Messages

Thanks for the tip with the child

I also find the interface thing strange, but I don't know what I could have done wrong. An explicit setting for the interface would be useful, I use it often.

That's what I would have expected, but it doesn't seem to be the case.

I can see the false WAN IP in the log on the other side with the message "no IKE config found for ...... NO_PROPOSAL_CHOSEN"

Additional question: Where did the settings for:
"Connection Method" / Respond only etc.

Thank you for your help

Andi

Hello everyone,

I have connected two current Sense with an IPSEC (new version) via S2S VPN. So far everything is ok.

One of the sites has Multi WAN. But the backup WAN is not usable for the VPN.

In the legacy version I was able to select the interface for the tunnel. This option is missing in the new version. How can I bind the tunnel to a WAN interface?

Thanks, Andi

Same here, I think this is a bug.

Version   23.7.1_3

The NAT rule is important when, for example, the default GW is redirected. Without NAT no internet access is possible

Hello all,

I currently have the problem that various VPN profiles no longer work under Windows with version 2.6. The OPNsense have mostly 23.1_6

It seems to be a problem with the exported VPN profiles with OpenSSL 1.1.1

Is there a way to accept the profiles (p12 certificates) again?

Best, Andy

Hallo zusammen,

ich habe einen funktionierenden Tunnel von einer 19.1.7 zu einer (wahrscheinlich) Cisco. So weit läuft alles. Ich habe auch noch zwei weitere IPSEC Tunnel zu Schwesterfirmen.

Ursprünglich gab es unter den Firewall Regeln - IPSEC einfach ein allow any to any. Jetzt möchte ich aber das Netz von der Cisco limitieren und nur https zulassen.

Also habe ich eine Regel deny - Cisco Netz - any angelegt.
Zum Testen auch anders herum, deny - LAN - Cisco Netz
Beide Regeln nach ganz oben

Ich würde jetzt annehmen, dass nichts mehr zwischen LAN - Cisco Netz durchgeht, tut es aber immer noch. In der Firewall log steht dazu "IPsec internal host to host"

Was mache ich denn da falsch? Bei einer normalen Schnittstelle würde diese Regeln greifen.

Besten Dank, Andi

Hallo zusammen,

ich hätte mal eine Design Frage.

Wir bekommen demnächst ein neues Büro im gleichen Gebäude dazu. Zwischen den Büros wird ein LWL Kabel verlegt, dass aber durch fremde Mieteinheiten geht. Im Hauptbüro steht die ganze Technik (ISP Zugang, OPNsense, Server usw.), ins neue Büro kommen "nur" Arbeitsplätze.

Ich würde natürlich die Verbindung gerne per VPN schützen. Wie mache ich das denn am Besten? Einfach ein "Transfernetz" zwischen den Netzen erfinden und darüber alles routen?

Danke für die Hilfe schon mal, Andi

Ich habe leider immer noch ein Problem mit den S2S IPSec Tunnel. Da ich mich in meinem letzten Topic falsch ausgedrückt habe, ein neuer.

Site A und B
OPNsense 18.1 auf Jetway Hardware
kein NAT, hängt mit enem Vigor130 direkt im Netz

Site C
OPNsense 18.7 (seit heute, das Problem gabs aber vorher schon)
kein NAT, direkte IP

IPSec Tunnel ist aktiv, FW Regeln sind any to any, block private Netze an den Gateways aus

Site A und B -> C keine Verbindung
Site C -> A und B geht

Das ganze ist auch reproduzierbar. Site A -> Cisco S2S geht auch nicht, von Cisco -> A geht. In dieser Konstellation, ist das VPN Netz ein Public Netz. An der Cisco FW sieht man im log, dass die Anfragen von A nicht über den Tunnel gehen, sondern direkt auf die WAN Schnitstelle gehen. Site C ist eigentlich ganz neu ohne großartige Freigaben usw. - funktioniert aber trotzdem nicht.

Ich würde behaupten, das ist ein Routing / NAT Problem. Aber wie soll man da etwas einstellen? Leider sieht man die IPSec Routen ja nicht im Routing.

Hat jemand bitte einen Tip für mich?

Andi

Die Netze sind in der Phase 2 enthalten. Auch doppelt kontrolliert. Die gleichen Einstellungen in einer anderen OPNsense funktionieren ja auch, nur eben bei dieser OPNsense will kein Tunnel klappen.

Sorry, da hab ich mich wohl falsch ausgedrückt. Noch mal korrekt:

Route / Traffik von pfSense zu OPNsense geht - anders herum nicht. An den Firewall Regeln sollte es nicht liegen, die sind drin. Ich denke, es liegt irgendwo an den Routen. Die korrekte Route über den Tunnel sollte doch die OPNsense automatisch anlegen, oder?

Am Ping sollte es nicht liegen, z.B. rdp, smb geht auch nicht. Das muss etwas mit der Route zu tun haben.

Dauerping von Client1 pfSense -> Client2 OPNSense geht - dann geht auch
Ping von Client2 OPNSense - Client1 pfSense
Macht man die Pings aus, wartet kurz, dann geht der Ping von Client2 nicht mehr. Das Verhalten ist reproduzierbar.

Gleiche Konfiguration von einer anderen OPNsense mit gleicher Firmware funktioniert einwandfrei.

Die betreffende OPNsense wurde vor kurzem auf eine neue Hardware umgezogen. Vorher lief sie in einer HyperV Umgebung, jetzt nativ auf einer Jetway Hardware. Die Konfig wurde per Backup - Restore übernommen. Vorher gabe es keine S2S Tunnel. Die komplette OPNsense neu einzurichten ist ein riesen Aufwand, MultiWAN, haproxy usw. - das würde ich gerne vermeiden.

Hat noch jemand eine Idee?

Wir haben einige OPNsense im Einsatz und haben auch schon einige Tunnel eingerichtet aber aktuell will ein S2S Tunnel einfach nicht klappen.

Ich versuche einen Tunnel von einer OPNsense 18.1.10 zu einer pfSense 2.4.3 einzurichten. Beide Tunnel hängen direkt am Internet, einmal Vodafone einmal MNet.

Alles ganz normal eingerichtet, Firewall Regel für IPSEC auf beiden Seiten any - any. Tunnel kommt hoch, keine erkennbaren Fehler im Log.

Ping von Client bei pfSense -> OPNsense Client geht, pfSense -> OPNsense geht nicht.

Ich hab schon zig mal die FW Regeln für IPsec geprüft, steht aber any - any drin, Netze explizit angeben bringt auch nichts. Mir fällt nur auf, dass unter den Routes - Status das Gateway der OPNsense steht.

Ich habe das ganze auch schon gegen eine pfSense an anderen Standorten getestet, gleiches Problem.

Hat jemand einen Rat?