OPNsense Forum

International Forums => German - Deutsch => Topic started by: unti on November 26, 2020, 10:31:33 pm

Title: Probleme bei IPSec mit "BINAT"-translation
Post by: unti on November 26, 2020, 10:31:33 pm: Hallo zusammen, bin neu hier bzw. heute auf OPNSense umgestiegen. Es funktioniert fast alles tadellos, nur bei einem site-to-site VPN (IPSec) habe ich ein Problem, das bis vor dem Umstieg nicht da war.

Das IPSec-VPN in die Fa. lässt sich nicht mehr aktivieren.

Mein lokales Netz ist 192.168.100.0/24 und soll per NAT/BINAT-translation auf das Netz 192.168.60.0/24 gehen, da das 100er-Netz auch in der Fa. anderweitig in Verwendung ist. Der Teil, in den ich muss, hat das Netz 172.23.10.0/24.
Im phase2-entry des VPNs hab ich folgendes:

Local Network:
Network: 192.168.60.0/24
Remote Network:
Network: 172.23.10.0/24

Manual SPD entries: 192.168.100.0/24

Unter Firewall-NAT-One-to-One habe ich folgendes:
IPsec
BINAT
External Network: 192.168.60.0/24
Source: Single host or Network: 192.168.100.0/24
Destination: Single host or Network: 172.23.10.0/24

Dazu muss ich noch sagen, in der phase1 hab ich unter My identifier Dynamic DNS und einen Domainnamen.

Genau dieselben Einstellungen hatte ich in der alten Firewall auch, bis auf den Punkt, dass es dort eine NAT/BINAT-translation in der phase2 direkt gab.

Mach ich da etwas falsch bzw. hab ich einen Denkfehler?

Vielen Dank

Unti
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: micneu on November 27, 2020, 06:52:12 am: Mal ganz doof, warum änderst du dann nicht einfach zuhause deinen ip Bereich?

Gesendet von iPad mit Tapatalk Pro
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: mimugmail on November 27, 2020, 08:54:19 am: Ich glaub DDNS im Indetifier ist nicht supported .. such mal in github core issues nach nat und ipsec. Da gibts nen post von fraenki, bin mir jetzt aber nicht sicher ob das mittlerweile geht.
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: unti on November 27, 2020, 09:55:14 am: Quote from: micneu on November 27, 2020, 06:52:12 am
Mal ganz doof, warum änderst du dann nicht einfach zuhause deinen ip Bereich?

Ja, das wäre eine Option, die ich mir aber sparen hätte wollen. Aber wenn DDNS überhaupt nicht funktioniert, macht das auch keinen Sinn.
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: unti on November 27, 2020, 10:38:46 am: Quote from: mimugmail on November 27, 2020, 08:54:19 am
Ich glaub DDNS im Indetifier ist nicht supported .. such mal in github core issues nach nat und ipsec. Da gibts nen post von fraenki, bin mir jetzt aber nicht sicher ob das mittlerweile geht.

Hi, ja, das dürfte wirklich nicht funktionieren bzw. hab ich nichts gefunden, dass es gefixt ist, eine IP Adresse ist "required". Saublöd, denn ich hab keine fixe IP und jedes Mal die Admins fragen, ob sie die IP ändern ist auch nicht Sinn der Sache. Ok, also wieder einen Schritt zurück :-(

Danke auf alle Fälle
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: unti on November 27, 2020, 12:53:07 pm: Quote from: micneu on November 27, 2020, 06:52:12 am
Mal ganz doof, warum änderst du dann nicht einfach zuhause deinen ip Bereich?

Ok, hab das jetzt im kleinen Rahmen versucht, das war leider keine Lösung. Es liegt anscheinend wirklich am Dynamic DNS, den er nicht mag :-(
Title: Probleme bei IPSec mit "BINAT"-translation
Post by: micneu on November 27, 2020, 01:08:33 pm: Was für einen dyndns Anbieter nutzt du denn?

Gesendet von iPad mit Tapatalk Pro
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: unti on November 27, 2020, 01:23:19 pm: Quote from: micneu on November 27, 2020, 01:08:33 pm
Was für einen dyndns Anbieter nutzt du denn?

es ist kein Anbieter, das geht über eine Subdomain von mir, die ich eingetragen habe und die meiner IP-Adresse zugeordnet ist.
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: mimugmail on November 27, 2020, 01:24:35 pm: Was steht denn in den Logs?
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: unti on November 27, 2020, 02:17:33 pm: Quote from: mimugmail on November 27, 2020, 01:24:35 pm
Was steht denn in den Logs?

muss ich da bei den Log-Einstellungen irgendwas von Basic auf etwas höheres stellen? Mein Log schaut so aus:

y.y.y.y bin ich, x.x.x.x die Fa.

2020-11-27T14:12:55   charon[29125]   10[NET] <con2|2> sending packet: from y.y.y.y[500] to x.x.x.x[500] (56 bytes)
2020-11-27T14:12:55   charon[29125]   10[ENC] <con2|2> generating INFORMATIONAL_V1 request 3160266283 [ N(INVAL_ID) ]
2020-11-27T14:12:55   charon[29125]   10[IKE] <con2|2> IDir '2.0.32.0' does not match to 'x.x.x.x'
2020-11-27T14:12:55   charon[29125]   10[CFG] <con2|2> selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
2020-11-27T14:12:55   charon[29125]   10[IKE] <con2|2> received DPD vendor ID
2020-11-27T14:12:55   charon[29125]   10[ENC] <con2|2> parsed AGGRESSIVE response 0 [ SA KE No ID V HASH ]
2020-11-27T14:12:55   charon[29125]   10[NET] <con2|2> received packet: from x.x.x.x[500] to y.y.y.y[500] (280 bytes)
2020-11-27T14:12:55   charon[29125]   10[NET] <con2|2> sending packet: from y.y.y.y[500] to x.x.x.x[500] (356 bytes)
2020-11-27T14:12:55   charon[29125]   10[ENC] <con2|2> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
2020-11-27T14:12:55   charon[29125]   10[IKE] <con2|2> initiating Aggressive Mode IKE_SA con2[2] to x.x.x.x
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: mimugmail on November 27, 2020, 07:06:37 pm: Aggressive Mode?? Ist das gewollt?
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: unti on November 28, 2020, 01:48:39 pm: Quote from: mimugmail on November 27, 2020, 07:06:37 pm
Aggressive Mode?? Ist das gewollt?

Wir haben auch schon main ausprobiert, gibt keine Änderung. Sollte es irgendwann funktionieren, wird auf alle Fälle umgestellt. Es soll nur zuerst mal funktionieren.
Title: Re: Probleme bei IPSec mit "BINAT"-translation
Post by: mimugmail on November 28, 2020, 03:47:41 pm: Dann bitte Screenshots von Phase1 und 2 und Nat und dann sag ich dir wie es gehört. :)