Messages

Ja - das wäre die Option - nur ist die Frage was genau gewünscht ist. Und dann auch wo es klemmt.

traceroute (Windows: tracert) ist schonmal ein wichtiges Hilfsmittel um zu sehen wo es hängt.

Ich gehe von Gateway und Firewall Einstellungen aus.

Andreas

Also ich hab es auch nicht ganz verstanden - bitte stelle es schematisch besser dar.

So wie ich es verstehe baust du eine OpenVPN Verbindung auf und willst von deinem LAN aber nur noch über die VPN Verbindung surfen?

Dann benötigst du NAT - oder auf der gegenüberliegenden Firewall passende Rückrouten. Außerdem müssen die Firewall Regeln entsprechend gesetzt werden.

Ist schon peinlich wenn der "vermeintliche" Hersteller die verwendete Lizenz nicht kennt oder anerkennt...

Und die Art und weise wie da auf Twitter geschrieben wird ist einfach nur peinlich.

Es war offensichtlich eine gute Wahl zu OPNsense zu wechseln - mit so einem Verhalten will ich nichts zu tun haben!

Grüße
Andreas

Sofort Starten bedeutet dass er beim Start von IPsec sofort gestartet wird.
Wenn er dauerhaft Online bleiben soll verwende ich in Phase 2 immer die Ping Funktion - dann bleibt der Tunnel online/wird wieder aufgebaut.

Grüße
Andreas

Also - die Firewall Regel lässt Datenverkehr von Intern auf IPSEC zu. Das reicht nicht aus, der Rückweg muss auch erlaubt sein:

IPv4 * * * * * * zum Testen ist ein Anfang.

Routing bei IPsec ist nochmal ein anderes Thema. Unter System/Routen/Alle siehst du alle Routing Einträge - da sollten auch die für die definierten IPsec Verbindungen drin stehen und auf die IP Adresse des angegenben Öffentlichen Interfaces zeigen.
Eine Route auf das IPsec "Interface" gibt es nicht. Es ist nicht einfach nur ein Interface - die Firewall Regel gilt generell für IPsec Verbindungen.

Die IPsec Tunnel werden immer an das jeweils angegebene Interface gebunden. Üblicherweise WAN (DSL oder was auch immer). Sind denn Phase 1 und Phase 2 Einträge im IPsec erstellt?

Und danke an Wurmloch für die Links...

Danke Franco.

Hab mir hier schon den Schädel zermartert warum man das bei OpenSSL nicht sieht.

Also mit dem bereits geladenen aesni Modul sollten OpenVPN und IPsec darauf zugreifen können.

Grüße
Andreas

Hallo zusammen,

ich habe eine OPNsense auf KVM laufen. SandyBridge CPU und SandyBridge Funktionen an die VM durchgereicht.

Code Select Expand

CPU: Intel Xeon E312xx (Sandy Bridge) (3400.03-MHz K8-class CPU)
  Origin="GenuineIntel"  Id=0x206a1  Family=0x6  Model=0x2a  Stepping=1
  Features=0xf83fbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE,SSE2,SS>
  Features2=0x9ef82203<SSE3,PCLMULQDQ,SSSE3,CX16,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,AESNI,XSAVE,OSXSAVE,AVX,HV>
  AMD Features=0x2c100800<SYSCALL,NX,Page1GB,RDTSCP,LM>
  AMD Features2=0x21<LAHF,ABM>
  XSAVE Features=0x1<XSAVEOPT>

....

aesni0: <AES-CBC,AES-XTS> on motherboard


Die CPU Features werden richtig durchgereicht, aesni0 wird auch geladen. Aber wenn ich Teste wird es nicht angezeigt:

Code Select Expand

/usr/bin/openssl engine -t -c
ergibt:

Code Select Expand

(rsax) RSAX engine support
[RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]


Wie kann ich aesni richtig aktivieren? Unter System/Einstellungen/Verschiendenes ist unter Hardware die AES-NI aktiviert.

Nachtrag - openssl und libressl - habe ich versucht.

Grüße
Andreas

It was 2.3.0 pfsense. Changed the version tag in the config.xml to 11.2 and imported it to opensense.

I'll send you the config.xml.

Luckily it's both kvm virtual machines - I'm online on the pfsense again.

Regards

I have the same with 2 installations - both with a migrated configuration of pfsene.
It worked fine before the 16.7 update.

Basically the firewall rules are not working - the interfaces are not showing up in the firewall config (e.g. LAN, WAN, etc.) - OpenVPN and IPSEC are the only listed interfaces.

Please find my screenshots attached.