Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - groove21

Pages: 1 2 3 [4] 5

German - Deutsch / Re: Nach Update auf 23.1.1 (23.1) strongswan Daemon stürz nach unbekannter Zeit ab.

« on: March 12, 2023, 10:30:00 am »

Ich vermute, du hast das gleiche Problem wie atom und ich:

https://forum.opnsense.org/index.php?topic=32429.0

Hast du auch DYNDNS am anderen Ende des Tunnels und in deinen Configs? Das scheint generell Probleme zu machen. Ich bin wieder zurück auf 22.

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: March 12, 2023, 10:24:21 am »

Hallo,

sorry die letzten Tage war etwas Land unter, daher komme ich erst jetzt dazu. Eine Frage: Du schreibst in dem verlinkten Ticket folgendes: Maybe it would fix the problem if I could maintain the fields "remote addresses"/"local addresses" and change the entry to "fqdn:host.example.org" , as it works for the automatically migrated tunnels.

Hierzu hätte ich 2 Fragen:
Erledigt sich das Problem, wenn ich die Verbindungen zu strongswan migriere?
Wie kann man diese automatische Migration zu strongswan anstoßen?

Da stehe ich gerade auf dem Schlauch, gerade was den letzten Punkt angeht.

Wenn diese automatische Migration das Problem (vorübergehend) löst, bis ein Fix für neue Strongswan-Connections da ist, wäre das ja auch eine Option (ich muss aktuell keine neuen Verbindungen anlegen, daher wäre eine Migration der bestehenden Verbindungen erst mal ok).

Gruß
groove21

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: March 04, 2023, 05:10:34 pm »

Beim "Fernen Gateway" oder bei "Meine Kennung"?

Ich habe bei beiden jeweils den DYNDNS-Namen drin stehen, was bisher problemlos funktioniert.

Außerdem habe ich in der Fritz-Config den DYNDNS-Namen auch bei localid drin stehen. Was soll ich da dann reinschreiben?

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: March 04, 2023, 12:07:40 pm »

Ich habe die Connections gar nicht im neuen Tab angelegt, sondern nutze nach wie vor den alten.
Das geht mit Version 22 auch einwandfrei. Update ich dann auf Version 23 und ändere sonst nichts, kommt keine Verbindung mehr zustande. Die FritzBox meckert in ihrem Log "no proposal chosen"

Gibt es hier Ideen?

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: March 02, 2023, 09:45:39 pm »

Gibt es jetzt schon eine Erkenntnis, warum die alten Verbindungen mit der Fritz nicht mehr funktionieren? Selbst wenn ich von DH14 auf DH2 und SHA1 zurückgehe (was ja auch nicht so toll ist), bekomme ich das nicht mehr hin.

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 28, 2023, 11:39:17 pm »

Quote from: dmark on February 22, 2023, 10:59:46 am

Ich habe hier nur eine IPSEC-Verbindung zu einer Fritzbox, die aber noch im alten GUI ("Tunneleinstellungen") läuft.

Falls es Dir hilft:

Phase 1:
Aggressive
Kennungen jeweils "Bedeutender Name"
PSK ist klar
AES 256
SHA1
DH Gruppe 2
Nat Traversal an
Dead Peer Detection an

Phase 2:
Protokoll ESP
AES128, AES192, AES256
SHA1, SHA512
PFS Gruppe 2
Lebenszeit 3600 Sekunden

Und diese Config läuft bei dir mit Version 23? Ich bekomme es so nicht ans Laufen.
Ich habe das Problem, dass vor dem Update alle Tunnel stabil sind.
Nach dem Update kommen mit gleicher Config ein Teil der Tunnel (ca. 2-3) wieder hoch, doch dies ist nicht dauerhaft. Nach einem Reboot sind diese dann auch weg und kommen nicht wieder.

Ich habe dezentral einen Mix aus 7590 und 7490. Du betriebst diese Config mit Version 23?

Gruß

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 26, 2023, 07:24:05 pm »

Ich werde das WG zwar weiterverfolgen, habe jetzt aber aus Stabilitätsgründen erst mal wieder einen Rollback auf die alte OPNsense-Version gemacht.

Ich habe jetzt auch nochmal etwas gegoogled:

Code: [Select]

StrongSwan IPsec configuration now uses the preferred swanctl.conf instead of the deprecated ipsec.conf which could lead to connectivity issues in ambiguous cases. Subtle bugs cannot be ruled out as well so please raise an issue on GitHub to be able to investigate each case.
The new IPsec connections pages and API create an independent set of connections following the design of swanctl.conf. Legacy tunnel settings cannot be managed from the API and are not migrated.

Kann mir jemand sagen, wie man die Verbindungen auf strongswan richtig anlegt (ggf. Screens). Ich steige da nicht durch.

WG werde ich zwar auch weiterverfolgen, mangels FritzBoxen ohne WG-Untersützung in stable (7490) komme ich aber noch nicht ganz ohne IPSEC aus.

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 26, 2023, 01:14:49 pm »

Ich bin gerade dabei die Verbindungen auf WG umzustellen. Die Logik ist hier ja etwas anders wie bei IPsec und daran scheitere ich gerade.

Ich habe jetzt einen Tunnel von der Fritz zur OPNsense stehen an zwei Standorten.
Von den Fritzen kann ich auch auf die Server der OPNsense im LAN pingen, funktioniert.

