OPNsense Forum

International Forums => German - Deutsch => Topic started by: Domi741 on March 21, 2017, 06:42:39 pm

Title: [GELÖST] VPN von FB zu OPNsense hinter FB
Post by: Domi741 on March 21, 2017, 06:42:39 pm
Hallo zusammen,

leider muss ich hier zu Hause zur Zeit die OPNsense hinter meiner Fritzbox betreiben und nicht direkt mit dem extra gekauften Vigor 130 =( Dennoch würde ich gerne die VPN Funktion der OPNsense nutzen, allerdings scheitert es am Verbindungsaufbau.

Nun würde ich aber gerne wieder das VPN mit der Fritzbox von meinem Vater nutzen, aber es will nicht.

Zum generellen Aufbau:
WAN -> Fritzbox LAN (192.168.254.1) -> (WAN: 192.168.254.250) OPNsense -> (LAN 192.168.88.254)

Das Fremde Subnetz lautet: 192.168.178.0/24

In meiner Fritzbox ist der VPN Dienst deaktiviert und die Ports (ESP, 500 UDP & 4500 UDP) sind zur OPNsense weitergeleitet.

Zur Zeit sieht es für mich so aus, als ob die Fritzbox auf der Gegenseite nicht antwortet, da ich im Firewall Log zwar den ausgehenden Verkehr sehe, aber nichts zurück kommt.

Ich hänge mal die Konfig der FB vpn.cfg Datei, die IKE Phase 1 und 2 der OPNsense und einen Logfileauszug aus der OPNsense bei.

Lg
Dominic
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: theq86 on March 21, 2017, 08:36:21 pm
leider muss ich hier zu Hause zur Zeit die OPNsense hinter meiner Fritzbox betreiben und nicht direkt mit dem extra gekauften Vigor 130

Welchen Grund hat das? Einen technischen kann ich mir fast kaum vorstellen.
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: Domi741 on March 21, 2017, 08:39:56 pm
leider muss ich hier zu Hause zur Zeit die OPNsense hinter meiner Fritzbox betreiben und nicht direkt mit dem extra gekauften Vigor 130

Welchen Grund hat das? Einen technischen kann ich mir fast kaum vorstellen.

Und genau das ist es. Siehe hier: https://forum.opnsense.org/index.php?topic=4785.0
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: theq86 on March 21, 2017, 08:51:54 pm
Ah, okay. Entertain ...

Also, du hast die Fritze mit dem Internet verbunden.
LAN Adresse der Fritze ist 192.168.254.1, vermute das Netz ist 192.168.254.0/24
LAN Addresse der sense im Fritze Netz ist 192.168.254.250
LAN Netz der sense ist 192.168.88.254

Du hast jetzt also vom Internet bis zum LAN der sense 2x NAT.

1x vom Internet zum Fritze-LAN
1x vom Fritze-LAN zum Sense-LAN.

Du musst also soweit ich das sehe in der Sense ausgehendes NAT aktivieren für alles was über die Sense ins Fritze-LAN soll. Sonst funktioniert imho die Rückkommunikation zwischen sense und Fritze nicht.

Edit: Oder NAT in der Sense komplett deaktivieren sollte auch gehen.

Leider bin ich noch nicht der Experte was die Einstellungen an der Sense dafür angeht.
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: Domi741 on March 21, 2017, 08:56:56 pm
Also das ausgehende NAT ist aktiv mit der Standard Einstellung. Muss ich die etwa ändern?

Screen anbei :)

Wenn ich NAT komplett deaktiviere, dann geht nichts mehr.
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: theq86 on March 21, 2017, 09:01:02 pm
Also ich sehe zB. das Netz 192.168.254.0/24 nicht in deiner NAT Config (dafür aber ein 192.168.253.0/24 Netz)

Wie ist denn deine Fritze an die sense angeschlossen? Bzw. wie ist an der Sense die Schnittstelle konfiguriert? Ist das ne WAN Schnittstelle mit statischer IP?
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: Domi741 on March 21, 2017, 09:03:45 pm
Das sind interne Netzwerke mit vlans umgesetzt. Zum testen und spielen ;)

Der WAN port an der sense mit statischer IP, gerade wegen diesem Portforwarding fürs VPN.
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: theq86 on March 21, 2017, 09:09:11 pm
Also, wenn die sense mit dem wan port mit statischer IP an der fritze hängt, dann sollte er automatisch schon richtig natten. warum dann dein 254er Netz nicht in der Liste der NATs auftaucht ist mir schleierhaft.

Sind in der WAN Schnittstelle auch folgende Haken deaktiviert?
Blockiere private Netze   
Blockiere Bogon-Netze
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: Domi741 on March 21, 2017, 09:16:10 pm
Also ich würde sagen das 254er ist ja über WAN abgedeckt, der macht ja das NAT für die LANs ins WAN dadurch taucht es nicht auf.

Habe den Bogon Haken mal noch entfernt, aber keine besserung :/ die privaten Netze waren schon deaktiviert

Ich kämpfe nun seit gut na Woche damit -,- werde am Wochenende mal den WAN der Fritzbox tracen, mal gucken was da so rein und raus geht. Vielleicht kommt ja gar nix zurück von der gegenstelle und ich suche für dumme nüsse bei mir.
Title: Re: VPN von FB zu OPNsense hinter FB
Post by: Domi741 on March 26, 2017, 01:16:29 pm
Es funktioniert...

Und ich habe lediglich gestern aus Spass eine Kleinigkeit an meiner Fritzbox verändert..
Habe lediglich die IPv6 Einwahl abgestellt so dass er nur noch IPv4 macht. -,-

An der Gegenseite ist IPv4 und IPv6 aktiv geblieben.


Thread kann dann als Gelöst gekennzeichnet werden.