Gegenstelle

Der Rest Verschlüsselung usw hat sich ja nicht geändert
hier noch das Log, ich hab nur eine VPN Tunnel angemacht

Code: [Select]
Apr 18 14:42:17 charon: 04[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Apr 18 14:42:17 charon: 04[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Apr 18 14:42:17 charon: 04[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Apr 18 14:42:17 charon: 04[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Apr 18 14:42:17 charon: 04[CFG] loaded ca certificate "CN=Fake LE Intermediate X1" from '/usr/local/etc/ipsec.d/cacerts/0a3654cf.0.crt'
Apr 18 14:42:17 charon: 04[CFG] loaded ca certificate "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3" from '/usr/local/etc/ipsec.d/cacerts/4f06f81d.0.crt'
Apr 18 14:42:17 charon: 04[CFG] loaded ca certificate "C=DE, ST=Deutschland, L=XXXX, O=XXXXXX, E=XXXXXXXX, CN=internal-sslvpn-ca" from '/usr/local/etc/ipsec.d/cacerts/4e5ba7dc.0.crt'
Apr 18 14:42:17 charon: 04[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Apr 18 14:42:17 charon: 04[CFG] loaded IKE secret for [REMOTE IP ADDRESS]
Apr 18 14:42:17 charon: 04[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Apr 18 14:42:17 charon: 04[CFG] rereading secrets
Apr 18 14:42:17 charon: 00[JOB] spawning 16 worker threads
Apr 18 14:42:17 charon: 00[LIB] loaded plugins: charon aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf curve25519 xcbc cmac hmac gcm attr kernel-pfkey kernel-pfroute resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam whitelist addrblock counters
Apr 18 14:42:17 charon: 00[CFG] loaded 0 RADIUS server configurations
Apr 18 14:42:17 charon: 00[CFG] loaded IKE secret for [REMOTE IP ADDRESS]
Apr 18 14:42:17 charon: 00[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Apr 18 14:42:17 charon: 00[CFG] loading crls from '/usr/local/etc/ipsec.d/crls'
Apr 18 14:42:17 charon: 00[CFG] loading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Apr 18 14:42:17 charon: 00[CFG] loading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Apr 18 14:42:17 charon: 00[CFG] loading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Apr 18 14:42:17 charon: 00[CFG] loaded ca certificate "CN=Fake LE Intermediate X1" from '/usr/local/etc/ipsec.d/cacerts/0a3654cf.0.crt'
Apr 18 14:42:17 charon: 00[CFG] loaded ca certificate "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3" from '/usr/local/etc/ipsec.d/cacerts/4f06f81d.0.crt'
Apr 18 14:42:17 charon: 00[CFG] loaded ca certificate "C=DE, ST=Deutschland, L=XXXX, O=XXXXX, E=XXXXXXX, CN=internal-sslvpn-ca" from '/usr/local/etc/ipsec.d/cacerts/4e5ba7dc.0.crt'
Apr 18 14:42:17 charon: 00[CFG] loading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Apr 18 14:42:17 charon: 00[NET] enabling UDP decapsulation for IPv6 on port 4500 failed
Apr 18 14:42:17 charon: 00[KNL] unable to set UDP_ENCAP: Invalid argument
Apr 18 14:42:17 charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, FreeBSD 11.2-RELEASE-p9-HBSD, amd64)
Apr 18 14:42:15 charon: 00[DMN] signal of type SIGINT received. Shutting down
Apr 18 14:42:13 charon: 05[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Apr 18 14:42:13 charon: 05[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Apr 18 14:42:13 charon: 05[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Apr 18 14:42:13 charon: 05[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Apr 18 14:42:13 charon: 05[CFG] loaded ca certificate "CN=Fake LE Intermediate X1" from '/usr/local/etc/ipsec.d/cacerts/0a3654cf.0.crt'
Apr 18 14:42:13 charon: 05[CFG] loaded ca certificate "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3" from '/usr/local/etc/ipsec.d/cacerts/4f06f81d.0.crt'
Apr 18 14:42:13 charon: 05[CFG] loaded ca certificate "C=DE, ST=Deutschland, L=XXXX, O=XXXX, E=XXXXXX, CN=internal-sslvpn-ca" from '/usr/local/etc/ipsec.d/cacerts/4e5ba7dc.0.crt'
Apr 18 14:42:13 charon: 05[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Apr 18 14:42:13 charon: 05[CFG] loaded IKE secret for [REMOTE IP ADDRESS]
Apr 18 14:42:13 charon: 05[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Apr 18 14:42:13 charon: 05[CFG] rereading secrets
hat jemand eine Idee IP-Sec hinter einem router zu betreiben?
Title: Re: Site to Site VPN mit Fritzbox
Post by: micneu on April 18, 2019, 02:48:32 pm
warum willst du das modem auch wieder im router modus laufen lassen, macht nur probleme z.b. doppeltes NAT
usw. kann ich nicht empfehlen.
Title: Re: Site to Site VPN mit Fritzbox
Post by: shb256 on April 18, 2019, 03:03:07 pm
ja ich weiß,

ich hätte aber noch eine zweite opnsense die ich als failover mit carp laufen lassen will, und da klemmt's leider mit pppoe. Oder gibts da Lösungsanzätze

danke stefan
Title: Re: Site to Site VPN mit Fritzbox
Post by: Maurice on April 18, 2019, 09:25:10 pm
Quote from: shb256 on April 18, 2019, 03:03:07 pm
ich hätte aber noch eine zweite opnsense die ich als failover mit carp laufen lassen will, und da klemmt's leider mit pppoe. Oder gibts da Lösungsanzätze

Schau dir mal "True IP DMZ" an. Damit kann man den Vigor PPPoE machen lassen und dennoch die öffentliche IP-Adresse ohne zusätzliches NAT durchreichen. (In Verbindung mit CARP setzt das aber eine statische IP-Adresse voraus.)

Grüße

Maurice
Title: Re: Site to Site VPN mit Fritzbox
Post by: shb256 on April 27, 2019, 03:45:25 pm
Hallo,

feste IP ist vorhanden. Ture IP DMZ habe ich bereits gesehen, allerdings muss dort die MAC Adresse eingegeben werden und bei CARP hatte ich die Möglichkeit eine MAC zu vergeben nicht gesehen. Oder bin ich gerade auf dem Holzweg?

shb
Title: Re: Site to Site VPN mit Fritzbox
Post by: Maurice on April 27, 2019, 05:46:08 pm
CARP verwendet die gleichen virtuellen MAC-Adressen wie VRRP: 00-00-5E-00-01-xx, wobei xx die VHID Group ist.
Title: Re: Site to Site VPN mit Fritzbox
Post by: shb256 on April 27, 2019, 07:58:15 pm
Danke,

diese Information hat mir gefehlt.
Muss ich den Vigor als Modem und opnsense auf beiden CARP devices als pppoe einstellen?

shb
Title: Re: Site to Site VPN mit Fritzbox
Post by: Maurice on April 28, 2019, 04:42:46 am
OPNsense kann PPPoE-Verbindungen wohl (noch) nicht abhängig vom CARP-Status auf- / abbauen.
Daher ja der Vorschlag, den Vigor PPPoE machen zu lassen:
(Ich habe das nicht getestet, aber eine andere Lösung mit OPNsense wüsste ich nicht.)