"
Ich beschreibe das ganze mal als Netzwerk 1 und 2.
N1 ist bei mir, die OPN Sense ist die Firewall/Router. Davor ein Modem am Telekom DSL.
--------------Netzwerk 1 ----------------------
Internet/DSL----||---Zyxel-Modem----||---OPNSense---||--Switch---||---Endgeräte
-------------------------------------------------
N2 besteht im Prinzip aus dem gleichen Aufbau, nur dass Modem, Firewall und Switch aus einer Fritzbox 7590 bestehen:
--------------Netzwerk 2 ---------------------
Internet/DSL----||----FB7590----||----Endgeräte
------------------------------------------------
Da die Fritzbox ein WireGuard-VPN aktuell nur im Labor und nicht fehlerfrei kann,
habe ich derzeit eine IP-Sec Verbindung zwischen den beiden Netzwerken/Routern.
Da es Privatkundenanschlüsse sind, habe ich natürlich keine feste IP, weshalb beide
Router über eine eigene Subdomain mittels DynDNS meiner Strato-Domain erreichbar sind.
Die Verbindung funktioniert einwandfrei, das Problem ist nun nur folgendes:
Die OPNSense speichert die IP der Gegenseite ab, die Verbindung kommt einmal zu stande.
Nach einem Adresswechsel der Fritzbox(N2) bricht die Verbindung logischerweise ab.
OPNSense bzw. IP-Sec macht nun aber keinen erneuten DNS-Lookup der Subdomain, sondern versucht immer
zur alten Adresse zu verbinden, was natürlich nicht geht.
-Erst bei einem Reboot der OPNSense funktioniert es wieder, da dabei der Adressspeicher gelöscht wird.
Ich hoffe die Netzpläne sind gut verständlich, sind ja eher einfache Konfigurationen.
Hier noch die VPN Konfig der OPNSense:
N1 ist bei mir, die OPN Sense ist die Firewall/Router. Davor ein Modem am Telekom DSL.
--------------Netzwerk 1 ----------------------
Internet/DSL----||---Zyxel-Modem----||---OPNSense---||--Switch---||---Endgeräte
-------------------------------------------------
N2 besteht im Prinzip aus dem gleichen Aufbau, nur dass Modem, Firewall und Switch aus einer Fritzbox 7590 bestehen:
--------------Netzwerk 2 ---------------------
Internet/DSL----||----FB7590----||----Endgeräte
------------------------------------------------
Da die Fritzbox ein WireGuard-VPN aktuell nur im Labor und nicht fehlerfrei kann,
habe ich derzeit eine IP-Sec Verbindung zwischen den beiden Netzwerken/Routern.
Da es Privatkundenanschlüsse sind, habe ich natürlich keine feste IP, weshalb beide
Router über eine eigene Subdomain mittels DynDNS meiner Strato-Domain erreichbar sind.
Die Verbindung funktioniert einwandfrei, das Problem ist nun nur folgendes:
Die OPNSense speichert die IP der Gegenseite ab, die Verbindung kommt einmal zu stande.
Nach einem Adresswechsel der Fritzbox(N2) bricht die Verbindung logischerweise ab.
OPNSense bzw. IP-Sec macht nun aber keinen erneuten DNS-Lookup der Subdomain, sondern versucht immer
zur alten Adresse zu verbinden, was natürlich nicht geht.
-Erst bei einem Reboot der OPNSense funktioniert es wieder, da dabei der Adressspeicher gelöscht wird.
Ich hoffe die Netzpläne sind gut verständlich, sind ja eher einfache Konfigurationen.
Hier noch die VPN Konfig der OPNSense:
Code Select
<ipsec>
<phase1>
<ikeid>1</ikeid>
<iketype>ikev1</iketype>
<interface>opt1</interface>
<mode>aggressive</mode>
<protocol>inet</protocol>
<myid_type>fqdn</myid_type>
<myid_data>#sub.domain.von.OPNSense.de#</myid_data>
<peerid_type>fqdn</peerid_type>
<peerid_data>#sub.domain.von.FB7590.de#</peerid_data>
<encryption-algorithm>
<name>aes</name>
<keylen>256</keylen>
</encryption-algorithm>
<lifetime>28800</lifetime>
<pre-shared-key>#presharedkey#</pre-shared-key>
<authentication_method>pre_shared_key</authentication_method>
<descr>StS VPN</descr>
<nat_traversal>on</nat_traversal>
<auto>start</auto>
<dhgroup>14</dhgroup>
<hash-algorithm>sha512</hash-algorithm>
<private-key/>
<remote-gateway>#sub.domain.von.FB7590.de#</remote-gateway>
</phase1>
<phase2>
<ikeid>1</ikeid>
<uniqid>62dd76bf9c819</uniqid>
<mode>tunnel</mode>
<pfsgroup>14</pfsgroup>
<lifetime>28800</lifetime>
<descr>P2 StS VPN</descr>
<protocol>esp</protocol>
<localid>
<type>network</type>
<address>192.168.24.0</address>
<netbits>24</netbits>
</localid>
<remoteid>
<type>network</type>
<address>192.168.178.0</address>
<netbits>24</netbits>
</remoteid>
<encryption-algorithm-option>
<name>aes256</name>
</encryption-algorithm-option>
<hash-algorithm-option>hmac_sha512</hash-algorithm-option>
<reqid>1</reqid>
</phase2>
<client/>
<enable>1</enable>
</ipsec>
