Messages

Gude schon wieder,

es läuft. Ich habe mit der "FritzBox Fernzugang Einrichten" Software eine neue Verbindung zwischen 2 FritzBoxen eingerichtet. In der erstellten VPN Verbindung habe ich dann noch den erzeugten Preshared Key gegen den, den ich zuvor auf der OPNSense eingerichtet habe, ausgetauscht und anschließend in die Fritzbox importiert.

Danke an alle, die mir bei der Lösung geholfen hatten

Moin JeGr,

ich hoffe Du bist mittlerweile wieder fit. Gibt es von Deinem letzten Meeting eine Aufzeichnung bzw. hast Du oder auch die Anderen eine Empfehlung für OPNSense Schulungen, also auch kostenpflichtige?

Moin micneu,

sorry hat etwas länger gedauert. Erste einmal danke für Deinen unermüdlichen Einsatz hier im Forum.

Nur um es einmal erwähnt zu haben, die Versionen von OPNSense und Fritzbox sind folgende:

OPensense:     OPNsense 20.7.3-amd64
Fritzbox 7590: FritzOS 7.12

Anbei noch die Screenshots

Natürlich habe ich nach Fritzbox und IPsec gesucht. 69 Treffer. Da habe ich mir nur angeschaut, was vom Betreff ungefähr zu meinem Problem gepasst hat. Ich habe auch nach micneu + fritzbox und micneu + ipsec gesucht. Sorry, ich habe nichts gefunden, was mir weitergeholfen hat. Trotzdem Danke für das Bild, das Du angefügt hast. Ich habe nun meine Einstellungen aufgrund dieses Bildes und Deiner Anleitung IPSec_Fritzbox_config.pdf angepasst. Trotzdem bekomme ich keinen Tunnel zwischen Frite und OPNSense hin. Am October 14, 2020, 05:53:22 am hattest Du ja erwähnt, dass eine .cfg Datei nicht mehr notwendig ist. Daraufhin habe ich auf der Fritzbox unter Internet->Freigaben->VPN eine Verbindung manuell hinzugefügt und gehoft, dass das reicht.

Die Sense wirft folgendes aus:

2020-10-17T20:59:19   charon[40008]   06[ENC] <1995> generating INFORMATIONAL_V1 request 2342351190 [ N(AUTH_FAILED) ]
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> no peer config found
2020-10-17T20:59:19   charon[40008]   06[CFG] <1995> looking for pre-shared key peer configs matching <OPNSense>...<Fritzbox>[<DYNDNS_Name>]
2020-10-17T20:59:19   charon[40008]   06[CFG] <1995> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> <Fritzbox> is initiating a Aggressive Mode IKE_SA
2020-10-17T20:59:19   charon[40008]   06[ENC] <1995> received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received NAT-T (RFC 3947) vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received DPD vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received XAuth vendor ID
2020-10-17T20:59:19   charon[40008]   06[ENC] <1995> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
2020-10-17T20:59:19   charon[40008]   06[NET] <1995> received packet: from <Fritzbox>[500] to <OPNSense>[500] (713 bytes)
2020-10-17T20:59:14   charon[40008]   06[NET] <1994> sending packet: from <OPNSense>[500] to <Fritzbox>[500] (56 bytes)

Auf der Fritzbox gibt es in den Ereignissen nur einen IKE-Error 0x203f was laut FritzBox Hilfe "authentication failed" bedeutet

Noch einmal Danke für Eure Antworten.

@Gauss23 - Grundsätzlich sollen die Niederlassungen auf die Zentrale zugreifen. Als Admin würde ich mich natürlich darüber freuen, wenn ich innerhalb der Zentrale oder einer Niederlassung überall Zugriff erhalten würde

@micneu - Hast Du eine Idee, wo ich im Forum Deine Anleitung finden könnte? Leider blieb meine Suche bisher erfolglos

Danke für Deine Antwort. Allerdings war das jetzt nicht ganz meine Frage. Lancom ist am laufen und die Fritzboxen machen noch ein Problem mit dem Importieren der CFG Datei. Den Fehler finde ich bestimmt auch noch. Ich wollte nur wissen, ob es Sinn macht, jedem der Tunnel auf der OPNSense Seite einen eigenen Bereich für das lokale Netz zuzuweisen oder alle in einem Netzwerk zusammen zu fassen. Also wie im angefügten Bild die 192.168.205.0/24 für Niederlassung 1, die 192.168.206.0/24 für Niederlassung 2 usw.

