OPNsense Forum

International Forums => German - Deutsch => Topic started by: computeralex92 on July 31, 2017, 07:04:54 pm

Title: [GELÖST] Probleme mit AWS Site to Site VPN
Post by: computeralex92 on July 31, 2017, 07:04:54 pm
Hallo zusammen,

wir kämpfen hier gerade mit einem kleinem Problem:

Ziel: Über die Firewall einen IPSec-Tunnel aufzubauen, der unser lokales Netz mit einer AWS VPC verbindet (also Site2Site).
Problem: Der Tunnel steht, aber es gehen keine Daten durch.

Wir haben schon mit dem AWS Support rumgemacht, kommen aber nicht hinter das Problem.
Im Endeffekt steht der Tunnel, aber es gehen keinerlei Daten von beiden Seiten drüber, weder ICMP noch SSH etc.
Auch die Byte-Zahl in der Tunnel-Statistik bleibt auf 0 stehen.

Ich hab die aktuellen Einstellungen von Phase 1 und 2 angehängt; diese wurden gemäß der Vorgaben von AWS hinterlegt (analog zu PFSense).

Hoffentlich weiß jemand von euch Rat.

Merci,

Alex

Title: Re: Probleme mit AWS Site to Site VPN
Post by: JeGr on July 31, 2017, 10:21:30 pm
Wurden denn auch entsprechend Regel angelegt? Bei AWS muss m.W. ja auch das verwendete Netz hinterlegt werden etc.?
Title: Re: Probleme mit AWS Site to Site VPN
Post by: computeralex92 on August 01, 2017, 08:36:11 am
Wurden denn auch entsprechend Regel angelegt? Bei AWS muss m.W. ja auch das verwendete Netz hinterlegt werden etc.?

Bei AWS wurde alles gemäß Vorgaben vom AWS Support hinterlegt.
Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 01, 2017, 08:10:17 pm
Ich nehme an, du benutzt das AWS eigene VPN oder hast Du dir eine eigene VPN mit StrongSwan erstellt?
Das gleiche Problem hatte ich mit IPFire und hatte deswegen eine eigene Instanz benutzt. Im Zuge der Umstellung auf OPNSense (am folgenden Wochenende geplant) will ich das auf die AWS VPN Lösung umstellen. Dann kann ich Dir berichten

Viele Grüße

Jörg
Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 01, 2017, 08:12:34 pm
Wenn AWS VPN:
Bist nach dieser Anleitung vorgegangen?
Title: Re: Probleme mit AWS Site to Site VPN
Post by: computeralex92 on August 01, 2017, 08:30:09 pm
Wenn AWS VPN:
Bist nach dieser Anleitung vorgegangen?

Wir sind genau nach dieser Anleitung vorgegangen.
Nach ein paar Sitzungen heute mit dem AWS Support hat sich folgender Verdacht erhärtet:
Der Traffic wird nicht richtig geroutet.

Die Prüfung der Routing Tabelle zeigt, dass das Subnetz von der Firewall über das externe Interface geroutet wird.
Stimmt das so?

Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 01, 2017, 08:33:29 pm
Das kann nicht stimmen. Der Traffic aus dem AWS VPC muss über die interne IP eurer Firewall gehen
Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 01, 2017, 08:38:39 pm
Schau mal unter VPC -> Routing Table -> (euer VPC) -> Route

Als Target für euer Netz im Office, was steht da drin?
Title: Re: Probleme mit AWS Site to Site VPN
Post by: computeralex92 on August 01, 2017, 08:45:11 pm
Das kann nicht stimmen. Der Traffic aus dem AWS VPC muss über die interne IP eurer Firewall gehen

Beweisfoto im Anhang...  :-[

Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 01, 2017, 08:48:53 pm
Da sollte die ID vom virtual private gateway drin sein

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg
Title: Re: Probleme mit AWS Site to Site VPN
Post by: computeralex92 on August 01, 2017, 08:57:12 pm
Da sollte die ID vom virtual private gateway drin sein

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg

Du sagst es: sollte...

Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 01, 2017, 09:00:15 pm
Dann editiere die Route und trage das Gateway ein. Es fängt mit vgw-xxxxxx an
Title: Re: Probleme mit AWS Site to Site VPN
Post by: computeralex92 on August 01, 2017, 09:17:59 pm
Dann editiere die Route und trage das Gateway ein. Es fängt mit vgw-xxxxxx an

Naja, auf AWS Seite ist alles eingetragen, und auch die Opnsense hab ich dazu gezwungen, jetzt die IP des VPN Endpoints zu verwenden.
Ergebnis: geht nicht.

Interressant ist auch, dass er mit eingetragener Route auf der Opnsense den Traffic in Richtung Standleitung (also Standard-GW) schickt, da ich von dem Gateway der Standleitung den Fehler bekomme, er kennt das Zielnetz nicht.

Aus meiner Sicht liegt der Fehler darin, dass die Opnsense den Traffic stur auf die Standleitung schießt und jede Route etc übergeht.
Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 02, 2017, 10:01:39 am
Wenns bis zum Wochenende Zeit hat, dann kann ich Dir berichten. Die Umstellung von IPFire auf OPNSense und die Ablösung der eigenen VPN Instanz mit Strongswan bei AWS ist bei mir am Samstag
Title: Re: Probleme mit AWS Site to Site VPN
Post by: computeralex92 on August 03, 2017, 07:44:46 am
Wenns bis zum Wochenende Zeit hat, dann kann ich Dir berichten. Die Umstellung von IPFire auf OPNSense und die Ablösung der eigenen VPN Instanz mit Strongswan bei AWS ist bei mir am Samstag

Mal schauen wer schneller ist ;)
Aktuell sind wir überlegen, den Opnsense Business Support zu buchen; vielleicht kommen wir dann der Lösung näher...
Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 05, 2017, 11:25:24 am
Hi Alex,

die Umstellung ist abgeschlossen. Alle IPSec Tunnel mittels AWS VPN funktionieren und routen auch. Ich kann Dir anbieten, dass wir uns entweder per Telefon oder Skype mal unterhalten. Alles weitere sollten wir aber per PN austauschen
Die Lösung können wir ja wieder hier posten, da es bestimmt noch welche gibt, die entsprechende Probleme haben oder noch bekommen.

Viele Grüße

Jörg
Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 06, 2017, 11:14:46 am
Ich glaube ich weiß was Dein Problem ist. Du hast nach Erstellung der der VPN Connection die Route Propagation nicht aktiviert. Die ist Default aus, warum auch immer.

Siehe meine beiden Screenshots. 192.168.1.0/24 ist eines unserer Netze im Office

Frage an Franco, ist ein HowTo gewünscht wie man OPNSense mit den Amazon Webservices VPNs verbindet?
Title: Re: Probleme mit AWS Site to Site VPN
Post by: franco on August 06, 2017, 11:40:05 am
Hi Jörg,

Das wäre genial!! :)


Danke,
Franco
Title: Re: Probleme mit AWS Site to Site VPN
Post by: computeralex92 on August 07, 2017, 08:35:15 am
Hallo zusammen,

mit komme mit guten Nachrichten zurück aus dem Wochenende: ES GEHT!
Ich hab mich heute morgen ein wenig gespielt und bin über die Standard-Firewall Rule, die jeden Ausgehenden Internet Traffic rauslässt, gefallen.
Und siehe da: da ist der Fehler mit drin...

Ich hatte vor einiger Zeit (so ca. nen Jahr her) eine Gateway-Gruppe zwischen unserer Standleitung und einer ADSL-Anbindung aufgebaut und dort als GW eingetragen.
Das übergeht aber die System-Routing-Tabelle und ergo ist der Traffic für den VPN Traffic über die GW Gruppe geschickt worden.

Kaum war dort wieder das GW auf "default" eingetragen, geht die VPN Verbindung wie sie soll :-D

@Jörg: Vielen Dank für deine tolle Hilfe. Wenn du Hilfe bei dem HowTo brauchst, sag bescheid ;-)

VG;

Alex

Title: Re: [GELÖST] Probleme mit AWS Site to Site VPN
Post by: jmalter on August 07, 2017, 01:35:16 pm
Hi Alex,

das sind gute Nachrichten.
Ich fange mal mit der Doku an und schicke sie Dir zum Review.

Viele Grüße

Jörg
Title: Re: Probleme mit AWS Site to Site VPN
Post by: jmalter on August 07, 2017, 09:48:51 pm
Das wäre genial!! :)

Ist im Board Tutorials and FAQs