Messages

ich habe die Lösung gerade eben via Zufall herausgefunden.
Ich habe bisher die SPD manuell angelegt - über den Menüpunkt Security Policy Database - Manual

Allerdings habe ich gesehen, dass in der Phase2 einstellung einen unterpunkt "Manual SPD entries" gibt, dort habe ich einfach die interne IP-Range 172.17.54.0/24 eingetragen - und zack läufts....

Angehängt ein Screenshot....

Hey, danke für deine Antwort.
Aber genau das habe ich doch - aber die ziehen leider nicht.

@Patrick M. Hausen wie sollten die SPD´s denn deiner Meinung nach aussehen?

hier auch nochmal ein Trace.... und die SPD die passen sollte.

ja so meine Hoffnung.
Entweder ist Sie falsch angelegt oder es klappt einfach nicht.

Ich habe die aktuellen Einstellungen einmal hier angehängt.

ich habe nochmal etwas genauer das ganze angeschaut.
Ich hatte noch eine Route zu 117.8.130.239 auf das gateway: 172.17.54.1 (also das firewall interface selbst).

Wenn ich diese raus mache, wird die Antwort auf das WAN-Interface (default GW) gesendet.

Wenn ich es jetzt noch hinbekomme, dass anfragen von 72.257.145.169-> 117.8.130.224/27 auf das ipsec interface geroutet wird.
Müsste es klappen....

Die frage nur wie... ^^

Liegt das irgendwie dran, dass auf diesem Interface natürlich private Adressen liegen und keine public ip-adressen?

Die Regeln liegt auf dem 754_XXX_SERVER

Ich habe heute nochmals danach geschaut und komme einfach nicht drauf - was ich anpassen muss.

Die Pakete kommen über den IPSec Tunnel an.
Werden genattet - landen dann beim Server.
Der Server antworet
werden wieder genattet - und dann aber geblockt?

Es gibt zum testen eine any any allow regel.

Warum werden die Anfragen geblockt?

Anbei ein Sreenshot.

anbei das log

anbei die screenshots:

schade irgendwie klappt es "noch nicht"

ich habe die "VPN: IPsec: Security Policy Database"
Angelegt - in meinem Fall auf dei ReqID "11"

   11       172.17.54.0/24   -> 117.8.130.224/27
   11       117.8.130.224/27 -> 172.17.54.0/24

bringt leider auch nicht den erwünschten erfolg.

Die opnsense hat irgendwie ein Problem mit den public IP´s in der Phase2.

Code Select Expand

con3: #11, ESTABLISHED, IKEv2, bafa69882c7eaba3_i* 5b4ab0273b05dd4c_r
  local  '97.228.212.23' @ 97.228.212.23[500]
  remote '91.36.170.12' @ 91.36.170.12[500]
  AES_CBC-256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/ECP_521
  established 7110s ago, rekeying in 6641s
  con3: #81, reqid 11, INSTALLED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_512_256/ECP_521
    installed 1099s ago, rekeying in 2063s, expires in 2501s
    in  cd279ffd,   5616 bytes,   108 packets,    37s ago
    out 1f1f9c6b,      0 bytes,     0 packets
    local  72.257.145.169/29
    remote 117.8.130.224/27

root@AERUMTEC-RZ-SENSE01:~ # tcpdump -i enc0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 262144 bytes
16:02:18.654099 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 1, length 64
16:02:19.683743 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 2, length 64
16:02:20.707801 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 3, length 64
16:02:21.731696 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 4, length 64
16:02:22.755705 (authentic,confidential): SPI 0x1f1f9c6b: IP 72.257.145.169 > 117.8.130.239: ICMP echo request, id 52826, seq 5, length 64


wenn ich ehrlich bin nicht.

warum setzt er die SPD nicht automatisch - wenn ich sie als Remote-Subnet angebe.

Er sagt mir sogar im tcpdump auf enc0 dass er die Pakete in den Tunnel sendet:

Code Select Expand

listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 262144 bytes
14:08:49.744037 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 1, length 64
14:08:50.749661 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 2, length 64
14:08:51.773709 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 3, length 64
14:08:52.797698 (authentic,confidential): SPI 0x1f1f993b: IP 72.257.145.170 > 117.8.130.239: ICMP echo request, id 4592, seq 4, length 64

ich muss ja auf jedenfall irgendwie die öffentlichen ip´s die ich im tunnel habe auf die internen ip´s naten.

und so ist es zumindest bei cisco.
Ein No-NAT für Anfragen an die öffentliche IP machen - da Sie sonst ans WAN geschickt werden.

Bei der Opnsense bin ich hier hier eben nicht sicher.