Messages

Hello,

I configured a mobile IPSec connection, the tunnel went up fine but I can only access the LAN Adress of the OpnSense nothing else. I've checked the Firewall settings on the IPSec IF and allowed for testing purposes any
Does anybody have an Idea what the problem could be?
For the setup I followed the IPSec RoadWarrior Guide provided by OpnSense

Hallo zusammen, ich habe mir vor kurzem IPSec für mobile Clients eingerichtet, funktioniert soweit auch, mein Problem ist nur ich erreiche im LAN nur die Firewall, überall sonst komm ich nicht hin. Hatte schon ausprobiert dem Tunnel-netz im statischen Routen die LAN-Adresse der Sense als Gateway zu geben, hat leider auch nicht geklappt. Firewallmäßig ist auf dem IPSec IF testweise alles erlaubt gewesen - leider auch ohne Erfolg.

Hat jemand von euch vielleicht eine Idee?

danke :)

Hi zusammen, hab dazu im netz nichts gefunden und wollte deswegen mal hier nachfragen

Gibt es eine Möglichkeit auf der sense Adressobjekte zu definieren, also mehrere Netze/Ips zu einem Objekt zusammenfassen und dann darauf Regeln anwenden?

Danke & Grüße

     
    Netz1( 192.168.100.0) dieses Netz nur über 443| | Netz 2(192.168.200.0) (dieses Netz alle Ports)
            :
            :

multiple IP-Sec-Connections
            :
            :
            :
            |
        WAN | IP or Protocol
            |
      .-----+------. 
      |  OPNsense 
      '-----+------'   
            |
        LAN | 10.0.0.1/24
            |


            |
    ...-----+------... (Clients/Servers)


Passt das so?
Auf welchem Interface müssen dann die Regeln gemacht werden? LAN oder?

es ist eine Site2Site Verbindung also das ganze Netz

also das Remote Subnet von der gegenseite oder? das hab ich so gemacht

Hallo zusammen, hoffe euch geht es gut :)

Ist es möglich für einzelne IPSec Verbindungen nur bestimmte Ports zu erlauben und für die restlichen IPSec Verbindungen alles?
Hatte es versucht mit einem allow Port 443 und dann block all für Netz zB. 192.168.110.0/24 und danach ein allow all

funktioniert leider nicht, es geht immer noch alles durch

Die Regel hab ich sowohl für das ipsec if als auch lan ausprobiert, leider ohne erfolg


und falls sich wer wundert, nein ich sitze an keiner produktiven FW, bin nur student und bastel privat damit grad bisschen rum ;)

über OpenVPN hab ichs bisher auch gelöst gehabt, funktioniert auch tadellos - Problem ist dass alle im Homeoffice sind und sich die Clients deswegen nicht am DC beim start melden, was aber von "oben" gewünscht wird

Hi all, hope you're doing good :)

maybe you can help me with this: we tried to set up a IPSec tunnel between two Sites:


Site1[Wireguard Firewall, local Network behind NAT/from: 192.168.100.0 to 192.168.105.0]--------[WAN]-------[OpnSense]

Phase1 seems to work just fine, but we can't get phase2 up and running, getting these error logs:

Wireguard: ERROR  0x021a0011 Received unacceptable traffic selector in IKE_AUTH request

OpnSense: received TS_UNACCEPTABLE, no CHild_SA built

They've changed their network for testing purposes to another, so we don't need NAT, the tunnel went up and everything worked - our problem is the local Network on the Wireguard site has to be nated, for we have another customer with the same local Network

Has anybody an idea on how to solve this?

Hi zusammen,
vielleicht habt ihr eine Idee und zwar habe ich nach der Anleitung von OpnSense (https://docs.opnsense.org/manual/how-tos/ipsec-road.html) IPSec für Mobile Clients eingerichtet, das funktioniert soweit auch ganz gut, das einzige Problem was ich hab: sobald ich verbunden bin ist die einzige erreichbare Kiste im LAN die Sense selbst, bei allem anderen keine chance. Dachte erst an die Firewall aber hab im Live-Log nichts gesehen. Es sind auch noch andere Site2Site IPSec Verbindungen auf der Sense, die funktionieren tadellos
Wenns hilft kann ich gerne auch die config mal posten

Danke euch, hat einwandfrei funktioniert :)

Danke :) ich werds mal ausprobieren

Jop alles Win10 Clients

ich hab openvpn gui installiert

das in dem Link hab ich tatsächlich schon ausprobiert, hat nichts geholfen, vielleicht nach einem Neustart; hatte nur ein flushdns gemacht

Danke werde ich ausprobieren :)