OPNsense Forum
International Forums => German - Deutsch => Topic started by: shb256 on July 18, 2020, 03:13:27 pm
-
Hallo,
ich habe IPsec als Roadwarrior (EAP-MSCHAPV2) aufgesetzt. Die Verbindung kommt zu stande, die IP wird aus dem Adressbereich zugewiesen.
PPP-Adapter VPN:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VPN
Physische Adresse . . . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.201.3(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.200.240
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ich habe in der Firewall unter IPsec allow any eingestellt
Leider kann ich nicht auf die Netze zu hause zugreifen.
Spontan wirde ich auf das fehlende Gateway tippen. Wenn ja, wie kriege ich es dort rein? wenn nein, was ist es dann?
danke
shb
-
OK ich habs gefunden
https://docs.opnsense.org/manual/how-tos/ipsec-rw-w7.html
Es ist die Clientkonfiguration unter Punkt 3 Finetuning.
Gleich die nächste Frage zu diesem Thema.
Ich habe festgestellt, dass ich nur in ein Netz komme, das was ich in Phase 2 angegeben habe.
Wenn ich mehrer Phase 2 Konfigurationen anlege komme ich auch in die anderen Netze.
Allerdings komme ich nicht ins Internet. Darauf hin habe ich eine Phase 2 für das Netz 0.0.0.0/0 erstellt.
Damit komme ich in alle angeschlossenen Netze der Firewall, aber nicht ins Internet. Das möchte ich auch noch ::)
danke shb
-
Dann brauchst du ein outbound nat für dein VPN Tunnelnetz
-
Danke, das war es.
Zum Verständnis, warum wird das outbound NAT nicht automatisch gesetzt?
Outbound war auf automatic gesetzt
Sobald ich mich im lokalem Netz mit dem Server verbinde, kann ich keinen lokalen server und das Internet nicht mehr erreichen. Gibt es eine Möglichkeit trotz verbundenen VPN den Zugriff zu behalten?
danke shb
-
Bitte mal einen netzwerkplan.
Und die ipsec Konfiguration.
Gesendet von iPad mit Tapatalk Pro
-
|---------------|
| DSL MODEM|
|--------+-----|
|
|
|--------+-----|
| opnsense +---- 192.168.200.0/24
| +---- 172.16.1.0/24
| +---- 172.16.2.0/24
| +---- 172.16.3.0/24
|---------------|
Nachtrag.
Die lokalen Server erreiche ich, es geht nur das Internet nicht
-
Ich bin mir nichtsicher, ich nutze meist OpenVPN (ist einfacher zu konfigurieren) du hast local address 0.0.0.0. binmir nicht sicher ob das richtig ist
Gesendet von iPad mit Tapatalk Pro
-
Ja ich nehme sonst auch openvpn. Hier geht's mir um die Möglichkeit vor dem Domain Login mit dem Netzwerk bei Bedarf eine Verbindung herzustellen.
Ich hatte bei 0.0.0.0 vorher nur das 192.168.200.0/24 drin, da ist der Client auch nur in das Netz gekommen.
-
Wähl dich ins VPN ein, schau welche ip du bekommen hast und dann packet capture auf dem IPsec interface. Da dann kontrollieren ob die Pakete wenigstens ankommen.
-
Danke, das war es.
Zum Verständnis, warum wird das outbound NAT nicht automatisch gesetzt?
Outbound war auf automatic gesetzt
Der IPsec Konfigurationsteil in der OPNsense ist "legacy" und nicht mehr besonders gut mit dem Rest integriert. Bei OpenVPN wird der dort verwendete Virtual IP pool automatisch in die Outboundregeln mit aufgenommen. Das müsste man für IPsec Mobile Client Virtual IP Pool eben auch mal machen. Allerdings möchte man vielleicht auch Split Tunneling machen - also nur den Traffic über den Tunnel leiten, der da wirklich hin muss und beim Client den Rest einfach direkt ins Internet senden.
-
> Ja ich nehme sonst auch openvpn. Hier geht's mir um die Möglichkeit vor dem Domain Login mit dem Netzwerk bei Bedarf eine Verbindung herzustellen.
@shb256 Darf ich fragen warum das wichtig ist (und du deshalb IPsec nutzen willst)? Die credentials werden doch gepuffert wenn keine Verbindung besteht und wenn danach via OVPN die Verbindung hergestellt wird zum Firmennetz ist das doch kein Problem? Wir arbeiten jetzt seit Monaten im Homeoffice und ich war mit meinem Schlepptop locker seit April nicht mehr in der Nähe eines DCs ;) Bin nur interessiert daran, warum das ein Punkt ist den du brauchst :)