OPNsense Forum
International Forums => German - Deutsch => Topic started by: computeralex92 on July 31, 2017, 07:04:54 pm
-
Hallo zusammen,
wir kämpfen hier gerade mit einem kleinem Problem:
Ziel: Über die Firewall einen IPSec-Tunnel aufzubauen, der unser lokales Netz mit einer AWS VPC verbindet (also Site2Site).
Problem: Der Tunnel steht, aber es gehen keine Daten durch.
Wir haben schon mit dem AWS Support rumgemacht, kommen aber nicht hinter das Problem.
Im Endeffekt steht der Tunnel, aber es gehen keinerlei Daten von beiden Seiten drüber, weder ICMP noch SSH etc.
Auch die Byte-Zahl in der Tunnel-Statistik bleibt auf 0 stehen.
Ich hab die aktuellen Einstellungen von Phase 1 und 2 angehängt; diese wurden gemäß der Vorgaben von AWS hinterlegt (analog zu PFSense).
Hoffentlich weiß jemand von euch Rat.
Merci,
Alex
-
Wurden denn auch entsprechend Regel angelegt? Bei AWS muss m.W. ja auch das verwendete Netz hinterlegt werden etc.?
-
Wurden denn auch entsprechend Regel angelegt? Bei AWS muss m.W. ja auch das verwendete Netz hinterlegt werden etc.?
Bei AWS wurde alles gemäß Vorgaben vom AWS Support hinterlegt.
-
Ich nehme an, du benutzt das AWS eigene VPN oder hast Du dir eine eigene VPN mit StrongSwan erstellt?
Das gleiche Problem hatte ich mit IPFire und hatte deswegen eine eigene Instanz benutzt. Im Zuge der Umstellung auf OPNSense (am folgenden Wochenende geplant) will ich das auf die AWS VPN Lösung umstellen. Dann kann ich Dir berichten
Viele Grüße
Jörg
-
Wenn AWS VPN:
Bist nach dieser Anleitung vorgegangen?
-
Wenn AWS VPN:
Bist nach dieser Anleitung vorgegangen?
Wir sind genau nach dieser Anleitung vorgegangen.
Nach ein paar Sitzungen heute mit dem AWS Support hat sich folgender Verdacht erhärtet:
Der Traffic wird nicht richtig geroutet.
Die Prüfung der Routing Tabelle zeigt, dass das Subnetz von der Firewall über das externe Interface geroutet wird.
Stimmt das so?
-
Das kann nicht stimmen. Der Traffic aus dem AWS VPC muss über die interne IP eurer Firewall gehen
-
Schau mal unter VPC -> Routing Table -> (euer VPC) -> Route
Als Target für euer Netz im Office, was steht da drin?
-
Das kann nicht stimmen. Der Traffic aus dem AWS VPC muss über die interne IP eurer Firewall gehen
Beweisfoto im Anhang... :-[
-
Da sollte die ID vom virtual private gateway drin sein
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg
-
Da sollte die ID vom virtual private gateway drin sein
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-create-vpg
Du sagst es: sollte...
-
Dann editiere die Route und trage das Gateway ein. Es fängt mit vgw-xxxxxx an
-
Dann editiere die Route und trage das Gateway ein. Es fängt mit vgw-xxxxxx an
Naja, auf AWS Seite ist alles eingetragen, und auch die Opnsense hab ich dazu gezwungen, jetzt die IP des VPN Endpoints zu verwenden.
Ergebnis: geht nicht.
Interressant ist auch, dass er mit eingetragener Route auf der Opnsense den Traffic in Richtung Standleitung (also Standard-GW) schickt, da ich von dem Gateway der Standleitung den Fehler bekomme, er kennt das Zielnetz nicht.
Aus meiner Sicht liegt der Fehler darin, dass die Opnsense den Traffic stur auf die Standleitung schießt und jede Route etc übergeht.
-
Wenns bis zum Wochenende Zeit hat, dann kann ich Dir berichten. Die Umstellung von IPFire auf OPNSense und die Ablösung der eigenen VPN Instanz mit Strongswan bei AWS ist bei mir am Samstag
-
Wenns bis zum Wochenende Zeit hat, dann kann ich Dir berichten. Die Umstellung von IPFire auf OPNSense und die Ablösung der eigenen VPN Instanz mit Strongswan bei AWS ist bei mir am Samstag
Mal schauen wer schneller ist ;)
Aktuell sind wir überlegen, den Opnsense Business Support zu buchen; vielleicht kommen wir dann der Lösung näher...
-
Hi Alex,
die Umstellung ist abgeschlossen. Alle IPSec Tunnel mittels AWS VPN funktionieren und routen auch. Ich kann Dir anbieten, dass wir uns entweder per Telefon oder Skype mal unterhalten. Alles weitere sollten wir aber per PN austauschen
Die Lösung können wir ja wieder hier posten, da es bestimmt noch welche gibt, die entsprechende Probleme haben oder noch bekommen.
Viele Grüße
Jörg
-
Ich glaube ich weiß was Dein Problem ist. Du hast nach Erstellung der der VPN Connection die Route Propagation nicht aktiviert. Die ist Default aus, warum auch immer.
Siehe meine beiden Screenshots. 192.168.1.0/24 ist eines unserer Netze im Office
Frage an Franco, ist ein HowTo gewünscht wie man OPNSense mit den Amazon Webservices VPNs verbindet?
-
Hi Jörg,
Das wäre genial!! :)
Danke,
Franco
-
Hallo zusammen,
mit komme mit guten Nachrichten zurück aus dem Wochenende: ES GEHT!
Ich hab mich heute morgen ein wenig gespielt und bin über die Standard-Firewall Rule, die jeden Ausgehenden Internet Traffic rauslässt, gefallen.
Und siehe da: da ist der Fehler mit drin...
Ich hatte vor einiger Zeit (so ca. nen Jahr her) eine Gateway-Gruppe zwischen unserer Standleitung und einer ADSL-Anbindung aufgebaut und dort als GW eingetragen.
Das übergeht aber die System-Routing-Tabelle und ergo ist der Traffic für den VPN Traffic über die GW Gruppe geschickt worden.
Kaum war dort wieder das GW auf "default" eingetragen, geht die VPN Verbindung wie sie soll :-D
@Jörg: Vielen Dank für deine tolle Hilfe. Wenn du Hilfe bei dem HowTo brauchst, sag bescheid ;-)
VG;
Alex
-
Hi Alex,
das sind gute Nachrichten.
Ich fange mal mit der Doku an und schicke sie Dir zum Review.
Viele Grüße
Jörg
-
Das wäre genial!! :)
Ist im Board Tutorials and FAQs