Messages

Hallo zusammen,
ich habe noch eine ältere Sophos XGS107 bei mir rumliegen.
Über die Serial Konsole habe ich schon OPNSense installieren können.
Nur die Netzwerkkarten werden leider nicht erkannt.
Meine Frage dazu:
Hat schon mal jemand die XGS107 mit OPNsense zum laufen gebracht?
Oder weiß jemand welche Netzwerkkarten in der Kiste verbaut sind?
Oder wie kann ich noch weitere Netzwerkkarten Treiber aktivieren / installieren?

Vielen Dank
Marc

Hm, schade.
Gibt es sonst noch irgendeinge Möglichkeit das trotzdem zu realisieren ?

Also:
Einen Tunnel mit bis zu 4 Phase 2 einträgen.
Anfrage kommt von
172.45.10.103 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.115

Anfrage kommt von
172.45.10.115 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.210

Anfrage kommt von
172.45.10.210 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.103

Das ist ja das komische an der Sache,
Rechner A sendet rein, Rechner B empfängt die Antwort.

Hi,
wenn ich die Portaufzeichnung auf IPSec starte und den Ping mache, ist die Aufzeichnung leer.
Da kommt nix. :-\

Hallo zusammen,
ich bin ein wenig am verzweifeln.
Bisheriger Stand der Dinge:
OpenVPN Server, alles gut, läuft.
Fritzbox per IPSec angebunden, alles gut, läuft.
Jetzt aber zum Problem:
Ich muss 3 Rechner und ein Netzwerk per IPSec bei uns im Haus anbinden.
Leider existiert unser Netz schon beim Dienstleister, so dass ich NAT before IPSec umsetzen muss.
Das klappt leider nicht.
Der Tunnel läuft soweit. Alles grün. Aber kein Ping geht.
Die Konfiguration sieht so aus:
Tunneleinstellung Phase 2:

Lokales Netzwerk:
Typ: Netzwerk
Adresse: unbenutztes neues Netzwerk / 16
Entferntes Netzwerk:
Typ: Netzwerk:
Erster Rechner /32
Mauelle SPD Einträge: Unser lokales Netzerk / 16

Nat eins zu eins:
Schnittstelle: IPsec
Typ: Binat
Externes Netzwerk: unbenutztes neues Netzwerk / 16
Quelle: unser lokales Netzwerk / 16
Ziel: Erster Rechner / 32

NAT reflection ist deaktiviert.

Ping geht leider nicht. Es kommt keine Verbindung zu stande.
Zudem wenn ich mir den Status anschaue, dann kommt von der Gegenseite eine Anfrage von Rechner A rein und die Antwort geht an Rechner C wieder raus.
Irgenwie verliert die OPNSense wer welche Anfrage durch den Tunnel geschickt hat. Bzw. das Nat läuft nicht sauber.

Was ich schon versucht habe:
Natreflection aktiviert.
Phase 2 von Netzerk auf Host

Ich hoffe ihr habt eine Idee dazu. Bin froh über jeden Tip.

Gruß Marc

Hallo zusammen,
danke für die Infos. Werde die beiden Zeiten auf 3600 einstellen.
So langsam läuft alles. Vielen Dank an alle

Hallo zusammen,
ich habe es selbst gefunden. Der Ferne Gateway war noch auf mobiler Client eingestellt.
Habe diesen deaktiviert und einen neuen Tunnel Phase 1 und 2 erstellt.
Siehe da. Verbindung steht.  :)

Version hatte ich noch vergessen:
OPNSense: 19.1.6
Fritzbox: 07.01

Hallo zusammen,
erstmal ein großes Lob an das Forum.  :)
Nur leider finde ich keine Lösung um eine Fritzbox per IPSec an die OPNSense anzubinden.
Fritzbox per Dyndns. OPNSense mit Fester IP.
Ich habe folgendes auf der OPNSens eingestellt:

Schnittstelle:
WAN: Blockiere private Netze ist "raus".

Firewallregeln:
IPSec P: IPV4 Q:* P:* Z:* P:* G:*
WAN: P: IPv4 ESP Q:* P:* Z: WAN Adresse P:* G:*
         P: IPv4TCP/UDP Q:* P:* Z:WAN Adresse P:500(ISAKMP) G:*
         P: IPv4TCP/UDP Q:* P:* Z:WAN Adresse P:4500(IPSec NAT-T) G:*

IPSec Tunneleinstellungen:
Allgemeine Informationen:
Anschlussart: sofort starten
Schlüsselaustauschversion: V1
Internt Protokol: IPv4
Schnittstelle: WAN

Phase1:
Authentifizierungsmethode: Murtal PSK
Bestimmungsmodus: Aggressive
Meine Kennung: DNS Name der OPNSense

Phase1 Vorschlag:
Verschlüsselung: AES 256
Hash: SHA1
DH: 2 (2024)
Zeit: 28800

Aktiviert ist nur noch: Install Policy
Phase 2:
Modus: Tunnel IPv4
Typ: LAN Subnetz
Protokol: ESP
Verschlüsselung: AES 256
Hash: SHA1
Gruppe: 2(1024)
Zeit: 3600

Mobile Clients ist aktiviert

Pre-Sharde Schlüssel habe ich erstellt.
Kennung: DYNDns Name der Fritzbox

In der Protokolldatei steht leider immer wieder:
charon: 16[IKE] <6936> no proposal found
charon: 16[CFG] <6936> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Die Fritzbox habe ich wie folgt konfiguriert.
vpncfg {
connections {
  enabled = yes;
  conn_type = conntype_lan;
  name = "Name der Verbindung"; // NAME der Verbindung
  always_renew = yes; // Verbindung immer herstellen
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remoteip = xxx.xxx.xxx.xxx ; // Feste oeffentliche IP der pfSense Firewall
  remote_virtualip = 0.0.0.0;
  localid {
    fqdn = "DNS Name der Fritzbox"; // dyndns name der FritzBox
    }
  remoteid {
    ipaddr = xxx.xxx.xxx.xxx; // Feste oeffentliche IP der pfSense Firewall
    }
  mode = phase1_mode_aggressive;
  //mode = phase1_mode_idp;
  phase1ss = "dh2/aes/sha";
  keytype = connkeytype_pre_shared;
  key = "xxxxxxxxxxxx";
  cert_do_server_auth = no;
  use_nat_t = no;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = IP Netz der Fritzbox;
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = LAN hinter der OPNSense;
      mask = 255.255.0.0; // inklusive Subnetmask
      }
    }
  phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; // wichtig, da sonst kein Datenaustausch
  accesslist = "permit ip any LANNETZOPNSense 255.255.0.0"; // Firewall Einstellungen für pfSense Subnetz
  }
}

Leider komme ich einfach nicht weiter.
Ich habe es mit DH14 und SHA256 auch getestet. Leider alles ohne erfolg.
Muss oder wo kann ich den entfernten Gateway eintragen?

Besten Dank Marc