Messages

Ich habe nur Punkt 2 probiert. Nach Trennung und Erhalt einer neuen IP hat die Neuverbindung ca. 1/2 Minute gedauert. Erstmal musste die Synology den Verlust des VPN registrieren und hat dann innerhalb ein paar Sekunden neu verbunden. Ich hoffe, dass es so bleibt.

Hallo Andreas,
nein den hatte ich bisher nicht probiert weil ich ja im Prinzip statische IP-Adressen habe.
Bei einem "normalen" DSL Anschluß, damit meine ich ohne SIP-Trunk, macht die Telekom weiterhin eine Zwangstrennung man kann aber im Router einen haken setzen dass man eine feste IP möchte, damit bekommt man wieder die selbe IP. Aber Du hast recht, es ist ja eine Trennung der Leitung, ich werde das mal testen, tut ja nicht weh.
Danke für den Hinweis.
Gruß Jürgen

Hallo Andreas,
können beide Seiten die Verbindung aufbauen? Ich meinte mit dem Livelog ob du dort siehst dass die Gegenseite versucht die Verbindung zu initieren wenn dort z.B. ein Dauerping läuft und währenddessen die Verbindung getrennt wird.
Ich nehme mal an "normales" Internet geht.
Gruss Jürgen

Hallo Andreas,
hängen die OPENsense'n direkt am DSL oder ist da noch was vom Provider davor (FritzBox, DSL-Modem etc.)?
Kommt im LiveLog auf der OPNSense noch was an oder siehst Du überhaupt kein Datenpaket mehr.
In meinem Fall ist es so dass die Sophos die DSL-Leitung steuert und die Wireguard Ports auf die OPNSense forwarded. Dieses Forwarding funktioniert auf der Sophos nach der Trennung nicht mehr (OPNSense sieht kein Datenpaket mehr).
Gruss Jürgen

Hallo Andreas,
wirklich gelöst wurde das Problem bisher nicht, es hat sich aber gezeigt daß das Problem offensichtlich von der Sophos FW auf der DSL-Seite kommt.
Die OPNSensen werden inzwischen nicht mehr neu gebootet, nur die Sophos wird noch neu gestartet danach kommt der Tunnel sofort wieder hoch.
Das scheint ein bekannter Fehler auf der Sophos zu sein der zwar nicht allzu häufig auftritt aber ab und zu vorkommt.
Bei Deiner Beschreibung fällt mir auf dass du nach der Zwangstrennung eine n neue IP bekommst, kann denn diese IP über einen DYNDNS-Dienst dann auch aufgelöst werden. Möglicherweise ist das der Grund dass der Tunnel nicht mehr hoch kommt.

Hallo mimugmail,
darf ich meine Antwort mit den 30s zurückziehen  :) die Frage war ja wohl an Wired Life gerichtet nehme ich mal an.

Versuch doch mal auf beiden Seiten bei den allowed IP's die EIGENE Tunnel IP hinzuzufügen

Ja, der ist bei 30s

Hallo Wired Life,
eine Lösung kann ich Dir nicht wirklich bieten aber ich kann Dir sagen daß Du nicht alleine bist.
Schau Dir doch mal diesen Thread an
https://forum.opnsense.org/index.php?topic=16158.msg73895#msg73895.
Dort beschreibe ich ein ähnliches Problem. Ich konnte das inzwischen dahingehend eingrenzen dass es ausreicht den DSL Router (Sophos UTM) neu zu starten, danach kommt die Verbindung wieder hoch.
Das ist wirklich keine schöne Lösung aber eine bessere habe ich bisher nicht gefunden.
Auch hier handelt es sich um eine Wireguard Verbindung. In einer Testumgebung habe ich auch mal versucht das nachzustellen und die Zwangstrennung durch ziehen des Netzwerkkabels auf einer Seite zu simulieren,  das scheint aber nicht das gleiche zu sein, steckt man den Stecker wieder rein kommt die Verbindung sofort wieder hoch.
In diesem fall handelt es sich allerdings auf beiden Seiten um statische IP's, das Problem hat also nichts mit DNS zu tun.

Prüfe doch mal unter Firewall->Log->Live View ob da was geblockt wird.

Na ja, wenn Du das NAT abstellst musst Du per Regel den ausgehenden Verkehr erlauben, d.h. es wird eine Regel benötigt die das erlaubt.

Bekommen die alten Server ihre IP auch per DHCP, dann könntest Du über den DHCP-Server ja auch eine Route an die Server verteilen.
Oder Du trägst auf der alten FW eine Route in das neue Netz ein, dann sollten die alten Server einen icmp-redirect bekommen.
Was spricht dagegen das NAT auf der alten FW abzuschalten?

Hallo oekomat,
sorry wenn ich da für Verwirrung gesorgt habe, mein Hinweis bezog sich auf Wireguard., weil ich das ja angesprochen hatte
Hier der Link dazu.
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Aber egal ob OpenVPN oder Wireguard, in jedem Fall musst Du eine entsprechende Portweiterleitung auf der Fritzbox machen.
Zu finden auf der FB direkt in der Übersicht rechts unten  "Portfreigabe".
Dort "Neue Freigabe", da wählst Du dann "Andere Anwendung"  und "Portfreigabe".

Mir erschliesst sich irgendwie nicht warum Du das überhaupt NATen möchtest, das ist doch eine reine Routingaufgabe.
Die neue Firewall kennt das alte Netzt und die neuen Server benutzen die neue FW als default GW. Somit kommt das Datenpaket am alten Server an. Der alte Server antwortet an sein default GW oder an ein Gateway das für die Route zuständig ist, in diesem Fall wohl die alte FW, diw sendet dem alten Server ein redirect auf die neue Firewall und von da geht es weiter auf den neuen Server. Warum das NAT?

die frage kann man schlecht so beantworten, ich drücke es mal so aus. wenn du fit in der opnsense und netzwerktechnik bist, sollte es in 10 minuten erledigt sein.
wenn ich mich entscheiden muss wähle ich zurzeit noch OpenVPN als VPN. wireguard habe ich mich noch nicht so intensiv beschäftig auf der OPNsense. finde bisher kein gutes howto (ich mag howtos die auch schön bebildert sind wo was einzutragen ist). @oekomat melde dich mal mit einer persönlichen nachricht bei mir.

Da gibt es ein sehr gutes Tutorial bei Thomas Krenn. Google ist Euer Freund..

Nachtrag zum letzten Post.
Ich habe gerade mal flüchtig nachgesehen was VPNcilla überhaupt kann.
So wie es scheint ist das ein IPsec Client. IPsec ist für einen Anfänger relativ schwierig zu konfigurieren. Sorry, ich unterstelle hier einfach daß es sich bei Dir um einen Anfänger in Punkto vpn handelt.
Da wäre wireguard wesentlich einfacher zu konfigurieren.