1
German - Deutsch / Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
« on: December 01, 2022, 10:26:45 am »
Hallo Zusammen,
ich habe aktuell folgendes Problem mit der OpnSense-FW (OPNsense 22.7.3_2/HA-Setup):
Wenn ich aus einem WLAN-Netz (sep. VLAN auf LACP; Sophos Central-managed APs) ein Client-IPSec in Richtung eines BinTec-Routers aufbauen möchte, bekomme ich mit div. Geräten (iPad-natives Cisco-VPN; Shrewsoft-Client auf Win10) einen Timeout.
Im Wireshark-Trace erhält man NO-PROPOSAL-CHOSEN.
Hier noch ein paar Eckdaten:
IPSEC-Client-Settings
OpnSense
Wenn sich die entsprechenden Clients z.B. per Handy-Hotspot mit dem Internet verbinden, lässt sich das Client-IPSec problemlos aufbauen.
In meinem Test-Setup über eine andere OpnSense (egal ob S2S-IPSEC aktiv oder nicht) stößt man leider auf das gleiche Phänomen.
Hättet ihr ggf. eine Idee, wie ich das Client-VPN gangbar bekomme bzw. welche Settings ich noch testen kann?
Vielen Dank im Voraus
Gruß Marco
ich habe aktuell folgendes Problem mit der OpnSense-FW (OPNsense 22.7.3_2/HA-Setup):
Wenn ich aus einem WLAN-Netz (sep. VLAN auf LACP; Sophos Central-managed APs) ein Client-IPSec in Richtung eines BinTec-Routers aufbauen möchte, bekomme ich mit div. Geräten (iPad-natives Cisco-VPN; Shrewsoft-Client auf Win10) einen Timeout.
Im Wireshark-Trace erhält man NO-PROPOSAL-CHOSEN.
Hier noch ein paar Eckdaten:
IPSEC-Client-Settings
- NAT-T und IKE-Frag. mit 540 Bytes aktiv (auch deak. der Frag. brachte nichts)
- PSK-Auth
OpnSense
- WLAN-Netz darf "any" ins Internet
- S2S-IPSEC aktiv (verwendet prim. WAN-IP) - mein erster Gedanke war hier, dass diese Komponente zwischenfunkt
- SNAT der ausgehenden Client-IPSEC-Verbindung auf sec. WAN-IP: getestet mit oder ohne static Port
- beteiligtes WLAN-Netz, sowie Public-Quell-IP und Dest-IP (Bintec) sicherheitshalber in den Pass-Through-Netzwerk des S2S-IPSEC hinterlegt
- Interface-Scrub testweise mal deaktiviert
Wenn sich die entsprechenden Clients z.B. per Handy-Hotspot mit dem Internet verbinden, lässt sich das Client-IPSec problemlos aufbauen.
In meinem Test-Setup über eine andere OpnSense (egal ob S2S-IPSEC aktiv oder nicht) stößt man leider auf das gleiche Phänomen.
Hättet ihr ggf. eine Idee, wie ich das Client-VPN gangbar bekomme bzw. welche Settings ich noch testen kann?
Vielen Dank im Voraus
Gruß Marco