Was nicht geht:
Ping aus dem jeweiligen dezentralen Netz (beipielsweise Client aus 10.105.0.0/16) kann nicht die WG-IP der eigenen Fritz erreichen (10.202.105.1/32)

Allerdings kann ich wiederum die WG-IP eines anderen dezentralen Standortes erreichen (beispielsweise aus 10.105.0.0/16 erreiche ich die WG-IP des anderen Standortes (10.202.102.1/32)

Auch kann ich von der OPNsense die Geräte im Fritzbox-Netz hinter dem Tunnel pingen (Route und Gateway eingerichtet). Beispielsweise 10.105.0.0/16 über 10.202.105.1 bzw. 10.102.0.0/16 über 10.202.102.1

Was nicht klappt:

Ich erreiche aus dem Client-Netz Standort A (10.105.0.0/16) keine Clients in Standort B (10.102.0.0/16) bzw. umgekehrt.

Auch erreiche ich aus anderen Server des OPNsense-LANs nur die WG-IPs der jeweiligen FritzBoxen, aber nicht die dahinterliegenden Client-Netze (10.105.0.0/16 bzw. 10.102.0.0/16).

Wieso erreiche ich die Clients über das Ping-Tool der OPNsense, nicht aber von den anderen Servern im LAN der OPNsense?

Und wie bekomme ich das Routing zwischen den dezentralen Client-Netzen hin?

Hat hier jemand eine Lösung?

Die Fritzen sind wie folgt angebunden:

Code: [Select]

[Interface]
PrivateKey = key
ListenPort = 51820
Address = 10.202.105.1/32
DNS = 10.201.2.2

[Peer]
PublicKey = key
AllowedIPs = 10.0.0.0/10, 10.64.0.0/11, 10.96.0.0/13, 10.104.0.0/16, 10.106.0.0/15, 10.108.0.0/14, 10.112.0.0/12, 10.128.0.0/9 => alles außer 10.105.0.0/16
Endpoint = FQDN opnsense:4445
PersistentKeepalive = 25

Zugelassene IPs auf OPNsense Seite für den dezentralen Standort:
10.202.105.1/32 und 10.105.0.0/16

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 20, 2023, 01:01:15 pm »

Hey dmark,

danke für die Anmerkungen.

use_nat_t hatte ich sogar probiert, hat aber nicht zur Besserung beigetragen. Ich probiere es nochmal.
phase2ss werde ich mal versuchen 3des zu entfernen (kann mir aber fast nicht vorstellen, dass es daran liegt)
Ja das mit dem Key habe ich auch schon bemerkt. Ich werde ihn natürlich auf beiden Seiten austauschen.

Ich probiere es später und melde mich dann wieder.

Hast du zufällig Screens von der aktuellen neuen GUI bzgl. IPsec?

Gruß
Florian

German - Deutsch / Re: IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 19, 2023, 02:31:33 pm »

Guten Tag,

ich hatte nach dem ersten Post aus Zeitgründen einen Restore meines Snapshots gemacht und alles war wieder gut. Doch so langsam muss ich das PRoblem mal lösen. Daher die Frage: Noch nicht all meine FritzBoxen können Wireguard, so dass ich zumindest für einen Teil noch IPsec machen muss.
Hat jemand eine funktionierende Verbindung mit connections (new) und könnte mal ein paar Screens posten?

Meine Fritz-Config sieht so aus:

Code: [Select]

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN";
                always_renew = yes;
                reject_not_encrypted = no; 
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "FQDN OPNSENSE";
                localid {
                        fqdn = "Dyndns Fritz";
                }
                remoteid {
                        fqdn = "FQDN OPNSENSE";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "1FYrdoCfScWXfGISrA44";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.141.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.201.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 10.0.0.0 255.0.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Mit der hat bisher immer alles geklappt.

Wie müsste das Gegenstück auf der OPNsense in der neuen GUI nun aussehen?

Gruß
Florian

German - Deutsch / IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

« on: February 11, 2023, 11:40:41 am »

Guten Tag,

ich habe ca. 25 dezentrale Standorte/Netze, die ich per IPsec Fritz Box zur OPNsense anbinde. Dies ging bisher auch problemlos. Nach dem Update auf 23.1 ist die Mehrzahl der Verbindungen weg, eine Verbindung ist ein Glücksspiel.
Kann jemand ähnliches berichten?
Ich habe den neuen Connections [new] Tab gesehen. Muss ich meine Verbindungen dahin migrieren? Ich tue mich mit der neuen Übersicht etwas schwer. Hat hier jemand eine funktionierende Config die er mal mit Screens teilen kann?

Gruß
Florian

German - Deutsch / Re: Site-to-Site-VPN IPsec mit UDM Pro

« on: November 02, 2022, 01:15:11 am »

Hallo,

Hat irgendjemand eine Idee?

German - Deutsch / Re: Site-to-Site-VPN IPsec mit UDM Pro

« on: October 31, 2022, 08:30:55 am »

Hinweis:

Ca. 20 dezentrale Standorte mit einer FritzBox mit IKEv1 funktionierne tadellos.

German - Deutsch / Re: Site-to-Site-VPN IPsec mit UDM Pro

« on: October 31, 2022, 08:29:18 am »

Anbei die restlichen Screens.

German - Deutsch / Site-to-Site-VPN IPsec mit UDM Pro

« on: October 31, 2022, 08:28:24 am »

Hallo zusammen,

ich versuche schon seit einiger Zeit einen VPN-Tunnel von meiner UDM Pro SE zu meiner OPNsense hinzubekommen. Egal ob mit IKEv1 oder v2 ich scheitere immer, obwohl die Daten auf beiden Seiten gleich sind.
Hat hier jemand eine UDM Pro mit neuem Interface in Nutzung, bei dem diese Konstellation funktioniert?

Anbei meine aktuelle Config. Hat jemand einen Tipp oder kann mal jemand eine funktionierende Config posten?

Wäre super!

Danke!

Gruß

Pages: 1 2 3 [4] 5