OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of ma91it »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - ma91it

Pages: [1]
1
German - Deutsch / Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
« on: December 06, 2022, 12:10:59 pm »
Hallo Zusammen,

hättet ihr noch Ansätze, wie man das Problem beheben könnte?

Danke

Gruß Marco

2
German - Deutsch / Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
« on: December 01, 2022, 02:15:49 pm »
Manual outbound NAT rule generation
(no automatic rules are being generated)

1. NAT-Rule:

Interface    Source          Source Port    Destination          Destination Port    NAT Address       NAT Port    Static Port
WAN       WLAN_xyz net       *                Bintec_Router           *          X.X.X.X (second. WAN)    *       YES    

Wie beschrieben, Static Port hatte ich schon an und aus, das machte keinen Unterscheid.

Gruß Marco

3
German - Deutsch / Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
« on: December 01, 2022, 12:06:01 pm »
Quote from: pmhausen on December 01, 2022, 10:41:44 am
Im Firewall-Live-Log der Sense anschauen, was da blockiert wird?

Danke für deine Antwort, aber das WLAN-Netz darf alles nach extern.

Habe schon via tcpdump geschaut und sehe entsprechend die Anfragen und Replies (No Proposal Chosen kommt dann von der Gegenseite, vermeintlich weil "Infos" fehlen bzw. irgendwas "hineinspuckt"  ;D

4
German - Deutsch / Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
« on: December 01, 2022, 10:26:45 am »
Hallo Zusammen,

ich habe aktuell folgendes Problem mit der OpnSense-FW (OPNsense 22.7.3_2/HA-Setup):

Wenn ich aus einem WLAN-Netz (sep. VLAN auf LACP; Sophos Central-managed APs) ein Client-IPSec in Richtung eines BinTec-Routers aufbauen möchte, bekomme ich mit div. Geräten (iPad-natives Cisco-VPN; Shrewsoft-Client auf Win10) einen Timeout.

Im Wireshark-Trace erhält man NO-PROPOSAL-CHOSEN.

Hier noch ein paar Eckdaten:

IPSEC-Client-Settings

  • NAT-T und IKE-Frag. mit 540 Bytes aktiv (auch deak. der Frag. brachte nichts)
  • PSK-Auth

OpnSense

  • WLAN-Netz darf "any" ins Internet
  • S2S-IPSEC aktiv (verwendet prim. WAN-IP) - mein erster Gedanke war hier, dass diese Komponente zwischenfunkt
  • SNAT der ausgehenden Client-IPSEC-Verbindung auf sec. WAN-IP: getestet mit oder ohne static Port
  • beteiligtes WLAN-Netz, sowie Public-Quell-IP und Dest-IP (Bintec) sicherheitshalber in den Pass-Through-Netzwerk des S2S-IPSEC hinterlegt
  • Interface-Scrub testweise mal deaktiviert

Wenn sich die entsprechenden Clients z.B. per Handy-Hotspot mit dem Internet verbinden, lässt sich das Client-IPSec problemlos aufbauen.

In meinem Test-Setup über eine andere OpnSense (egal ob S2S-IPSEC aktiv oder nicht) stößt man leider auf das gleiche Phänomen.

Hättet ihr ggf. eine Idee, wie ich das Client-VPN gangbar bekomme bzw. welche Settings ich noch testen kann?

Vielen Dank im Voraus

Gruß Marco

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2