OPNsense Forum

International Forums => German - Deutsch => Topic started by: Perun on June 07, 2019, 08:59:44 am

Title: IPSec zu VPN Provider... wo NAT?
Post by: Perun on June 07, 2019, 08:59:44 am
Hi

ich habe eine Verbindung zu einem VPN Provider außerhalb de WebUI konfiguriert. Da der VPN Provider eap-mschapv2 als Auth benutzt, sah ich keine Möglichkeit dies über die WebUI machen zu können... (vielleicht hat jemand einen Tip wie man es doch machen kann?)

Die Verbindung steht und hat auch ein Interface tun0 erstellt.
Jaaa aber wie gehst weiter?
Normalerweise würde ich jetzt einen Gateway erstellen und dann entsprechende Rules und NAT
Aber das Interface taugt natürlich nirgendwo in der WebUI auf...

Wie macht man sowas dann? Bzw. was wäre der richtige Weg für sowas?

Meine IPsec Config liegt in /usr/local/etc/ipsec.opnsense.d/my.conf

Code: [Select]
conn con10
  keyexchange = ikev2
  dpdaction = clear
  dpddelay = 300s
  eap_identity = "mangel@gmx.de"
  leftauth = eap-mschapv2
  left = %defaultroute
  leftsourceip = %config
  forceencaps = yes
  right = pl82.nordvpn.com
  rightauth = pubkey
  rightsubnet = 54.204.25.0/28,23.23.189.144/28,34.195.253.0/25
  rightid = pl82.nordvpn.com
  rightca = "/C=PA/O=NordVPN/CN=NordVPN Root CA/"
  type=tunnel
  auto=start

(ja ich weiß NordVPN geht über OpenVPN, ich will es aber über IPsec versuchen)

Kann jemand helfen?
Title: Re: IPSec zu VPN Provider... wo NAT?
Post by: micneu on June 07, 2019, 05:46:25 pm
cool, wenn du eine lösung hast, bitte mal posten, möchte ich auch testen
Title: Re: IPSec zu VPN Provider... wo NAT?
Post by: opnip on July 16, 2019, 02:04:29 pm
Man müsste das mal im Lab nachstellen. Nichts was ich auf einem produktivem System testen würde.

Lässt sich denn das Interface manuell in der /conf/config.xml unter <interfaces> hinzufügen?

Code: [Select]
    <opt3>
      <if>tun0</if>
      <descr>NordVPN</descr>
      <enable>1</enable>
      <spoofmac/>
    </opt3>
Title: Re: IPSec zu VPN Provider... wo NAT?
Post by: JeGr on July 16, 2019, 03:48:04 pm
> (ja ich weiß NordVPN geht über OpenVPN, ich will es aber über IPsec versuchen)

Supi dass dus versuchen willst. Aber hast du dich vorher mal erkundigt ob es überhaupt GEHT? Es gibt ja einen guten Grund, warum die meisten VPNs bei NICHT-Client Endgeräten (also Routern) eben OpenVPN benutzen, weil deren IPSEC meist auf Clients ausgelegt ist und nicht auf Routing durch nen Tunnel geschweige denn IPSEC mit Routing-Interface unterstützen. Dass hier OVPN genutzt wird hat seine Gründe und das sind keine Schlechten ;)
Title: Re: IPSec zu VPN Provider... wo NAT?
Post by: neobiker on August 22, 2019, 10:37:09 am
Hallo,
ich würde das gerne weiterverfolgen und nicht einfach nieder reden.

Warum wird das Interface nicht in der WebGUI angezeigt, damit man damit KOnfigurationen einstellen kann?
Solange das Interface nicht angezeigt wird, wie erfolgt eine manuelle Konfiugration damit?

Mann kann unter /usr/local/etc/ipsec.opnsense.d/xy.conf eine manuelle IPsec Konfiguration anlegen.
Das damit erzeugte tun Interface muss man ja auch benutzen können... wie?
Soll heissen, wie route ich meine Subnetze in diesen Tunnel?

