Messages

Vielen, vielen Dank. Ich wäre nie darauf gekommen, dass Einträge im IPsec Tab fehlen.
Hat funktioniert, zumindest mit dem ersten Eintrag.
Das werden ganz schön viele Einträge, ohje.


Lösung:
Wireguard Client Verbindung zu Standort a und über IPsec weiter zu Standort b:

Standort a:
IPsec Phase 2 Eintrag:
Local = Tunnel Address von Wireguard Standort a
Remote = IP des Remote Netzes Standort b

In Wireguard unter Endpoint muss bei AllowedIPs das Remote Netz des Standortes b

Standort b:
IPsec Phase 2 Eintrag:
Local IP = remote Netzwerk Standort b
Remote = Tunnel Address von Wireguard Standort a

Hallo,

ich habe einen Wireguard Server eingerichtet und der Wireguard Client kann auch auf alle Interface der OPNsense zugreifen.
In der OPNsense sind auch noch IPsec Tunnel in weitere andere entfernte Netze eingerichtet und ich würde gerne mit dem Wireguard Client über den Anschluss auch auf die entfernten IPsec Netze zugreifen.

Wie geht das?
Ich habe in div. Interfaces schon any any regeln angelegt um vielleicht die Ursache zu finden, aber die Erreichbarkeit ist nicht gegeben.
Wieso möchte ich das, um nur eine Wireguard konfig für alle Netzte zu haben, auch wenn die Verbindung dann über mehrere Anschlüsse hinweg geleitet wird.

Ich habe ein GLnet Router ebenfalls mit Wireguard Sever hinter eine Fritzbox gehängt ohne jegliche weitere Firewall regeln bis auf den Wireguard Port und dort kam ich auf anhieb auf alle entfernten IPsec Tunnel/Netze. Es kann also eigentlich nicht am Routing liegen sondern lediglich an den Firewall Einstellungen.

Vielen Dank für deine Mühe, so möchte ich es jetzt auch realisieren bzw. habe gestern einen test gemacht.

Ich habe das mit Openvpn dann doch verworfen, da IPSec aktuell noch wichtiger scheint, sonst muss alles neu eingerichtet werden, da es um mehrere Standorte geht.

Gestern habe ich einen test mit einem Zyxel VMG1312 im Bridgemode gemacht. Ein Tipp falls jemand den gleichen Router haben sollte und Probleme mit VDSL 50 (geringe Bandbreite). Es gibt eine aktuelle Firmware aber nur auf der Telekom Homepage nicht bei Zyxel.

Jedenfalls habe ich mit dem Zyxel im Bridgemode und VLan7 vor der OPNsense Standort A direkt eine VPN zur Fritzbox Standort B aufbauen können. Die Fritzbox Standort A hinter der Opensense habe ich in den Clientmodus umgestellt und an einen Lanport der Opensense angeschlossen. Die in der Fritzbox eingetragene VoIP Nummer (Telekom) wurde auch registriert, aber telefonieren funktioniert aktuell leider nicht (die Anrufe werden aber angezeigt). Ich nehme an es liegt an einem Port und ich kann das bestimmt lösen, da ich jetzt ja bereits die Bestätigung habe ohne gefragt zu haben  ;D

Vielen Dank für deine Antwort.
Bitte entschuldige die späte Rückmeldung ich hatte überhaupt keine Zeit.

Danke dann werde ich es nicht weiter versuchen, bin fast verzweifelt.

Die Fritzboxen kann man nicht im Bridgemode betreiben und ein anderes Modem kommt nicht in Frage. Es sind noch Analoge Geräte angeschlossen, die sich aktuell nicht austauschen lassen.

Ich werde mich an OpenVPN versuchen.

Guten Tag,

ich habe eine OPNsense hinter einer Fritzbox 7590 eingerichtet, nicht im Bridge Mode, sondern Fritzbox über Lan an WAN OPNsenes.

Die Geräte sind Online und alle Netzte sind untereinander erreichbar (zum test alle Regeln in der Firewall gelockert).

Ich bekomme aber keine IPsec VPN zu einer anderen Fritzbox eingerichtet und denke das Problem liegt an den unterschiedlichen IP Bereichen, Routing etc. 

Mit fehlt hier ehrlich gesagt auch das Verständnis und ich konnte auch keine Ipv4 Beispiele finden.
Ich habe bisher von jedem Router (CISCO, UML etc) eine VPN zu einer Fritzbox aufbauen können, habe aber noch nie eine Router Kaskade eingerichtet und auch keine Berührungspunkte mit mehreren IP Netzen.

Bei beiden Anschlüssen handelt es sich um VDSL IPv4 Anschlüsse mit fester IP, besser geht es nicht..


Die Fritzbox vor der Opnsense hat die IP 192.168.2.1

In der Fritzbox ist für die IP 192.167.2.7 (Transfer zur Opnsense) exposed host eingestellt, die Ports VPN Ports dann trotzdem noch mal manuell eingegeben 500, 4500 und ESP freigegeben.

VPN Benutzer sind deaktiviert.


Opnsense
Der WAN Port hat die 192.168.2.7 (im IP Bereich der Fritzbox und von dieser zugewiesen).
Am WAN Port ist DHCP aktiviert und der Haken bei "Block private Betworks" ist draußen.

Am WAN Port sind die Ports 500, 4500 und ESP freigegeben (wahrscheinlich irrelevant).
IPSEC komplett offen zum test.
LAN 1 192.168.1.1 und LAN 2 LAN 192.168.3.1 eingerichtet und ebenfalls DHCP aktiviert.
LAN 1 und LAN 2 ist ebenfalls komplett offen in der Firewall.
IPsec ebenfalls komplett offen.


Die gegenstelle also Fritzbox Standort B zeigt immer Timeout als Fehler.

Die OPNsense sagt nur
Oct 15 15:16:10   charon: 15[NET] <con1|13> sending packet: from 192.168.2.7[500] to 87.XXX.XXX.XXX [500] (488 bytes)
Oct 15 15:16:10   charon: 15[IKE] <con1|13> sending retransmit 1 of request message ID 0, seq 1

Es funktioniert also praktisch überhaupt nicht....

Kann das überhaupt funktionieren, wenn Opnsense als öffentlichen IP die WAN 192.168.7.2 (statt der richtigen öffentlichen) zu öffentliche IP Standort B Port anzeigt?

Connection   Version   Local ID   Local IP   Remote ID   Remote IP   Local Auth   Remote Auth   Status
(con1)   IKEv1   192.168.2.7   192.168.2.7   87.XXX.XXX.XXX   87.XXX.XXX.XXX pre-shared key

Der erste Berührungspunkt muss doch die öffentliche IP sein sonst geht die Verbindung ins leere oder ist das schon richtig?
Wenn nicht was muss ich tun?


VPN der OPNsense
Remote Ip die öffentliche IP des VDSL Anschlusses [87.XXX.XXX.XXX]
Local IP die 192.168.3.0/24


VPN Standort B Fritzbox
Remote IP die öffentliche IP meines VDSL Anschlusses [217.XXX.XXX.XXX]
Local IP der Fritzbox 192.168.10.0/24


Ich würde mich über eine Antwort freuen.