OPNsense Forum
International Forums => German - Deutsch => Topic started by: magicas on April 17, 2023, 04:59:38 pm
-
Ich habe von der Telekom die Vorgaben (VPN12.pdf) bekommen.
dann habe ich folgende Konfiguration eingestellt (VPN345.pdf)
Der tunnel wird kurzfristig aufgebaut die identitäten werden gegeinander geprüft und für gut befunden und dann kommt der Abbruch.
Kann mir jemand helfen was mach ich falsch?
auszug aus dem log
2023-04-17T16:57:00 Informational charon 05[IKE] <con1|1> failed to establish CHILD_SA, keeping IKE_SA
2023-04-17T16:57:00 Informational charon 05[IKE] <con1|1> received TS_UNACCEPTABLE notify, no CHILD_SA built
2023-04-17T16:57:00 Informational charon 05[IKE] <con1|1> maximum IKE_SA lifetime 14828s
2023-04-17T16:57:00 Informational charon 05[IKE] <con1|1> scheduling rekeying in 13388s
2023-04-17T16:57:00 Informational charon 05[IKE] <con1|1> IKE_SA con1[1] established between 80.152.253.227[office4569@k2710087912.de]...89.184.168.109[tunnel@swyxon.com]
2023-04-17T16:57:00 Informational charon 05[IKE] <con1|1> authentication of 'tunnel@swyxon.com' with pre-shared key successful
-
wegen zu grosser Datei ein 2 ter Post
-
Keiner eine Idee ??? einen Ansatz für eine Lösung ???
-
Wirklich kein IPSEC profi unter euch der mir da helfen könnte ???
-
Laut der Doku von denen ist das Remote Network 100.70.5.84/32 oder lese ich das falsch?
Und für dein LAN Subnet musst du 192.168.0.0/24 nehmen. Steht auch in deren Doku.
Wenn ich das Dokument falsch interpretiere, brauchts mehr Info.
-
Hallo pmhausen.
das siehst du richtig.
aber die VPN Gegenstelle soll anscheinend über die URL 6rnoachj1p43.vpn.swyxon.com (89.184.168.109) angesprochen werden. steht auch in der Doku
-
Das ist der Remote Gateway, nicht das Remote Network. In deiner OPNsense Konfiguration müssen beim Local und Remote Network die beiden Netze stehen, die ich aus der Doku zitiert habe. Und nur die. Sobald die beiden Seiten einer IPsec Verbindung hier nicht konsistent sind, kommt kein Tunnel zustande.
-
ich stell mich vielleicht doof an.
könntest du die Konfig einmal testweise eingeben und mir posten?
-
Siehe Screenshot. Die Daten, die in dem PDF von denen drin standen musst du bei deiner OPNsense eintragen.
-
Ich habe das so eingestellt aber keinen Erfolg.
siehe Bild im Anhang
-
Und was sagt deren Support?
-
Das ist die Telekom die sich bei Swyx eingemietet hat.
Da kommt als Auskunft nur an dem Cisco auf Swyx Seite kann nichts verändert werden.
-
Aber die müssten ja bei sich was sehen, weshalb die Aushandlung fehlschlägt. Sonst besorg dir einen Dienstleister, das ist mir zu unübersixhtlich für mal eben übers Forum. Oder komm am Freitag in die User Group, dann schauen wir mal ...
-
Ich denke etwas stimmt nicht mit der Lifetime in Phase 1, was hast du da angegeben, sieht man nicht in deinem PDF.
-
lifetime 86400
-
OK, dann ist das doch in Ordnung. Aber den Fehler TS_UNACCEPTABLE dürftest du ja jetzt nicht mehr bekommen?
Das TS steht ja einfach für target selector, also Zielauswahl für die lokalen Netze, die haben vorher nicht übereingestimmt.
Funktioniert es jetzt oder gibt es einen neuen Fehler?
-
Hallo Leute!
