Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - luto

Pages1
#1
16.7 Legacy Series / Is there any way to manualy key peers in IPsec?
August 04, 2016, 11:56:24 PM
Hi there,

so far I was using a HERMES PRO/X router from Multidata as internet gateway. It was connected to an external DSL modem and allowed the connection to our branch site via IPsec. Additionally it was possible to use a homework office via IPsec. The router has a dynamically assigned IP address from our provider and updated this IP when it had changed.

Now I set up an opnsense firewall which should do the same. I am struggling with the branch site which was connected via IPsec using a manual keyed peer. I have a peername, some "Security Parameter Index" (SPI) with the value 0x200 and a "Shared Secret". Is it possible to establish such a connection with OPNSense? If so, how do I start?

Thanks for your help,

Thomas
#2
German - Deutsch / OPNSense statt HERMES: wie funktioniert das mit IPSec?
August 01, 2016, 11:23:34 PM
Hallo zusammen,

ich habe beruflich bisher einen HERMES-Pro/X-Router der Firma Multidata genutzt, der jetzt durch eine OPNSense-Installation ersetzt werden soll. Der HERMES-Router stellt dem LAN Internet vie pppoe über ein externes DSL-Modem zur Verfügung, macht einen LAN-Rechner über HTTPS erreichbar, knüpft ein VPN zu unserer Filiale und ermöglicht einen Heimarbeitsplatz via VPN (IPSec). Leider ist es nun so, dass gerade die IPSec-Geschichte dort völlig anders konfiguriert wird als bei OPNSense und so suche ich hier nun Hilfe bei der Portierung der Einstellungen. Meine Infrastruktur befindet sich in einem privaten 10.aaa.bbb.ccc-Netz, mein Software-Anbieter poolt die Verbindungen wohl (so verstehe ich das zumindest) und steuert die Anbindung über einen zentralen Hub.

Bisher sieht das im Hermes so aus:
Code Select

IPSec and VPN
Peername              |Mode   |VPN Routes
--------------------------------------------------------
MyName                |IKE    |172.xxx.yyy.1 255.255.255.255
filiale.dyn.server.de |Manual |10.aaa.bbb.0 255.255.255.0
hub.anbieter.de       |IKE    |10.0.0.0 255.0.0.0

List Manual Keys Peer
Peername              | SPI   | Shared Secret
-----------------------------------------------------
filiale.dyn.server.de | 0x200 | 0x12345678_abcdef12_98765432_fedcba32_456789ab_fe987654

List IKE Configured Peer
Peername        |Preshared Key  |Phase 1 Mode | Route to TE|ATU
----------------------------------------------------------------
MyName          |SecretKey      |Agressive    |direct      |No
hub.anbieter.de |LongerSecretKey|Main         |direct      |Yes

List VPN Route
Peer LAN IP   |Netmask          |IPSec Tunnel Endpoint
--------------------------------------------------
172.xxx.yyy.1 | 255.255.255.255 | MyName
10.0.0.1      | 255.0.0.0       | hub.anbieter.de
10.aaa.bbb.0  | 255.255.255.0   | filiale.dyn.server.de

Wenn ich das richtig verstehe existieren zwei Tunnels: ein permanenter zum Hub meines Software-Anbieters und ein Bedarfs-Tunnel für den Heimarbeitsplatz.

Kann mir jemand sagen wie ich das in OPNSense abbilden kann?
Pages1