Messages

Moin!

Grundsätzlich sieht die Config plausibel aus. Der "Eindeutige Benutzername" hat bei mir eigentlich immer gut funktioniert, das würde ich daher so lassen.

In Deinem charon-Log steht als Port die 4500, das wäre der NAT-T-Port. Hast Du zwischen den Geräten noch ein NAT? Sicherheitshalber kannst Du auf der OPNsense in den Firewall-Regeln für das WAN-Interface die UDP-Ports 500 und 4500 für das Ziel "WAN-IP" freigeben. Außerdem für ESP-Pakete eine Pass-Regel.

Am Lancom würde ich per SSH im Live-Trace den VPN-Verbindungsaufbau beobachten: Per SSH auf dem Lancom anmelden und dann "trace # vpn-status" einschalten. Der gleiche Befehl nochmals eingegeben schaltet das Tracing auch wieder aus.

Notfalls könntest Du noch checken, ob überhaupt Pakete der OPNsense beim Lancom ankommen. Mit "trace # ip-router @ wan.ip.der.opnsense" solltest Du da etwas sehen können.

Das "Ferne Gateway" kann IMHO bei mehreren Verbindungen "0.0.0.0" sein. Die Verbindungen müssen unterschiedliche "Peer Identifier" haben. Die IP-Adresse geht da dann nicht, aber man kann z.B. unterschiedliche E-Mail-Adressen nehmen. Die Mailadresse muss dafür nicht zwingend existieren.

Wie bekomme ich sowas trotzdem ans laufen? Bei der vorher genutzten Bintec war einfach die Hostadresse der Gegenstelle leer und die Verbindungen wurden efolgreich aufgebaut, nur das erlaubt ja die OPNsense nicht...

Man kann die Hostadresse auf der OPNsense auf 0.0.0.0 setzen.

Der Verbindungsaufbau sollte dann vom LTE-Router aus in Richtung OPNsense erfolgen.

Running a WIFI Accesspoint on PC hardware sounds not very energy-efficient for me.
I would buy one or more (depending on the size of the location) real accesspoints (not routers), eg. Ubiquiti and a PoE-and VLAN-capable switch. If you already have a proxmox host you could easily run an Unifi controller.

Same problem here!

I configured https://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz as Remote ACL. Testing this URL in the browser works perfectly, but "Download ACL" fails: After downloading no categories are selectable.

I did some further investigation: SSH to opnsense and start the python script on the shell:

Code Select Expand

root@opnsense:~ # python3 /usr/local/opnsense/scripts/proxy/fetchACLs.py
Traceback (most recent call last):
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 444, in _error_catcher
    yield
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 567, in read
    data = self._fp_read(amt) if not fp_closed else b""
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 533, in _fp_read
    return self._fp.read(amt) if amt is not None else self._fp.read()
  File "/usr/local/lib/python3.9/http/client.py", line 463, in read
    n = self.readinto(b)
  File "/usr/local/lib/python3.9/http/client.py", line 507, in readinto
    n = self.fp.readinto(b)
  File "/usr/local/lib/python3.9/socket.py", line 704, in readinto
    return self._sock.recv_into(b)
  File "/usr/local/lib/python3.9/ssl.py", line 1275, in recv_into
    return self.read(nbytes, buffer)
  File "/usr/local/lib/python3.9/ssl.py", line 1133, in read
    return self._sslobj.read(len, buffer)
socket.timeout: The read operation timed out

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 381, in <module>
    main()
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 325, in main
    for filename, basefilename, file_ext, line in acl.download():
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 153, in download
    self.fetch()
  File "/usr/local/opnsense/scripts/proxy/fetchACLs.py", line 88, in fetch
    data = req.raw.read(10240)
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 593, in read
    raise IncompleteRead(self._fp_bytes_read, self.length_remaining)
  File "/usr/local/lib/python3.9/contextlib.py", line 137, in __exit__
    self.gen.throw(typ, value, traceback)
  File "/usr/local/lib/python3.9/site-packages/urllib3/response.py", line 449, in _error_catcher
    raise ReadTimeoutError(self._pool, None, "Read timed out.")
urllib3.exceptions.ReadTimeoutError: HTTPSConnectionPool(host='dsi.ut-capitole.fr', port=443): Read timed out.


Internet connectivity is VDSL 100 from German Telekom, the script ran several minutes before throwing this error above. Downloading the file in a browser takes only a few seconds (27 MB). So I believe there must be a bug in the Download Remote ACL section...

I also had a look at the internet traffic (tcpdump on WAN, limited to host IP "dst.ut-capitale.fr"). While running the python script there was constantly traffic from that IP. A lot of incoming TCP packets which all got ACKed.

Any ideas?

FYI: Same error here.

Schuss ins Blaue: Hast Du die Tunnelnetze und/oder dein Heimnetz im Webproxy unter "Erlaubte Subnetze" eingetragen?

Ist das womöglich eine Windows Active Directory Domäne? Diese Infrastruktur ist stark DNS-lastig. Unter diesen Bedingungen würde ich den DNS-Dienst auf der Windows-Büchse belassen und den Pihole als Upstream-DNS-Server im Windows-DNS eintragen.

If snmp does not help you should analyze the traffic with tcpdump and/or wireshark.

Printer drivers often try to get the status of the printer via SNMP (UDP/161). So you could try to allow this protocol.

Ein Lancom 1783VA hat eine Freescale P1014E CPU, also keine Intel oder ARM Architektur. Dürfte daher nicht machbar sein.

tcpdump und Lancom VPN-Trace wären an dieser Stelle auch meine Empfehlung. Du kannst auch gerne die Lancom Trace-Ausgabe posten, ggf. anonymisiert.

IKEv2 zwischen Lancom und OPNsense funktioniert prinzipiell, das hatte ich schon einmal am Laufen. Bei deiner Situation "Lancom hinter Fritzbox" würde ich den Lancom die Verbindung aufbauen lassen. Also Haltezeit der Verbindung = 9999.

Den Verbindungsaufbau am Lancom kann man per SSH tracen: "trace # vpn-status" schaltet das Tracen ein und auch (bei erneuter Eingabe) wieder aus. Der VPN-Log in der Sense für die andere Seite dürfte klar sein?

Ist das verwendete IPSEC-Protokoll auf beiden Seiten identisch (IKEv1 oder IKEv2)?
Die Verschlüsselung (Algo, Schlüssellänge, DH-Gruppe, HMAC, Aggressive oder Main Mode, ...) müssen auf beiden Seiten matchen.
Die Richtung des Verbindungsaufbaus sollte aufeinander abgestimmt sein. Einer sollte auf die eingehende Verbindung warten, der andere sollte sie initiieren. Beim Lancom ist das die Haltezeit der Verbindung: 0 Sekunden = Warten auf eingehende Verbindung, 9999 Sekunden = Verbindung wird vom Lancom aufgebaut.
Hast du feste oder dynamische IPs? Oder eine Seite fest und die andere dynamisch?

Is the server clock running with exact time?