Da ich nach wie vor nicht weiterkomme dachte ich ich zäum das Pferd von der anderen Seite auf.
Der Grund Gedanke war ja einen "alten" Lancom Router auszumustern da dieser nicht mehr supportet wird.
Ich habe mal ein PDF zusammengestellt wie auf dem Lancom der Tunnel aussieht und auch funktioniert.
Daher mein Gedanke es kann doch nicht sein das ein alter Lancom Router es hinbekommt und eine Opnsense nicht.
Bitte helft mir mit euren Gedanken und/oder Hilfestellungen um dieses Problem zu lösen.
Die Telekom sagt zwar sie sind offen für Kundenlösungen und gibt die Tunneleinstellungen vor (die auf der Telekom/Swyx Seite nicht änderbar sind) aber gibt dazu keinerlei weirtere Hilfestellung.
-
Ich hab doch gesagt, komm Freitag Nachmittag zum Online-Stammtisch und wir flicken das remote ...
Das sind einfach zu viel Schrauben auf einmal, um das mit dauernd Hin und Her im Forum aufzudröseln. Ich mach seit 25 Jahren IPsec-VPNs, ich gehe davon aus, dass ich das hin kriege.
-
kannst du mir den Termin und nen Link schicken ?
-
Hatte ich auch schon - alle Infos hier:
https://forum.opnsense.org/index.php?topic=18183.0
Diesen Freitag, 17:00
-
Ich bin ziemlich sicher, dass die Installation nach heute Abend in allen Kern-Parametern stimmt. Ich würde jetzt zuerst einmal bei der Telekom nachfragen, ob sie Verbindungsaufbau sehen und weshalb ihr Gateway nicht antwortet.
Wenn da eine Antwort kommt, dann gerne weiter hier :)
-
Hallo Leute!
nachdem wir im "Stammtisch" meinen Tunnel gebaut hatten habe ich das ganze getestet.
wieder ohne Erfolg. Hab mich dann mit der Telekom angelegt und denen anhand von Logs und Protokollen nachgewiesen das etwas in deren Konfiguration nicht stimmt.
Dort wurde als erstes die Swyx-Instance (virtuell) neu gestartet, ohne Erfolg die Swyx-Instance neu aufgesetzt wieder ohne Erfolg dann wurde das "office" (so heisst das bei denen) neu aufgesetzt mit der Folge das es einen neuen Tunnel mit anderen Daten gibt erstellt.
Ich habe nun in der Sense den Ipsec komplett gelöscht und ipsec auf off gestellt.
Dann habe ich den neuen Tunnel eingetragen Ipsec eingeschaltet und siehe da ich habe von anfang an einen stehenden Tunnel über den auch Traffic läuft.
ABER:
Die Telefone Vor-Ort verbinden sich wieder mit der Swyx und halten diese Verbindung und ich bekomme ein Amt, und interne Telefonie funktioniert.
aber das war auch schon ads ganze gute was funktioniert, von aussen kommt " Diese Nummer ist zur Zeit nicht erreichbar" und wenn ich raustelefonieren möchte bricht es nach eingabe von 2-3 Zahlen ab und/oder es kommt "keine Leitung verfügbar"
der Tunnel wurde ohne weitere massnahmen in der Firewall angelegt.
Für mich hört sich das so an als wenn noch irgendwas geblockt oder nicht (weiter)geroutet wird.
Dazu irgendwelche Ideen ????
-
Hallo,
Wer registriert die Rufnummern?
War das vorher der Lancom oder werden die Rufnummern direkt in der Swyx registriert?
Kann man in der Management-Console der swyx sehen.
MFG
-
Vielen Dank
Ich denke das war der entscheidende Tip.
werde ich ausprobieren
-
Hallo Leute!
Heute hatte ich den Techniker der Telekom am Telefon und habe nun endlich nach langem hin und her den Tunnel zu SWYX sauber am laufen.
