OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of ssim »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - ssim

Pages: [1]
1
German - Deutsch / Re: IPSec Problem nach Adresswechsel mit DynDNS
« on: September 07, 2022, 10:14:36 pm »
Ich beschreibe das ganze mal als Netzwerk 1 und 2.
N1 ist bei mir, die OPN Sense ist die Firewall/Router. Davor ein Modem am Telekom DSL.

--------------Netzwerk 1 ----------------------

Internet/DSL----||---Zyxel-Modem----||---OPNSense---||--Switch---||---Endgeräte

-------------------------------------------------

N2 besteht im Prinzip aus dem gleichen Aufbau, nur dass Modem, Firewall und Switch aus einer Fritzbox 7590 bestehen:

--------------Netzwerk 2 ---------------------

Internet/DSL----||----FB7590----||----Endgeräte

------------------------------------------------


Da die Fritzbox ein WireGuard-VPN aktuell nur im Labor und nicht fehlerfrei kann,
habe ich derzeit eine IP-Sec Verbindung zwischen den beiden Netzwerken/Routern.

Da es Privatkundenanschlüsse sind, habe ich natürlich keine feste IP, weshalb beide
Router über eine eigene Subdomain mittels DynDNS meiner Strato-Domain erreichbar sind.

Die Verbindung funktioniert einwandfrei, das Problem ist nun nur folgendes:
Die OPNSense speichert die IP der Gegenseite ab, die Verbindung kommt einmal zu stande.
Nach einem Adresswechsel der Fritzbox(N2) bricht die Verbindung logischerweise ab.

OPNSense bzw. IP-Sec macht nun aber keinen erneuten DNS-Lookup der Subdomain, sondern versucht immer
zur alten Adresse zu verbinden, was natürlich nicht geht.

-Erst bei einem Reboot der OPNSense funktioniert es wieder, da dabei der Adressspeicher gelöscht wird.

Ich hoffe die Netzpläne sind gut verständlich, sind ja eher einfache Konfigurationen.

Hier noch die VPN Konfig der OPNSense:

Code: [Select]
<ipsec>
    <phase1>
      <ikeid>1</ikeid>
      <iketype>ikev1</iketype>
      <interface>opt1</interface>
      <mode>aggressive</mode>
      <protocol>inet</protocol>
      <myid_type>fqdn</myid_type>
      <myid_data>#sub.domain.von.OPNSense.de#</myid_data>
      <peerid_type>fqdn</peerid_type>
      <peerid_data>#sub.domain.von.FB7590.de#</peerid_data>
      <encryption-algorithm>
        <name>aes</name>
        <keylen>256</keylen>
      </encryption-algorithm>
      <lifetime>28800</lifetime>
      <pre-shared-key>#presharedkey#</pre-shared-key>
      <authentication_method>pre_shared_key</authentication_method>
      <descr>StS VPN</descr>
      <nat_traversal>on</nat_traversal>
      <auto>start</auto>
      <dhgroup>14</dhgroup>
      <hash-algorithm>sha512</hash-algorithm>
      <private-key/>
      <remote-gateway>#sub.domain.von.FB7590.de#</remote-gateway>
    </phase1>
    <phase2>
      <ikeid>1</ikeid>
      <uniqid>62dd76bf9c819</uniqid>
      <mode>tunnel</mode>
      <pfsgroup>14</pfsgroup>
      <lifetime>28800</lifetime>
      <descr>P2 StS VPN</descr>
      <protocol>esp</protocol>
      <localid>
        <type>network</type>
        <address>192.168.24.0</address>
        <netbits>24</netbits>
      </localid>
      <remoteid>
        <type>network</type>
        <address>192.168.178.0</address>
        <netbits>24</netbits>
      </remoteid>
      <encryption-algorithm-option>
        <name>aes256</name>
      </encryption-algorithm-option>
      <hash-algorithm-option>hmac_sha512</hash-algorithm-option>
      <reqid>1</reqid>
    </phase2>
    <client/>
    <enable>1</enable>
  </ipsec>

2
German - Deutsch / Re: Probleme bei Portweiterleitung
« on: August 26, 2022, 12:30:33 am »
Hi,

versuch doch mal ohne den Alias den Port als Zahl bzw. Range einzutragen.
Evt. hast du da beim Alias was falsch hinterlegt. :D

3
German - Deutsch / IPSec Problem nach Adresswechsel mit DynDNS
« on: August 26, 2022, 12:12:46 am »
Hi zusammen,

ich nutze IPSec von OPNSense zu einer Fritzbox 7590. Leider ist WireGuard aufgrund akuter Laborprobleme von Fritz nochnicht ernsthaft einzurichten. (Stand Juli)

Die IPSec-Verbindung funktioniert sehr gut, allerdings nur bis die Fritzbox eine andere IP-Adresse bekommt.

Das Problem ist in dem Fall, dass IPSec keinen erneuten Lookup macht, und immer die erstmalige IP-Adresse der FritzBox verwenden möchte.

Nach einem Neustart aktualisiert OPNSense die Adresse wieder und es funktioniert.

Ich gehe stark davon aus, dass es an IPSec liegt, da das Protokoll einfach nicht für die Nutzung mit DynDNS gedacht ist, wäre aber trotzdem froh, wenn es zumindest einen Workaround bzw. eine Einstellung gäbe,
um nach einem Verbindungsabbruch einen erneuten Lookup zu machen (ohne Neustart).

Vielen Dank im Vorraus für eure Hilfe!

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2