OPNsense Forum
International Forums => German - Deutsch => Topic started by: knroftz23 on January 14, 2022, 01:13:09 pm
-
Hallo,
ich habe eine IPsec Tunnel zwischen einer OPNsense und einem Lancom Router gebaut. Die IPsec Verbindung kommt hoch.
Wenn ich einen Ping absetzte von einem PC hinter der OPNsense, kommt das ICMP Paket am LAN Interface an und wird über das IPsec Interface versendet. Dann kommt das Paket am Zielsystem an. Der Replay kommt bis zum LANcom Router und auf der Strecke zw. Lancom Router und OPNsense verschwindet das Paket.
Ich habe nach der Anleitung gearbeitet (https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html).
Unter VPN > IPsec > Statusübersicht sehe ich ausgehende Bytes aber keinen eingehenden. Was ich mich jetzt frage ist, muss ich ein IPsec Interface manuell anlegen? Ich sehe das leider nur im Log, es ist aber nirgends angelegt. Ich habe den Eindruck, dass ich ein IPsec Interface brauche, um den Traffic zu terminieren. Bin ich mit der Idee falsch? Ich bräuchte mal einen Tipp.
Gruß,
Thomas
-
------+------... (Clients/Servers)
|
.-----+--------.
| LANcom |
'-----+--------'
|
|
|
.-----+----------.
| OPNsense |
'-----+----------'
|
...-----+------... (Clients/Servers)
-
Was meldet denn ein 'ipsec status con1' ? (con1 durch den echten Verbindungsnamen ersetzen)
-
ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: ROUTED, TUNNEL, reqid 1
con1{1}: 10.19.215.0/24 === 172.19.2.0/24 172.19.29.0/24 192.168.50.0/24
Security Associations (0 up, 0 connecting):
no match
bzw.:
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: ROUTED, TUNNEL, reqid 1
con1{1}: 10.19.215.0/24 === 172.19.2.0/24 172.19.29.0/24 192.168.50.0/24
Security Associations (1 up, 0 connecting):
con1[1]: ESTABLISHED 3 seconds ago, 193.xxx.xxx.xxx[max@muster.de]...80.xxx.xxx.xxx[max@muster.de]
con1{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: cee852e5_i 1a8fd65b_o
con1{2}: 10.19.215.0/24 === 192.168.50.0/24
Sieht für mich erstmal gut aus.
Eigentlich sieht mein Netz so aus:
|
LAN | 172.19.2.0 /172.19.29.0
|
.-----+------.
| FW01
'-----+------'
|
LAN 192.168.50.0
|
.-----+-----.
| Lancom |
'-----+-----'
|
WAN / Internet
|
.-----+------.
| OPNsense
'-----+------'
|
LAN | 10.19.215.0
|
-
Kann es sein, dass der Haken bei 'Install policy' nicht gesetzt ist ?
-
Du meinst den Haken "Richtline Installieren" (Meine Spracheinstellung ist Deutsch)? Ist drin.
-
Ich sollte mein Bild nochmal anpassen:
|
LAN | 172.19.2.0 /172.19.29.0
|
.-----+------.
| FW01
'-----+------'
|
LAN 192.168.50.0
|
.-----+-----.
| Lancom | LTE Richtung Internet
'-----+-----'
| 80.xxx.xxx.xxx
WAN / Internet
| 193.xxx.xxx.xxx
.-----+------.
| OPNsense
'-----+------'
|
LAN | 10.19.215.0
|
Das kommt bei:
tcpdump -i re0 -n -s0 -vv host 80.xxx.xxx.xxx
21:27:17.567771 IP (tos 0x0, ttl 64, id 37833, offset 0, flags [none], proto UDP (17), length 164)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [no cksum] UDP-encap: ESP(spi=0xebc008ae,seq=0xbc), length 136
21:27:18.572762 IP (tos 0x0, ttl 64, id 59131, offset 0, flags [none], proto UDP (17), length 164)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [no cksum] UDP-encap: ESP(spi=0xebc008ae,seq=0xbd), length 136
21:27:19.573161 IP (tos 0x0, ttl 64, id 56015, offset 0, flags [none], proto UDP (17), length 164)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [no cksum] UDP-encap: ESP(spi=0xebc008ae,seq=0xbe), length 136
21:27:23.727564 IP (tos 0x0, ttl 64, id 7628, offset 0, flags [none], proto UDP (17), length 29)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [udp sum ok] isakmp-nat-keep-alive
Ich habe so den Eindruck, dass meine Pakete auf dem Weg zwischen dem Lancom Router und der OPNsense verschwinden. Könnte am LTE liegen.
Hat jemand da Erfahrungen oder kann jemand meinen Eindruck bestätigen? Wäre schön. Danke.
-
Was steht denn bei "Mode" in Phase 2 ? (vermutlich Modus in deutsch)
-
Tunnel IPv4.
-
Es sieht so aus, als ob Du auch noch einen Route-Based-Tunnel mit den identischen Netzen konfiguriert hast.
-
Das ist nicht der Fall. Alle drei IP Netze sind als "Tunnel IPv4" eingetragen.
Aber das würde doch auch nicht erklären, warum ich im tcpdump keine IP Pakete von der Gegenseite sehe, oder doch?
-
Beim ‚ipsec status con1‘ waren die ersten Zeilen für einen Route-Based-Tunnel:
ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: ROUTED, TUNNEL, reqid 1
con1{1}: 10.19.215.0/24 === 172.19.2.0/24 172.19.29.0/24 192.168.50.0/24
Security Associations (0 up, 0 connecting):
no match
Überreste von früheren Versuchen ?
-
Hallo knroftz23,
ich kenne mich mit zwar nicht mit OPNsense dafür aber mit Lancom aus,
Wie sieht den der IP-Router-Trace (tr # ip-r) im LAncom aus?
Werden die Antwortpakete wieder in den VPN-Tunnel geroutet?
Stimmen die Routern im Lancom? Wenn hier die Regelerzeugung auf mauell steht, haben diese nichts mit den Routen zu tun.
Wenn das ganze mit dem aktuellen Assistenten des LANconfig eingerichtet wurde, ist im lanvom eine ANY<->ANY Regel, auch wird über den Assi nur 1 Route angelegt, alle weitern müssen manuell angelegt werden.
MfG
Roland