Das letzte Problem war das bisher der Lancom die Sip-Verbindung registrierte, das wird nun in der Cloud gemacht.
So weit so gut!
Ich habe alles was wichtig war zum laufen gebracht, wenn auch mit Umständen.
Ich würde noch gerne für den Swyx-Client die "Onlineprüfung" auf Local bekommen, gerade läuft das über den remote.
so wie ich es verstanden habe muss ich bestimmte Ports z.B. 9035 vom Lan ins IPSec-VPN umleiten/routen
hat mir da jemand eine Hilfestellung?
-
Hallo,
was heißt denn "Onlineprüfung"?
Normalerweise wird im SwyxIt!/ Netphone-Client in den Servereinstellungen die lokale IP/ DNS-Name und die Remote-IP/ DNS-Name eingetragen.
Auf der Sense sollte eine statische Route reichen.
Alle Anfrage an die IP der Swyx gehen in den VPN-Tunnel. + evtl. Rückroute
Nichts anderes hat der Lancom früher gemacht.
MFG
-
Hallo opn-stb
Mit " Onlineprüfung" meinte ich im swyx-client wird die Leitung und/oder die Person grün umrandet wenn er/sie/es online ist.
und diese Prüfung bekomme ich zur Zeit nur mit einer remote einstellung hin. daher meine Frage muss ich noch irgendwas routen und/oder ports forwarden?
Wenn das so ist wie du schreibst mit der Route kannst du mir da weiterhelfen?
-
Hallo,
verstehe, der Präsenz-Status.
Eine statische Route hab ich selber noch nicht eingerichtet.
Evtl. helfen die beiden Suchergebnisse:
https://forum.opnsense.org/index.php?topic=22002.0 (https://forum.opnsense.org/index.php?topic=22002.0)
https://docs.opnsense.org/manual/routes.html (https://docs.opnsense.org/manual/routes.html)
Hier mal die sehr umfangreiche Liste der genutzten Port der Swyx:
https://service.swyx.net/hc/de/articles/4405210773906-Von-SwyxWare-13-verwendete-Ports (https://service.swyx.net/hc/de/articles/4405210773906-Von-SwyxWare-13-verwendete-Ports)
Ich würde zuerst bei der Rubrik SwyxIt!/ FaxClient anfangen.
Evtl. hast du aber schon ein Route, da die sich Telefone ja mit der Swyx verbinden.
Vllt. auch mal im Firewall-Log nach der IP der Swyx filtern, da kommt vllt. ein Anhaltspunkt heraus.
MFG
-
Hallo opn-stb
Die Seite mit den Ports der Swyx hatte ich schon daraus schloss ich das der Port 9035 mein Problem ist.
Ich schreib mal was ich denke.
also ich habe eine FW mit einem Wan (Telekom PPOE) einem Lan (z.B.192.168.0.1/24)
und sage jetzt ich möchte einen s2s VPN-Tunnel dazu. Dieser wird aufgebaut und steht.
da denke ich muss dieser Tunnel doch schon irgendwie von der FW geroutet sein und nach meiner Denke komplett.
sonst könnte ich ja nicht auf die IP-Range auf der anderen Seite zugreifen. das heisst aber auch der Tunnel ist Teil meines Netzes ich sollte im FW-Log also nichts zu der(swyx) sehen. da ja gleiches oder geroutetes Netz.
ABER:
Bei dieser überlegung sollten ja dann auch alle ports rein wie raus da sein.
jetzt kann nur sein das die Ports nicht da ankommen wo sie sollen da ja zwei netze mit unterschiedlichen IP-Ranges verbunden sind.
Wenn ich jetzt irgendwo einen Denkfehler habe/hatte bitte korrigieren.
Meine weitere Überlegung ist per Aliases die Ports zusammenzufassen und per Aliases die IP´s der Telefongeräte zusammenzufassen und da draus eine Regel von Lan --> Vpn-Tunnel zu erstellen