OPNsense Forum
International Forums => German - Deutsch => Topic started by: unti on November 26, 2020, 10:31:33 pm
-
Hallo zusammen, bin neu hier bzw. heute auf OPNSense umgestiegen. Es funktioniert fast alles tadellos, nur bei einem site-to-site VPN (IPSec) habe ich ein Problem, das bis vor dem Umstieg nicht da war.
Das IPSec-VPN in die Fa. lässt sich nicht mehr aktivieren.
Mein lokales Netz ist 192.168.100.0/24 und soll per NAT/BINAT-translation auf das Netz 192.168.60.0/24 gehen, da das 100er-Netz auch in der Fa. anderweitig in Verwendung ist. Der Teil, in den ich muss, hat das Netz 172.23.10.0/24.
Im phase2-entry des VPNs hab ich folgendes:
Local Network:
Network: 192.168.60.0/24
Remote Network:
Network: 172.23.10.0/24
Manual SPD entries: 192.168.100.0/24
Unter Firewall-NAT-One-to-One habe ich folgendes:
IPsec
BINAT
External Network: 192.168.60.0/24
Source: Single host or Network: 192.168.100.0/24
Destination: Single host or Network: 172.23.10.0/24
Dazu muss ich noch sagen, in der phase1 hab ich unter My identifier Dynamic DNS und einen Domainnamen.
Genau dieselben Einstellungen hatte ich in der alten Firewall auch, bis auf den Punkt, dass es dort eine NAT/BINAT-translation in der phase2 direkt gab.
Mach ich da etwas falsch bzw. hab ich einen Denkfehler?
Vielen Dank
Unti
-
Mal ganz doof, warum änderst du dann nicht einfach zuhause deinen ip Bereich?
Gesendet von iPad mit Tapatalk Pro
-
Ich glaub DDNS im Indetifier ist nicht supported .. such mal in github core issues nach nat und ipsec. Da gibts nen post von fraenki, bin mir jetzt aber nicht sicher ob das mittlerweile geht.
-
Mal ganz doof, warum änderst du dann nicht einfach zuhause deinen ip Bereich?
Ja, das wäre eine Option, die ich mir aber sparen hätte wollen. Aber wenn DDNS überhaupt nicht funktioniert, macht das auch keinen Sinn.
-
Ich glaub DDNS im Indetifier ist nicht supported .. such mal in github core issues nach nat und ipsec. Da gibts nen post von fraenki, bin mir jetzt aber nicht sicher ob das mittlerweile geht.
Hi, ja, das dürfte wirklich nicht funktionieren bzw. hab ich nichts gefunden, dass es gefixt ist, eine IP Adresse ist "required". Saublöd, denn ich hab keine fixe IP und jedes Mal die Admins fragen, ob sie die IP ändern ist auch nicht Sinn der Sache. Ok, also wieder einen Schritt zurück :-(
Danke auf alle Fälle
-
Mal ganz doof, warum änderst du dann nicht einfach zuhause deinen ip Bereich?
Ok, hab das jetzt im kleinen Rahmen versucht, das war leider keine Lösung. Es liegt anscheinend wirklich am Dynamic DNS, den er nicht mag :-(
-
Was für einen dyndns Anbieter nutzt du denn?
Gesendet von iPad mit Tapatalk Pro
-
Was für einen dyndns Anbieter nutzt du denn?
es ist kein Anbieter, das geht über eine Subdomain von mir, die ich eingetragen habe und die meiner IP-Adresse zugeordnet ist.
-
Was steht denn in den Logs?
-
Was steht denn in den Logs?
muss ich da bei den Log-Einstellungen irgendwas von Basic auf etwas höheres stellen? Mein Log schaut so aus:
y.y.y.y bin ich, x.x.x.x die Fa.
2020-11-27T14:12:55 charon[29125] 10[NET] <con2|2> sending packet: from y.y.y.y[500] to x.x.x.x[500] (56 bytes)
2020-11-27T14:12:55 charon[29125] 10[ENC] <con2|2> generating INFORMATIONAL_V1 request 3160266283 [ N(INVAL_ID) ]
2020-11-27T14:12:55 charon[29125] 10[IKE] <con2|2> IDir '2.0.32.0' does not match to 'x.x.x.x'
2020-11-27T14:12:55 charon[29125] 10[CFG] <con2|2> selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
2020-11-27T14:12:55 charon[29125] 10[IKE] <con2|2> received DPD vendor ID
2020-11-27T14:12:55 charon[29125] 10[ENC] <con2|2> parsed AGGRESSIVE response 0 [ SA KE No ID V HASH ]
2020-11-27T14:12:55 charon[29125] 10[NET] <con2|2> received packet: from x.x.x.x[500] to y.y.y.y[500] (280 bytes)
2020-11-27T14:12:55 charon[29125] 10[NET] <con2|2> sending packet: from y.y.y.y[500] to x.x.x.x[500] (356 bytes)
2020-11-27T14:12:55 charon[29125] 10[ENC] <con2|2> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
2020-11-27T14:12:55 charon[29125] 10[IKE] <con2|2> initiating Aggressive Mode IKE_SA con2[2] to x.x.x.x
-
Aggressive Mode?? Ist das gewollt?
-
Aggressive Mode?? Ist das gewollt?
Wir haben auch schon main ausprobiert, gibt keine Änderung. Sollte es irgendwann funktionieren, wird auf alle Fälle umgestellt. Es soll nur zuerst mal funktionieren.
-
Dann bitte Screenshots von Phase1 und 2 und Nat und dann sag ich dir wie es gehört. :)