"
Wir lösen das etwas anders ich habe eine extra IP für Opnsense das sie von außen "erreichbar" ist und die VMs dahinter laufen alle mit einem Extra Subnet von Hetzner (wir brauchen an jeder VM ne öffentliche IP) Die laufen dann als Virtual IPs am WAN Interface der Opnsense und werden über ein 1to1 NAT "durchgeschleift"
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#2
German - Deutsch / Re: Problem IPSEC mit Zertifikat
August 21, 2020, 10:54:27 PM
Sorry für die späte Antwort leider andere dringende Sachen im Kopf -_-
Logfile:
Logfile:
Quote2020-06-03T10:38:12 charon: 01[NET] <con1|32> sending packet: from XXX[500] to XXX[500] (80 bytes)
2020-06-03T10:38:12 charon: 01[ENC] <con1|32> generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
2020-06-03T10:38:12 charon: 01[IKE] <con1|32> no trusted RSA public key found for 'XXX'
2020-06-03T10:38:12 charon: 01[CFG] <con1|32> issuer is "XXX"
2020-06-03T10:38:12 charon: 01[CFG] <con1|32> no issuer certificate found for "XXX"
2020-06-03T10:38:12 charon: 01[CFG] <con1|32> using certificate "XXX"
2020-06-03T10:38:12 charon: 01[IKE] <con1|32> received end entity cert "XXX"
2020-06-03T10:38:12 charon: 01[ENC] <con1|32> parsed IKE_AUTH response 1 [ IDr CERT AUTH SA TSi TSr N(MSG_ID_SYN_SUP) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]
2020-06-03T10:38:12 charon: 01[NET] <con1|32> received packet: from XXX[500] to XXX[500] (1392 bytes)
2020-06-03T10:38:12 charon: 01[NET] <con1|32> sending packet: from XXX[500] to XXX[500] (384 bytes)
2020-06-03T10:38:12 charon: 01[ENC] <con1|32> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
2020-06-03T10:38:12 charon: 01[IKE] <con1|32> establishing CHILD_SA con1{402}
2020-06-03T10:38:12 charon: 01[IKE] <con1|32> authentication of 'XXX' (myself) with pre-shared key
2020-06-03T10:38:12 charon: 01[IKE] <con1|32> sending cert request for "XXX"
2020-06-03T10:38:12 charon: 01[IKE] <con1|32> received 1 cert requests for an unknown ca
2020-06-03T10:38:12 charon: 01[CFG] <con1|32> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
2020-06-03T10:38:12 charon: 01[ENC] <con1|32> received unknown vendor ID: dd:47:7b:3d:56:b7:72:0c:b4:21:05:71:f6:d2:06:30
2020-06-03T10:38:12 charon: 01[ENC] <con1|32> parsed IKE_SA_INIT response 0 [ SA KE No N(HTTP_CERT_LOOK) CERTREQ V ]
2020-06-03T10:38:12 charon: 01[NET] <con1|32> received packet: from XXX[500] to XXX[500] (237 bytes)
2020-06-03T10:38:12 charon: 01[NET] <con1|32> sending packet: from XXX[500] to XXX[500] (272 bytes)
2020-06-03T10:38:12 charon: 01[ENC] <con1|32> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2020-06-03T10:38:12 charon: 01[IKE] <con1|32> initiating IKE_SA con1[32] to XXX
#3
German - Deutsch / Re: Problem IPSEC mit Zertifikat
July 21, 2020, 08:11:57 AM
Hat hier wirklich niemand eine Idee?
#4
German - Deutsch / Problem IPSEC mit Zertifikat
June 04, 2020, 09:41:09 AM
Hallo,
ich habe vor kurzem den Acme-Clienten installiert um automatisch ein Zertifikat für meine Opnsense zu beziehen. Seit dem habe ich ein Problem mit einem VPN-Tunnel.
Wenn ich versuche den Tunnel von meiner Seite her aufzubauen schlägt das fehl wenn allerdings die Gegenstelle den Tunnel aufbaut funktioniert es.
Es wird ein Zertifikatsrequest von der Gegenseite geschickt und auch beantwortet allerdings werden auf dem Tunnel gar keine Zertifikate verwendet.
Ich habe nun gesehen das in strongswan die Option "left|rightsendcert" auf "ifasked" steht. Gibt es eine Möglichkeit diese Option in Opnsense irgendwie zu ändern? Ich habe in der GUI irgendwie keine Möglichkeit gefunden das zu machen.
Danke
ich habe vor kurzem den Acme-Clienten installiert um automatisch ein Zertifikat für meine Opnsense zu beziehen. Seit dem habe ich ein Problem mit einem VPN-Tunnel.
Wenn ich versuche den Tunnel von meiner Seite her aufzubauen schlägt das fehl wenn allerdings die Gegenstelle den Tunnel aufbaut funktioniert es.
Es wird ein Zertifikatsrequest von der Gegenseite geschickt und auch beantwortet allerdings werden auf dem Tunnel gar keine Zertifikate verwendet.
Ich habe nun gesehen das in strongswan die Option "left|rightsendcert" auf "ifasked" steht. Gibt es eine Möglichkeit diese Option in Opnsense irgendwie zu ändern? Ich habe in der GUI irgendwie keine Möglichkeit gefunden das zu machen.
Danke
#5
German - Deutsch / Re: IPSec Tunnel Nat
December 08, 2019, 07:15:08 PM
Now we need to add on each side the local LAN in the field "Manual SPD entries". <- Hast du das auch gemacht?
Damit die Pakete auch in den Tunnel geleitet werden?
Damit die Pakete auch in den Tunnel geleitet werden?
#6
German - Deutsch / Re: Wie richte ich eine Virtual IP richtig ein?
November 05, 2019, 04:42:04 PM
Ich benutze sowas ähnliches um ein Subnetz was ich vom Provider habe auf das WAN-Interface zu packen und dann per One-to-One NAT an die Maschinen weiter zu reichen.
Ich trage bei Gateway allerdings nichts ein und damit funktioniert das ganze prima, könnte eventuell der Fehler bei dir/euch sein?
Ich trage bei Gateway allerdings nichts ein und damit funktioniert das ganze prima, könnte eventuell der Fehler bei dir/euch sein?
#7
German - Deutsch / Re: QNAP VirtualizationStation für OPNsense (zumindest für einen Test)
November 05, 2019, 04:21:47 PM
Setze ich seit ca 2 Monate auf meinem TS 653Pro ohne Probleme ein.
Du musst nur aufpassen wenn du ein Firmwareupdate vom NAS machst und danach die Virtualization-Station nicht mehr läuft das du dann ne Ausweichmöglichkeit hast um online zu gehen :D
Du musst nur aufpassen wenn du ein Firmwareupdate vom NAS machst und danach die Virtualization-Station nicht mehr läuft das du dann ne Ausweichmöglichkeit hast um online zu gehen :D
Pages1
