OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of btotherunner »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - btotherunner

Pages: [1] 2
1
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 25, 2024, 07:39:06 am »
ich habe die Lösung gerade eben via Zufall herausgefunden.
Ich habe bisher die SPD manuell angelegt - über den Menüpunkt Security Policy Database - Manual

Allerdings habe ich gesehen, dass in der Phase2 einstellung einen unterpunkt "Manual SPD entries" gibt, dort habe ich einfach die interne IP-Range 172.17.54.0/24 eingetragen - und zack läufts....

Angehängt ein Screenshot....

2
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 03:22:02 pm »
Hey, danke für deine Antwort.
Aber genau das habe ich doch - aber die ziehen leider nicht.

3
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 02:26:21 pm »
@Patrick M. Hausen wie sollten die SPD´s denn deiner Meinung nach aussehen?

4
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 11:41:55 am »
hier auch nochmal ein Trace.... und die SPD die passen sollte.


5
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 11:36:35 am »
ja so meine Hoffnung.
Entweder ist Sie falsch angelegt oder es klappt einfach nicht.

Ich habe die aktuellen Einstellungen einmal hier angehängt.

6
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 11:20:59 am »
ich habe nochmal etwas genauer das ganze angeschaut.
Ich hatte noch eine Route zu 117.8.130.239 auf das gateway: 172.17.54.1 (also das firewall interface selbst).

Wenn ich diese raus mache, wird die Antwort auf das WAN-Interface (default GW) gesendet.

Wenn ich es jetzt noch hinbekomme, dass anfragen von 72.257.145.169-> 117.8.130.224/27 auf das ipsec interface geroutet wird.
Müsste es klappen....

Die frage nur wie... ^^

7
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 10:54:37 am »
Liegt das irgendwie dran, dass auf diesem Interface natürlich private Adressen liegen und keine public ip-adressen?

8
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 10:52:54 am »
Die Regeln liegt auf dem 754_XXX_SERVER

9
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 24, 2024, 10:47:13 am »
Ich habe heute nochmals danach geschaut und komme einfach nicht drauf - was ich anpassen muss.

Die Pakete kommen über den IPSec Tunnel an.
Werden genattet - landen dann beim Server.
Der Server antworet
werden wieder genattet - und dann aber geblockt?

Es gibt zum testen eine any any allow regel.

Warum werden die Anfragen geblockt?

Anbei ein Sreenshot.


10
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 23, 2024, 05:02:11 pm »
anbei das log

11
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 23, 2024, 04:56:28 pm »
anbei die screenshots:


12
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 23, 2024, 04:43:59 pm »
schade irgendwie klappt es "noch nicht"

ich habe die "VPN: IPsec: Security Policy Database"
Angelegt - in meinem Fall auf dei ReqID "11"

   11       172.17.54.0/24   -> 117.8.130.224/27
   11       117.8.130.224/27 -> 172.17.54.0/24

bringt leider auch nicht den erwünschten erfolg.

Die opnsense hat irgendwie ein Problem mit den public IP´s in der Phase2.

13
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 23, 2024, 04:07:37 pm »
Code: [Select]
con3: #11, ESTABLISHED, IKEv2, bafa69882c7eaba3_i* 5b4ab0273b05dd4c_r
  local  '97.228.212.23' @ 97.228.212.23[500]
  remote '91.36.170.12' @ 91.36.170.12[500]
  AES_CBC-256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/ECP_521
  established 7110s ago, rekeying in 6641s
  con3: #81, reqid 11, INSTALLED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_512_256/ECP_521
    installed 1099s ago, rekeying in 2063s, expires in 2501s
    in  cd279ffd,   5616 bytes,   108 packets,    37s ago
    out 1f1f9c6b,      0 bytes,     0 packets
    local  72.257.145.169/29
    remote 117.8.130.224/27

root@AERUMTEC-RZ-SENSE01:~ # tcpdump -i enc0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 262144 bytes
16:02:18.654099 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 1, length 64
16:02:19.683743 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 2, length 64
16:02:20.707801 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 3, length 64
16:02:21.731696 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 4, length 64
16:02:22.755705 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 5, length 64

14
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 23, 2024, 03:57:21 pm »
wenn ich ehrlich bin nicht.

warum setzt er die SPD nicht automatisch - wenn ich sie als Remote-Subnet angebe.

Er sagt mir sogar im tcpdump auf enc0 dass er die Pakete in den Tunnel sendet:

Code: [Select]
listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 262144 bytes
14:08:49.744037 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 1, length 64
14:08:50.749661 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 2, length 64
14:08:51.773709 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 3, length 64
14:08:52.797698 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 4, length 64

15
German - Deutsch / Re: IPSec Tunnel mit öffentlichen IP´s in Phase2
« on: October 23, 2024, 03:44:40 pm »
ich muss ja auf jedenfall irgendwie die öffentlichen ip´s die ich im tunnel habe auf die internen ip´s naten.

und so ist es zumindest bei cisco.
Ein No-NAT für Anfragen an die öffentliche IP machen - da Sie sonst ans WAN geschickt werden.

Bei der Opnsense bin ich hier hier eben nicht sicher.

Pages: [1] 2
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2