Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - flycondor

Pages1
#1
German - Deutsch / IPsec mit Multiwan
August 28, 2018, 08:48:18 AM
Hallo Zusammen,

wir haben Opnsense in der Version 18.7.1 mit Multiwan (Loadbalancer) laufen.
Die beiden WAN-Anschlüsse befinden sich in eine Gatewaygruppe. Diese Gatewaygruppe wurde als Schnittstelle für den IPsec-Tunnel für mobile Clients ausgewählt.
Firewallregeln sind alle eingerichtet. Die Einwahl über den WAN2-Anschluss funktionieren einwandfrei. Stelle ich im Client die Zieladresse auf den WAN1 um, bekommen wir immer die Meldung:

Code Select
no IKE config found for xxx.xxx.xxx.xxx...yyy.yyy.yyy.yyy, sending NO_PROPOSAL_CHOSEN

Irgendeiner eine Idee woran es liegen kann?
#2
German - Deutsch / Multiwan und OpenVPN-Client
August 15, 2018, 12:04:27 PM
Hallo,

Wir haben Opnsense (18.7) mit Multiwan (Loadbalancer) nach der  Anleitung im Wiki eingerichtet. So ist der aktuelle Aufbau:
Code Select

            WAN                      WAN
                 :                        :
                 : CableProvider          : DSL-Provider
                 :                        :
            .----+----.              .----+----.
            | Router1 |    Router    | Router2 |
            '----+----'              '----+----'
  192.168.1.1/24 |                        | 192.168.178.1/24
                 |      .----------.      |
                 +------| OPNsense |------+
       192.168.1.12/24 '----+-----' 192.168.178.31/24
                             |
                         LAN | 172.30.1.1/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers)

Diese Konfiguration funktioniert.

Zusätzlich wurde noch eine OpenVPN-Client eingerichtet, der sich ausschließlich über den Kabelanschluss zu einem Server verbindet und die dortigen Netze per Routing dem LAN (Clients/Server) zur Verfügung stellt.
Um Einstellungen dafür vorzunehmen wurde eine Schnittstelle für den OpenVPNClient angelegt. Automatisch wurde von OPNsense für diese Schnittstelle ein Gateway eingerichtet. Für diese Schnittstelle wurden ausgehende NAT-Regeln angelegt:
Code Select

Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: 500 (statisch)
NAT-Adresse: Schnittstellenadresse

Schnittstelle: VPNClient-Interface,
Quelle: LAN-Netz,
Ziel: VPN-Netze (Alias)
Zielport: *
NAT-Adresse: Schnittstellenadresse

Damit kann ich aus dem LAN-Netz Geräte im VPNClient-Netz erreichen.

Jetzt zum Problem:


  • Bei einem Ausfall des Kabelanschlusses (Netzwerkkabel abgezogen) besteht kein Zugriff mehr auf das Internet. Die Routingtabelle (Firewall->Einstellungen->Erweitert->Änder des Gateways erlauben) wird geändert, so dass jetzt der VPN-Client als Default-Gateway eingestellt und nicht wie erwartet der DSL-Anschluss (aus der Gateway-Gruppe).
    Lösung: Nach dem deaktivieren das automatisch erzeugtem Gateways für das VPNClient-Interface, sind die Websiten erreichbar.
    Im Gateway haben wir für den VPN-Client folgenden Einstellungen vorgenommen:

    deaktivert: x
    Monitor-IP: IP-Adresse des externen VPN-Servers


  • Scheinbar nur zufällig, wird das Default-Gateway auf den DSL-Anschluss gesetzt. Manchmal existiert kein Default-Gateway in der Routing-Tabelle.
    Wenn die Route nicht gesetzt wurde oder diese Route wieder verschwunden ist, funktioniert auch die DNS-Auflösung nicht (Firewall-Regel für LAN lokale Route zum DNS eingerichtet), surfen mit bekannten IP-Adressen funktioniert weiterhin auf den Clients. 




Hat jemand vielleicht eine Idee, wo der Fehler liegt?
Vielen Dank
Pages1