Messages

91

Virtual private networks / Mobile IPsec with TOTP

« on: March 17, 2022, 02:30:18 pm »

Hello,

I would like to know if anyone has got Mobile IPsec working with TOTP (Windows 10 native vpn client)

- TOTP for login (ssh/GUI)                             -> works
- Mobile IPsec with Mutual RSA                     -> works
- Mobile IPsec with EAP-MSCHAPv2               -> works

Only Mobile IPsec with EAP-MSCHAPv2 + TOTP does not work.
Can it be because the "IPsec Pre-Shared Key" at the user can only be PSK and not EAP ?

Greetings,
atom

92

German - Deutsch / Re: IPSec-Verbindung Cisco

« on: February 25, 2022, 05:14:47 pm »

Nicht dafür 

93

German - Deutsch / Re: IPSec-Verbindung Cisco

« on: February 25, 2022, 02:42:14 pm »

Mmh. Man sieht leider OPNsense-Seite wieder nur, dass die Netze nicht passen, aber nicht warum.

received TS_UNACCEPTABLE notify, no CHILD_SA built

Den Grund sieht man so nur im Log des Cisco.

Kannst Du den Tunnel mal auf beiden Seiten stoppen und auf der Cisco Seite starten ?

Was verbirgt sich im Screenshot https://ibb.co/gPN5k5L hinter "All networks" ? Ist das für die SAs ?

94

German - Deutsch / Re: IPSec-Verbindung Cisco

« on: February 24, 2022, 10:10:41 pm »

Ja, genau.

95

Virtual private networks / Re: IPsec mobile clients with 22.1

« on: February 24, 2022, 08:44:55 pm »

Hi Franco,

I have deleted the entry and added it again, but with "&mobile=true".

Thanks,
atom

96

German - Deutsch / Re: IPSec-Verbindung Cisco

« on: February 24, 2022, 08:38:55 pm »

Das Log findest Du unter entweder unter /var/log als eine Log-Datei oder im Ordner /var/log/ipsec/ und dann für jeden Tag eine neue.
Das hängt davon ab, wie das Logging unter System -> Settings -> Logging eingestellt ist.

97

German - Deutsch / Re: IPSec-Verbindung Cisco

« on: February 24, 2022, 05:22:51 pm »

Da fehlt auf jeden Fall noch etwas, denn im Status Overview der anderen OPNsense sind viel mehr Netze in Phase 2 eingetragen.

Kannst Du das Log der OPNsense zeigen, wenn vom Cisco aus der Tunnel aufgebaut wird. ( und nicht umgekehrt )

98

Virtual private networks / Re: IPsec mobile clients with 22.1

« on: February 24, 2022, 04:46:34 pm »

I've tried it this way: /vpn_ipsec_phase2.php?p2index=62177716eeef7&mobile=true , but the remote network is still visible.     

99

Virtual private networks / Re: IPsec mobile clients with 22.1

« on: February 24, 2022, 01:26:18 pm »

Yes, that is possible, but it is far from intuitive. ( like the entire change for ipsec ui in my opinion )

But now I have to submit a remote IP and '%any' is not possible.

Update: screenshot attached

100

Virtual private networks / Re: IPsec mobile clients with 22.1

« on: February 24, 2022, 10:46:32 am »

Hi Franco,

unfortunantly I can't see any button.

Regards,
atom

101

Virtual private networks / IPsec mobile clients with 22.1

« on: February 24, 2022, 10:32:26 am »

Hello,

I've installed a fresh OPNsense with 22.1.
Then I've tried to enable Mobile Clients according to https://docs.opnsense.org/manual/how-tos/ipsec-rw-srv-mschapv2.html .
Unfortunatly I'm not able to add a phase 2 entry. ( step 3 from the guide )
There is no button "show 0 phase-2 entries".

Regards,
atom

102

German - Deutsch / Re: IPSec-Verbindung Cisco

« on: February 23, 2022, 08:56:21 pm »

Alles klar.

103

German - Deutsch / Re: IPSec-Verbindung Cisco

« on: February 23, 2022, 04:56:29 pm »

Trage mal bitte auf der OPNsense bei Local Network in der Form: x.x.x.x/24 und nicht LOCALNET.
Auf dem Cisco dann das lokale Netz und als Remote-Netz das lokale Netz der OPNsense.

 z.B. so:
Cisco 
lokal 10.10.0.0/24
remote 10.20.0.0/24

OPNsense
lokal 10.20.0.0/24
remote 10.10.0.0/24

104

German - Deutsch / Re: Mehrere Netzwerke durch IPSec VPN-Tunnel routen

« on: February 23, 2022, 02:04:35 pm »

Man braucht beim Policy Based VPN kein Transfernetz.

Also einfach auf der einen Seite
lokales Netz: 10.0.0.0/21
Entferntes Netz: 172.24.0.0/24

und auf der anderen Seite:
lokales Netz: 172.24.0.0/24
Entferntes Netz: 10.0.0.0/21

105

German - Deutsch / Re: Mehrere Netzwerke durch IPSec VPN-Tunnel routen

« on: February 23, 2022, 01:41:20 pm »

Wenn ich das richtig gesehen habe, dann ist auf der einen Seite 172.24.8.0/24 gegen 10.0.0.0/21  und auf der anderen Seite 172.24.0.0/24 gegen 10.0.8.0/24. Wie @pmhausen schrieb müssen die Phase 2 Einträge identisch sein.
Was vrbirgt sich hinter "LAN" auf beiden Seiten ?