Messages

1

German - Deutsch / Re: Heise Artikel

« on: February 08, 2020, 11:55:37 am »

ich finde, schaut aufgeräumter aus, als mein letztes 19.7. 

Was schaut denn anders aus als vorher? 

2

German - Deutsch / Re: IPSec zu VPN Provider... wo NAT?

« on: August 23, 2019, 05:24:44 pm »

This is my Log after Phase1:

Code: [Select]

Aug 23 17:19:07 charon: 12[KNL] <NordVPN_IPsec|1> querying policy 10.6.6.131/32 === 0.0.0.0/0 out failed, not found
Aug 23 17:18:48 charon: 12[ENC] <NordVPN_IPsec|1> parsed INFORMATIONAL response 7 [ ]
Aug 23 17:18:48 charon: 12[NET] <NordVPN_IPsec|1> received packet: from 134.19.189.123[4500] to 192.168.178.25[4500] (80 bytes)
Aug 23 17:18:48 charon: 12[NET] <NordVPN_IPsec|1> sending packet: from 192.168.178.25[4500] to 134.19.189.123[4500] (128 bytes)
Aug 23 17:18:48 charon: 12[ENC] <NordVPN_IPsec|1> generating INFORMATIONAL request 7 [ N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
Aug 23 17:18:48 charon: 12[IKE] <NordVPN_IPsec|1> sending address list update using MOBIKE
Aug 23 17:18:48 charon: 15[IKE] <NordVPN_IPsec|1> peer supports MOBIKE
Aug 23 17:18:48 charon: 15[IKE] <NordVPN_IPsec|1> CHILD_SA NordVPN_IPsec{1} established with SPIs c072bb4a_i cad3dd39_o and TS 10.6.6.131/32 === 0.0.0.0/0
Aug 23 17:18:48 charon: 15[CFG] <NordVPN_IPsec|1> selected proposal: ESP:AES_CBC_256/HMAC_MD5_96/NO_EXT_SEQ
Aug 23 17:18:48 charon: 03[KNL] interface tun0 activated
Aug 23 17:18:48 charon: 03[KNL] interface tun0 appeared
Aug 23 17:18:48 charon: 15[LIB] <NordVPN_IPsec|1> created TUN device: tun0
Aug 23 17:18:48 charon: 15[IKE] <NordVPN_IPsec|1> installing new virtual IP 10.6.6.131
Aug 23 17:18:48 charon: 15[CFG] <NordVPN_IPsec|1> handling INTERNAL_IP4_NETMASK attribute failed
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> installing DNS server 103.86.99.100 via resolvconf
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> installing DNS server 103.86.96.100 via resolvconf
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> maximum IKE_SA lifetime 10664s
Aug 23 17:18:47 charon: 15[IKE] <NordVPN_IPsec|1> scheduling reauthentication in 10124s
Ich denke dieser Link (Routing through remote network over IPsec) bildet die NordVPN IPsec Situation ab, wobei meine OPNsense das Home-Gateway wäre und NordVPN das DC-Gateway (ohne das DC-Netzwerk in grün, nur der rote Default-GW Pfad ins Internet).

3

General Discussion / Re: NordVPN and ipsec config

« on: August 22, 2019, 10:42:08 am »

Hi,

that works for IPSec Phase1 and Phase2 also, but
the resulting tun interface is not shown in WebGUI, neither in Firewall - Rules, nor in Interfaces ...

So, how can routing / NAT be manually configured until WebGUI handles this ?

4

German - Deutsch / Re: IPSec zu VPN Provider... wo NAT?

« on: August 22, 2019, 10:37:09 am »

Hallo,
ich würde das gerne weiterverfolgen und nicht einfach nieder reden.

Warum wird das Interface nicht in der WebGUI angezeigt, damit man damit KOnfigurationen einstellen kann?
Solange das Interface nicht angezeigt wird, wie erfolgt eine manuelle Konfiugration damit?

Mann kann unter /usr/local/etc/ipsec.opnsense.d/xy.conf eine manuelle IPsec Konfiguration anlegen.
Das damit erzeugte tun Interface muss man ja auch benutzen können... wie?
Soll heissen, wie route ich meine Subnetze in diesen Tunnel?

Ich habe übrigens 'installpolicy' = no gesetzt:
 

Code: [Select]

conn NordVPN_IPsec
  keyexchange = ikev2
  dpdaction = clear
  dpddelay = 300s
  forceencaps = no
  installpolicy = no

  left = %WAN-IP
  right = VPNSERVER

  leftsubnet = 0.0.0.0/0
  rightsubnet = 0.0.0.0/0

  leftsourceip = %config4
  leftauth = eap-mschapv2
  eap_identity = "EMAIL-ACCOUNT"

  rightid = %VPNSERVER
  rightauth = pubkey
  rightca = "/C=PA/O=NordVPN/CN=NordVPN Root CA/"

  esp = aes256-md5,aes256-sha1,aes192-md5,aes192-sha1,aes128-md5,aes128-sha1,blowfish256-md5,blowfish256-sha1,
blowfish192-md5,blowfish192-sha1,blowfish128-md5,blowfish128-sha1,3des-md5,3des-sha1,cast128-md5,cast128-sha1!

  type = tunnel
  auto = start

und als Ergebnis von Phase 2 einen routed IPsec tunnel: 10.6.6.x/32 <-> 0.0.0.0/0 erhalten,
d.h. NordVPN gibt mir diese 10.6.6.x/32 IP für den Tunnel Endpunkt zurück.

Code: [Select]

root@OPNsense:/usr/local/etc # ifconfig enc0
enc0: flags=41<UP,RUNNING> metric 0 mtu 1536
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: enc

root@OPNsense:/usr/local/etc # ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet6 fe80::6a05:caff:fe23:1654%tun0 prefixlen 64 scopeid 0xc
        inet 10.6.6.131 --> 10.6.6.131 netmask 0xffffffff
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: tun
        Opened by PID 7135

root@OPNsense:/usr/local/etc # route -4 show 10.6.6.131
   route to: 10.6.6.131
destination: 10.6.6.131
        fib: 0
  interface: tun0
      flags: <UP,HOST,DONE,PINNED,LOCAL>
 recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1500         1         0


Da ich kein Interface in der WebUI sehe, kann ich aber halt die Routen nicht konfigurieren :-(


Gruss
Neobiker