Messages

16

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 22, 2023, 10:59:46 am »

Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.

Falls es Dir hilft:

Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an

Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden

17

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 20, 2023, 12:06:37 pm »

Zwei Anmerkungen:
- In "phase2ss" würde ich das "3des" entfernen.
- "use_nat_t = no;" - Bist Du sicher, dass auf der Strecke kein NAT im Spiel ist? Yes schadet in der Regel nicht.
- Kann es sein, dass Du deinen "key" gerade kompromittiert hast?

18

German - Deutsch / Re: Kaufberatung Switch für Zuhause - Herstellerunterschiede?

« on: January 16, 2023, 09:53:16 am »

FS hat auch nette Switches, z.B. diesen hier:
https://www.fs.com/de/products/90131.html

Achtung: Nur, wenn ein Bestand im DE-Lager angezeigt wird, erfolgt auch eine schnelle Lieferung. Sonst kann es schonmal Monate dauern...

19

German - Deutsch / Re: IPSEC und Monit Probleme

« on: January 04, 2023, 10:38:04 am »

Warum es erst nach einem IPsec-Neustart wieder funktioniert sehe ich in meiner Glaskugel nicht. Hast Du auf dem Lancom schon mal die Trace-Infos ausgewertet? Und parallel dazu auch das VPN-Protokoll der OPNsense?

Mit tcpdump könntest Du checken, ob überhaupt UDP-Pakete auf Port 500 oder 4500 laufen.

20

German - Deutsch / Re: IPSEC und Monit Probleme

« on: January 03, 2023, 03:03:56 pm »

Das klingt erstmal soweit plausibel bei dir.

Hatte auch einen Lancom Router, der gegen eine OPNsense einen IPSEC-Tunnel aufgebaut hat. Tunnelaufbau war auch durch den Lancom initiiert. Schlüsselprotokoll war IKEv2. Welches Protokoll setzt Du ein? V1 oder auch V2?

Bei IPSEC und insbesondere bei V1 ist es wichtig, die Parameter auf beiden Seiten identisch zu haben: Verschlüsselung, Hash-Funktion (z.B. SHA256), DH-Parameter, Key-Lebensdauer in Sekunden + übertragenen Bytes. Das ganze jeweils für Phase 1 und Phase 2 abgleichen...

Beim Lancom kannst Du auch einen VPN-Trace machen: Per SSH auf die Kiste und dann "trace # vpn-status" (sowohl zum ein- als auch zum ausschalten des Trace).

21

German - Deutsch / Re: IPSEC und Monit Probleme

« on: January 02, 2023, 05:35:53 pm »

Moin!

Zu Deinen monit-Problemen habe ich jetzt keine Idee. Aber Du solltest mal die "Close Action" deiner IPSec-Tunnel überprüfen. Ggf. hilft da die Option "Neustart" weiter.

Baut der Lancom die Verbindung auf oder die OPNsense?

22

German - Deutsch / Re: Multi-Router Setup

« on: December 28, 2022, 01:36:58 pm »

@micneu: Lancom Router können nur IPSec, kein OpenVPN. Mit IPSec-VPn wäre natürlich ein Dual-WAN am Lancom machbar. Allerdings ist die Anzahl Tunnel limitiert und Upgrades kosten extra.

Das mit dem DHCP habe ich tatsaelich komisch ausgedrueckt, ich versuche es einfach nochmal. Mein primary WAN ist quasi der Anschluss an welchem der Lancom Router haengt, mein secondary dann der an der OPNsense, hinter einem Kabel-Modem im Bridge-Mode. Nur bekomme ich jetzt (aus irgendeinem Grund) keine IP-Adresse mehr fuer den secondary in OPNsense angezeigt und es scheint als wuerde da DHCP nicht mehr sauber funktionieren.

Eventuell hat einfach dein Kabel-Provider (Secondary WAN) ein Problem. Du könntest mal einen Rechner direkt ans Kabelmodem hängen und prüfen, ob du denn so eine IP vom Provider per DHCP erhältst. Hast Du das Modem auch mal neu gestartet?

Ansonsten schließe ich mich micneus Nachfragen an 

23

German - Deutsch / Re: Multi-Router Setup

« on: December 28, 2022, 12:20:35 pm »

Moin!

In einem IPv4-Netz hast Du ja in der Regel nur ein Default-Gateway, vermutlich bei dir der Lancom. Die internen Hosts, die über VPN angesprochen werden, müssen für die IP-Pakete aber auch den "Rückweg" wissen, entweder durch Setzen der Route auf den Hosts oder durch eine weitere Route auf dem Lancom: "IP-Adressen des VPN-Tunnels" an die OPNsense (192.168.2.16) senden.

BTW: Welches VPN-Protokoll kommt denn zum Einsatz? IPsec, OpenVPN, Wireguard?

Das mit dem DHCP ist auch noch unklar. Hast Du einen primary oder secondary WAN-Anschluss, der per DHCP läuft? Oder meinst Du DHCP im LAN? Wenn LAN: Wo läuft dein DHCP-Server? Oder hast Du evtl. zwei DHCPs aktiv? Der Lancom-DHCP-Server deaktiviert sich in der Default-Einstellung, wenn im LAN bereits ein aktiver DHCP-Server vorgefunden wird.

Gruß, Dirk

24

German - Deutsch / Telegraf Plugin mit InfluxDB durch VPN-Tunnel

« on: April 21, 2022, 11:59:35 am »

Moin!

Ich habe hier das Problem, dass das Telegraf-Plugin auf einer OPNsense-Instanz nicht durch einen aufgebauten und funktionierenden Ipsec-VPN-Tunnel mit einer InfluxDB auf der anderen Seite redet.

Der Tunnel ist aufgebaut, andere Hosts können diesen einwandfrei benutzen, alles tutti. Aber das Telegraf-Plugin versucht, die InfluxDB zu erreichen, nimmt jedoch die WAN-IP als Absende-Adresse, um eine IP im LAN der anderen Seite zu erreichen. Dies scheitert natürlich.

Die Frage: Wie bringe ich das Telegraf-Plugin dazu, die LAN-IP als Sourceadresse zu nehmen, damit dann die Kommunikation durch den VPN-Tunnel funktioniert? Eine Einstellmöglichkeit im Plugin habe ich nicht gefunden.

Viele Grüße
Dirk