Ich habe übrigens 'installpolicy' = no gesetzt:
 
Code: [Select]
conn NordVPN_IPsec
  keyexchange = ikev2
  dpdaction = clear
  dpddelay = 300s
  forceencaps = no
  installpolicy = no

  left = %WAN-IP
  right = VPNSERVER

  leftsubnet = 0.0.0.0/0
  rightsubnet = 0.0.0.0/0

  leftsourceip = %config4
  leftauth = eap-mschapv2
  eap_identity = "EMAIL-ACCOUNT"

  rightid = %VPNSERVER
  rightauth = pubkey
  rightca = "/C=PA/O=NordVPN/CN=NordVPN Root CA/"

  esp = aes256-md5,aes256-sha1,aes192-md5,aes192-sha1,aes128-md5,aes128-sha1,blowfish256-md5,blowfish256-sha1,
blowfish192-md5,blowfish192-sha1,blowfish128-md5,blowfish128-sha1,3des-md5,3des-sha1,cast128-md5,cast128-sha1!

  type = tunnel
  auto = start

und als Ergebnis von Phase 2 einen routed IPsec tunnel: 10.6.6.x/32 <-> 0.0.0.0/0 erhalten,
d.h. NordVPN gibt mir diese 10.6.6.x/32 IP für den Tunnel Endpunkt zurück.

Code: [Select]
root@OPNsense:/usr/local/etc # ifconfig enc0
enc0: flags=41<UP,RUNNING> metric 0 mtu 1536
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: enc

root@OPNsense:/usr/local/etc # ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet6 fe80::6a05:caff:fe23:1654%tun0 prefixlen 64 scopeid 0xc
        inet 10.6.6.131 --> 10.6.6.131 netmask 0xffffffff
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: tun
        Opened by PID 7135

root@OPNsense:/usr/local/etc # route -4 show 10.6.6.131
   route to: 10.6.6.131
destination: 10.6.6.131
        fib: 0
  interface: tun0
      flags: <UP,HOST,DONE,PINNED,LOCAL>
 recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1500         1         0


Da ich kein Interface in der WebUI sehe, kann ich aber halt die Routen nicht konfigurieren :-(


Gruss
Neobiker
Title: Re: IPSec zu VPN Provider... wo NAT?
Post by: neobiker on August 23, 2019, 05:24:44 pm
This is my Log after Phase1:
Code: [Select]
Aug 23 17:19:07 charon: 12[KNL] <NordVPN_IPsec|1> querying policy 10.6.6.131/32 === 0.0.0.0/0 out failed, not found
Aug 23 17:18:48 charon: 12[ENC] <NordVPN_IPsec|1> parsed INFORMATIONAL response 7 [ ]
Aug 23 17:18:48 charon: 12[NET] <NordVPN_IPsec|1> received packet: from 134.19.189.123[4500] to 192.168.178.25[4500] (80 bytes)
Aug 23 17:18:48 charon: 12[NET] <NordVPN_IPsec|1> sending packet: from 192.168.178.25[4500] to 134.19.189.123[4500] (128 bytes)
Aug 23 17:18:48 charon: 12[ENC] <NordVPN_IPsec|1> generating INFORMATIONAL request 7 [ N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
Aug 23 17:18:48 charon: 12[IKE] <NordVPN_IPsec|1> sending address list update using MOBIKE
Aug 23 17:18:48 charon: 15[IKE] <NordVPN_IPsec|1> peer supports MOBIKE
Aug 23 17:18:48 charon: 15[IKE] <NordVPN_IPsec|1> CHILD_SA NordVPN_IPsec{1} established with SPIs c072bb4a_i cad3dd39_o and TS 10.6.6.131/32 === 0.0.0.0/0
Aug 23 17:18:48 charon: 15[CFG] <NordVPN_IPsec|1> selected proposal: ESP:AES_CBC_256/HMAC_MD5_96/NO_EXT_SEQ
Aug 23 17:18:48 charon: 03[KNL] interface tun0 activated
Aug 23 17:18:48 charon: 03[KNL] interface tun0 appeared
Aug 23 17:18:48 charon: 15[LIB] <NordVPN_IPsec|1> created TUN device: tun0
Aug 23 17:18:48 charon: 15[IKE] <NordVPN_IPsec|1> installing new virtual IP 10.6.6.131
Aug 23 17:18:48 charon: 15[CFG] <NordVPN_IPsec|1> handling INTERNAL_IP4_NETMASK attribute failed
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> installing DNS server 103.86.99.100 via resolvconf
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> installing DNS server 103.86.96.100 via resolvconf
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> maximum IKE_SA lifetime 10664s
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> scheduling reauthentication in 10124s

Ich denke dieser Link (http://Link) (Routing through remote network over IPsec) bildet die NordVPN IPsec Situation ab, wobei meine OPNsense das Home-Gateway wäre und NordVPN das DC-Gateway (ohne das DC-Netzwerk in grün, nur der rote Default-GW Pfad ins Internet).