"
Hallo Zusammen,
hättet ihr noch Ansätze, wie man das Problem beheben könnte?
Danke
Gruß Marco
hättet ihr noch Ansätze, wie man das Problem beheben könnte?
Danke
Gruß Marco
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#1
German - Deutsch / Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
December 06, 2022, 12:10:59 PM #2
German - Deutsch / Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
December 01, 2022, 02:15:49 PM
Manual outbound NAT rule generation
(no automatic rules are being generated)
1. NAT-Rule:
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
WAN WLAN_xyz net * Bintec_Router * X.X.X.X (second. WAN) * YES
Wie beschrieben, Static Port hatte ich schon an und aus, das machte keinen Unterscheid.
Gruß Marco
(no automatic rules are being generated)
1. NAT-Rule:
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
WAN WLAN_xyz net * Bintec_Router * X.X.X.X (second. WAN) * YES
Wie beschrieben, Static Port hatte ich schon an und aus, das machte keinen Unterscheid.
Gruß Marco
#3
German - Deutsch / Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
December 01, 2022, 12:06:01 PMQuote from: pmhausen on December 01, 2022, 10:41:44 AM
Im Firewall-Live-Log der Sense anschauen, was da blockiert wird?
Danke für deine Antwort, aber das WLAN-Netz darf alles nach extern.
Habe schon via tcpdump geschaut und sehe entsprechend die Anfragen und Replies (No Proposal Chosen kommt dann von der Gegenseite, vermeintlich weil "Infos" fehlen bzw. irgendwas "hineinspuckt" ;D
#4
German - Deutsch / Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
December 01, 2022, 10:26:45 AM
Hallo Zusammen,
ich habe aktuell folgendes Problem mit der OpnSense-FW (OPNsense 22.7.3_2/HA-Setup):
Wenn ich aus einem WLAN-Netz (sep. VLAN auf LACP; Sophos Central-managed APs) ein Client-IPSec in Richtung eines BinTec-Routers aufbauen möchte, bekomme ich mit div. Geräten (iPad-natives Cisco-VPN; Shrewsoft-Client auf Win10) einen Timeout.
Im Wireshark-Trace erhält man NO-PROPOSAL-CHOSEN.
Hier noch ein paar Eckdaten:
IPSEC-Client-Settings
OpnSense
Wenn sich die entsprechenden Clients z.B. per Handy-Hotspot mit dem Internet verbinden, lässt sich das Client-IPSec problemlos aufbauen.
In meinem Test-Setup über eine andere OpnSense (egal ob S2S-IPSEC aktiv oder nicht) stößt man leider auf das gleiche Phänomen.
Hättet ihr ggf. eine Idee, wie ich das Client-VPN gangbar bekomme bzw. welche Settings ich noch testen kann?
Vielen Dank im Voraus
Gruß Marco
ich habe aktuell folgendes Problem mit der OpnSense-FW (OPNsense 22.7.3_2/HA-Setup):
Wenn ich aus einem WLAN-Netz (sep. VLAN auf LACP; Sophos Central-managed APs) ein Client-IPSec in Richtung eines BinTec-Routers aufbauen möchte, bekomme ich mit div. Geräten (iPad-natives Cisco-VPN; Shrewsoft-Client auf Win10) einen Timeout.
Im Wireshark-Trace erhält man NO-PROPOSAL-CHOSEN.
Hier noch ein paar Eckdaten:
IPSEC-Client-Settings
- NAT-T und IKE-Frag. mit 540 Bytes aktiv (auch deak. der Frag. brachte nichts)
- PSK-Auth
OpnSense
- WLAN-Netz darf "any" ins Internet
- S2S-IPSEC aktiv (verwendet prim. WAN-IP) - mein erster Gedanke war hier, dass diese Komponente zwischenfunkt
- SNAT der ausgehenden Client-IPSEC-Verbindung auf sec. WAN-IP: getestet mit oder ohne static Port
- beteiligtes WLAN-Netz, sowie Public-Quell-IP und Dest-IP (Bintec) sicherheitshalber in den Pass-Through-Netzwerk des S2S-IPSEC hinterlegt
- Interface-Scrub testweise mal deaktiviert
Wenn sich die entsprechenden Clients z.B. per Handy-Hotspot mit dem Internet verbinden, lässt sich das Client-IPSec problemlos aufbauen.
In meinem Test-Setup über eine andere OpnSense (egal ob S2S-IPSEC aktiv oder nicht) stößt man leider auf das gleiche Phänomen.
Hättet ihr ggf. eine Idee, wie ich das Client-VPN gangbar bekomme bzw. welche Settings ich noch testen kann?
Vielen Dank im Voraus
Gruß Marco
Pages1
