Messages

Jetzt sind die drei OPNSense Standorte miteinender verbunden. Der Tip mit den eindeutigen Requids hat zum Erfolg geführt.

PSK Definitionen aus diversen Tests haben zu verwirrenden Fehlern geführt. Jetzt hab ich für jede Verbindung einen PSK, bei dem nur im Lokalen Bezeichner ein eindeutiger Eintrag steht.
Diesen Bezeichner verwende ich auf beiden Endpunkten für die Lokale und Externe Authentifizierung. In der Child-Definition steht für jede Verbindung eine eindeutige Reqid.

Vielen Dank für eure Hilfe

TS sind traffic selectoren. Da stimmen die Netze nicht im Child mit dem was die gegenseite erwartet.

das hab ich noch einmal überprüft:
Netz A: 192.168.na.0/24
Netz B: 192.168.nb.0/24
Netz C: 192.168.nc.0/24

Verbindung 1: Netz A <-> Netz B läuft
Verbindung 2: Netz A <-> Netz C läuft nicht   

Hallo,

Du solltest aber jede Seite auch so einstellen können, dass sie die Remote-ID gar nicht prüft.

Hab das noch einmal versucht mit nur einer lokalen und beliebigen ID:
die erste Verbindung funktioniert
die zweite Verbindung scheitert in der Phase 2
    2025-12-05T17:08:24 Informational charon 14[ENC1] <bc3a9532-1130-4c0c-82fc-5b4279feec3a|260> parsed IKE_AUTH response 1 [ IDr AUTH N(TS_UNACCEPT) ]
    ...
    2025-12-05T17:08:24 Informational charon 14[IKE1] <bc3a9532-1130-4c0c-82fc-5b4279feec3a|260> received TS_UNACCEPTABLE notify, no CHILD_SA built

das dachte ich eigentlich auch, dass die ID egal ist. Es hat aber nur mit der echten IP bzw. FQDN funktioniert.
Wenn ich die zweite Seite ganz weglassen will, kann ich nur eine PSK anlegen, und müsste die für alle Verbindungen verwenden.

Das hab ich sogar versucht, da war auch immer nur eine Verbindung aktiv.       

Hallo Forum,
hab in meiner Firma 4 Standorte, drei sind mit OPNSense ausgestattet, einer mit einer FritzBox (leider).
Die Standorte sind bisher über IPSec verbunden mit dem alten Legacy Setup (VPN: IPsec: Tunneleinstellungen [veraltet]) mit eine PSK Authentifizierung. Das läuft seit ca. 2 Jahren problemlos.
IPSec würde ich gerne beibehalten, da die Bandbreiten eher schlecht sind und daher der Durchsatz in der FW nicht der Engpass ist.

Mit dem neuen Setup (VPN: IPsec: Verbindungen) hab ich es noch nicht geschafft eine zweite Verbindung zum laufen zu bringen. Mich macht daher der Hinweis, dass das alte Setup bald nicht mehr unterstützt wird, zunehmend nervös. 
Wenn zwei Verbindungen auf einer Box definiert sind, funktioniert immer nur die eine oder die andere, nie beide. Das hängt mit der Zuordnung der PSK's zusammen, eine Gegenstelle zeigt immer einen Authentifizierungsfehler an.
Es scheint als würde nur der Lokale Bezeichner des PSK für die Auswahl herangezogen werden. Die sind aber beides mal gleich, weil es nur eine Public IP (bzw. FQDN) an einem Standort gibt. Der verzweifelte Versuch mit Fake ID's hat klarer Weise auch nicht funktioniert.     

Hab schon einige Varianten von Anleitungen ausprobiert, hat aber noch keine zum Erfolg geführt, bin immer in einer Sackgasse gelandet.

Hat jemand mit dem neuen Setup und der Verbindung von mehr als einem Standort Erfahrung?

Bin für jeden Hinweis dankbar, der mich näher zum Ziel bringt.

Besten Dank im Voraus.