OPNsense Forum
International Forums => German - Deutsch => Topic started by: SEi on February 11, 2017, 05:27:43 pm
-
Hallo zusammen,
ich habe seit gestern OPNsense 17.1.1 amd64 auf einer Black Dwarf laufen. Die Installation hat super funktioniert und ich bin mit allem glücklich. Tolle Arbeit! :)
Eine Sache gibt mir allerdings Rätsel auf. Vielleicht habe ich aber auch nur etwas triviales vergessen.
Ich bekomme keine Pakete über meinen IPSec-Tunnel.
Szenario: OPNsense WAN PPPoE, LAN privates Netz, Remote VPS mit fester IP-Adresse.
IPsec-VPN zwischen OPNsense und dem VPS auf Basis IKEv2 mit Zertifikat-Authentifizierung.
Der Tunnel wird aufgebaut, ipsec statusall sagt auf beiden Rechnern (FW und VPS) ESTABLISHED... INSTALLED ... lokale IP === Remote
Ich bekomme allerdings keinen Ping oder SSH durch den Tunnel, weder von der Firewall noch vom LAN.
Mit tcpdump sehe ich ipsec-Pakete jeweils in beide Richtungen.
In den Firewall-Logs steht nichts.
Ich bin mit meinem Latein am Ende ???
Das gleiche Setup hat mit pfSense funktioniert.
Es funktioniert auch, wenn ich den Tunnel über einen Linux-Server mit strongswan im LAN hinter der Firewall über Port-Forwards aufbaue. Allerdings hätte ich den Tunnel lieber über die Firewall laufen, das macht das Routing einfacher.
Ich bin für jede Idee dankbar.
Viele Grüße
Sven
-
Hey hey,
ich kann dir zum IPsec leider nicht viel sagen, aber....
[...]In den Firewall-Logs steht nichts. [...]
Hattest du versucht an das Ende deines Regelwerks mal eine "DENY ANY ANY" Regel einzufügen?
Beim erstellen dieser Regel, dann darauf achten das Häkchen zum Loggen zu aktivieren.
Wenn du dann in den Firewall Logs schaust siehst du, welche Pakete abgeblockt werden.
Wenn da nichts ist, kann man zu mindestens das Regelwerk als Fehlerquelle ausschließen.
Oder anders, mal eine ALLOW ANY ANY Regel zum Test einfügen und schauen ob es funktioniert.
Fällt dir da irgendwas seltsames auf? :)
Schöne Grüße
Oxy
-
Danke für die schnelle Antwort, hilft mir allerdings nicht wirklich weiter.
Es existiert doch für jedes Interface eine implizite "Default deny rule" und Log-Einträge davon sehe, wenn ich die entsprechende Logging-Option setze.
allow log LAN to VPS ICMP loggt mir entsprechende Ping-Versuche ausgehend. Aber der VPS scheint das ipsec-Paket nicht zu wollen.
-
..einer der Gründe, warum ich IPsec irgendwann gegen openVPN getauscht habe... Manchmal musste auch ein neuer Tunnel ein paar Stunden laufen, bevor Pakete befördert wurden. :-/
Mal auf beiden Seiten rebooten und etwas warten. Route für den Tunnel stehtauf beiden Seiten? (Wirklich in der Liste?)
-
Ich verweise mal auf
https://forum.opnsense.org/index.php?topic=4385.msg17112#new
ich hab aktuell auch kein funktionierendes IPSec
-
Es sollte in den Firewallregeln einen Tab IPsec geben, wie sehen die Regeln aus?
-
Aktuell ist das Buggy (Siehe https://forum.opnsense.org/index.php?topic=4313.0)
Zumindest der dort beschriebene WorkArround funktioniert
-
Danke für die Antworten!
Mittlerweile bin ich auf OpenVPN umgestiegen.
-
Hallo zusammen,
die 16.7 amd64 lief bei mir ohne Probleme auf meiner apu2...nach einem Upgrade auf 17.1 war auch noch alles in Ordnung...doch mit dem Upgrade auf die 17.1.1 ging es auch bei mir los...
Ping ja...ssh und der Rest war nicht moeglich ???
Sobald ich in der Oberflaeche etwas geaendert habe verschwindet das Interface enc0...egal wo oder was.
Aber es laeuft wieder...ich habe folgendes gemacht...
auf der Konsole das Interface enc0 Haendich wieder hinzugefügt und das Board neu gestartet.
Danach ging ping aber der Rest mal wieder nicht...nach einem /usr/local/etc/rc.reload_interfaces und ein ipsec restart war dann alles wieder in Ordnung ;D
Der Befehl ipsec restart verwirrt mich etwas :-\ ich bekomme auf der Konsole folgende Meldung...
Stopping strongSwan IPsec...
Starting weakSwan 5.5.1 IPsec [starter]...
ist das normal :o Ich bin im Bereich FreeBSD ein Neuling kann also mit Fachbegriffen nicht viel anfangen ;D
Ich habe auch den Parameter net.pf.share_forward=0 in die Tunables eingetragen.
Habe jetzt ohne etwas zu aendern mal neu gebootet und das Interface war noch da 8)
Aber ohne ein rc.reload_interfaces und ipsec restart geht da nix :( :(
In der rules.debug fehlen auch die ganzen VPN Rules vor den beiden Aufrufen. :o
Gruß