Oder macht es Sinn bei allen 3 Niederlassungen den gleichen Bereich 192.168.205.0/24 anzugeben.

Alternativ ist mir noch die Idee gekommen, weitere VLANs auf der LAN Schnittstelle der OPNSense anzulegen (z.B. VLAN_IPSEC oder VLAN_IPSec_NL1 .... NL2 .... NL3 und diese dann wie im zweiten Bild als Typ auszuwählen.

Macht sowas Sinn, um evtl. besser mit Firewall Regeln den Zugriff aus den Niederlassungen auf die Ressourcen der Zentrale händeln zu können? Sorry wenn ich so dumm fragen muss, ich bin mit OPNSense noch ziemlich am Anfang

Anbei eine Grobübersicht, im Moment keine neuen Investitionen dank Corona. Muss also mit dem bestehenden arbeiten

Gude, Moin, Servus und Hallo zusammen,

ich muss mehrere S2S Verbindungen über IPsec zur Zentrale einrichten. In der Zentrale ist eine OPNSense an den anderen Standorten Lancom oder Fritzboxen. Bedeutet ja, dass ich auch mehrere IPsec Phase1 und 2 einrichten muss. Wie gehe ich den am besten in der Zentrale jeweils in der Phase2 mit der lokalen Adresse vor? Nehme ich für jede Verbindung ein neues lokales Netz "Host oder Netzwerk" (Tunnel1 192.168.1.0/24, Tunnel2 192.168.2.0/24....) oder benutze ich für alle Tunnel das gleiche lokale Netzwerk? Oder macht es Sinn, ein oder mehrere VLANs für die Gegenstellen zu konfigurieren und diese als Schnittstelle(n) in der Phase2 auszuwählen?

Hoffe ich konnte einigermaßen erklären, um was es mir geht.

Viele Grüße aus dem schönen Rheingau

Andreas

[Default Deny Rule, obwohl Regel vorhanden]

Hallo noch einmal,

bei meinem zweiten Problem mit dem SSH zwischen LAN und VLAN bin ich scheinbar auch weiter gekommen. Ich hatte den folgenden Foren Beitrag gefunden:

Default Deny Rule, obwohl Regel vorhanden  https://forum.opnsense.org/index.php?topic=7406.0

Daraufhin habe ich bei Firewall: Regeln: LAN --> Default allow LAN to any rule (IPv4) in den Erweiterten Einstellungen den Statustype auf "Sloopy-Status" gestellt. Danach funktioniert der Zugriff wie gewünscht.

Frage ist nun, ob es Sinn macht, dies so zu belassen oder sollte ich mein Problem auf einem anderem Weg umgehen.

Gruß aus Dortmund
Andreas

Hallo Bernd,

danke für Deinen Input. Inbound NAT habe ich deaktiviert, Outbound NAT angepasst und auf der Fritzbox die Einstellung vorgenommen. Und siehe da, mein VOIP Problem scheint sich erledigt zu haben.

Vielen Dank noch einmal auch im Namen meiner Eltern ;-)

Gruß
Andreas

...und das Log beim VOIP Problem

Hier noch NAT und Alias

Moin Zusammen,

anbei die Bilder zu den Firewallregeln. Bei den VOIP Regeln habe ich im Moment TCP/UDP eingestellt, nachdem ich vorher alles andere getestet habe.

Anbei noch einmal 3 Bilder zu dem SSH Thema

Hab mal schnell eine Übersicht zusammen gebastelt.