Home
Help
Search
Login
Register
OPNsense Forum
»
English Forums
»
Virtual private networks
»
Problem mit IPsec Policy based VPN
« previous
next »
Print
Pages:
1
[
2
]
Author
Topic: Problem mit IPsec Policy based VPN (Read 11757 times)
atom
Full Member
Posts: 207
Karma: 4
Re: Problem mit IPsec Policy based VPN
«
Reply #15 on:
September 25, 2020, 03:50:21 pm »
In dem Szenario sind 3 Router im Spiel.
Ich habe einen Tunnel zu einem Lancom Router bei dem die Phase 2 Route-Based ist:
lokale IP: 10.10.30.1
Remote IP: 10.10.30.2
ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: CREATED, TUNNEL, reqid 1000
con1{1}: 0.0.0.0/0 === 0.0.0.0/0
Security Associations (2 up, 0 connecting):
con1[2]: ESTABLISHED 5 hours ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.2[xxx.xxx.xxx.2]
con1{17}: INSTALLED, TUNNEL, reqid 1000, ESP SPIs: c832b71d_i 619d2077_o
con1{17}: 0.0.0.0/0 === 0.0.0.0/0
Ich habe einen zweiten Tunnel zu einem Router bei dem die Phase 2 Policy-Based ist:
ipsec status con2
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Security Associations (2 up, 0 connecting):
con2[2]: ESTABLISHED 6 minutes ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.7[xxx.xxx.xxx.7]
con2{3}: INSTALLED, TUNNEL, reqid 2000, ESP SPIs: c8feb218_i a441b3f9_o
con2{3}: 10.20.50.0/24 === 10.10.30.0/24
Und immer wenn das Qellnetz vom Policy-based-Tunnel mein LAN-Netz ist dann wird eine Route in die Routing-Tabelle geschrieben, was falsch ist, denn dafür sind ja die SAs da. Wenn das Quellnetz ein anderes (VLAN-)Netz ist dann wird keine Route in die Routing-Tabelle geschrieben.
«
Last Edit: September 25, 2020, 04:03:59 pm by atom
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Problem mit IPsec Policy based VPN
«
Reply #16 on:
September 25, 2020, 04:22:46 pm »
Ok, ein Schritt weiter.
Jetzt bitte von beiden Tunneln Screenshots von P1 und P2
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
atom
Full Member
Posts: 207
Karma: 4
Re: Problem mit IPsec Policy based VPN
«
Reply #17 on:
September 25, 2020, 04:44:29 pm »
Von dem Policy-Based-Tunnel hatte ich die Screenshot ja schon angehangen. Hier jetzt noch die von dem Route-Based-Tunnel.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Problem mit IPsec Policy based VPN
«
Reply #18 on:
September 25, 2020, 06:38:08 pm »
Bei route-based nimmst du als local und remote IP addressen die nicht existieren.
Also z.b. 192.168.255.1 + 2, dann wird die .1 als interface angelegt, du geht in System : Gateways : Single, legst ein gateway an mit .2 und dann System : Routes und eine route für das remote netz (10.10.30.0/24?) über das gateway.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
atom
Full Member
Posts: 207
Karma: 4
Re: Problem mit IPsec Policy based VPN
«
Reply #19 on:
September 25, 2020, 07:02:04 pm »
Ja, genau. Die sense hat die 10.10.30.1 und die Gegenseite die 10.10.30.2. ( wie auch im netstat zu sehen) Sonst ist das Netz unbenutzt.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Problem mit IPsec Policy based VPN
«
Reply #20 on:
September 26, 2020, 07:05:21 am »
Und wenn du jetzt gegenseitig Routen für die LANs anlegst, geht das dann?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
atom
Full Member
Posts: 207
Karma: 4
Re: Problem mit IPsec Policy based VPN
«
Reply #21 on:
September 26, 2020, 11:42:58 am »
Mir fehlen ja keine Routen. Es ist eine unnötig:
10.10.30.0/24 xxx.xxx.xxx.1 US ix0
Das wird ja bereits durch die SAs abgedeckt.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Problem mit IPsec Policy based VPN
«
Reply #22 on:
September 26, 2020, 01:50:09 pm »
Und wo ist jetzt das Problem? Das Netz sollte ja wie gesagt unbenutzt sein? Hast du ein Verständnisproblem oder geht etwas nicht?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
atom
Full Member
Posts: 207
Karma: 4
Re: Problem mit IPsec Policy based VPN
«
Reply #23 on:
September 26, 2020, 05:15:42 pm »
Ich bin ja, wie man am Profil sehen kann, neu in der OPNsense-Welt. Vielleicht habe ich ja etwas falsch verstanden.
Ich bin immer von folgendem ausgegangen:
Ein Route-based-Tunnel hat eine SA mit 0.0.0.0/0 und die Netze der Gegenseite erreicht man mittels Routing.
Ein Policy-based-Tunnel hat SAs mit lokalen Netz und Remote-Netz.
Wenn mein Verständis so korrekt ist, dann sollte ein ein Policy-Based-Tunnel keine routen setzen, oder ?
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Problem mit IPsec Policy based VPN
«
Reply #24 on:
September 26, 2020, 07:04:06 pm »
Doch, werden auf das WAN gelegt und durch den Tunnel geschubst
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
atom
Full Member
Posts: 207
Karma: 4
Re: Problem mit IPsec Policy based VPN
«
Reply #25 on:
September 26, 2020, 08:46:15 pm »
Okay. Dann habe ich das jetzt verstanden.
Vielen Danke für Deine Mühe.
Edit:
Das heißt aber auch, dass die Sense jetzt nicht von sich aus in das Netz der Gegenseite routet, sondern alles ins Internet geht. Lenke ich das per NAT zur Gegenseite ?
«
Last Edit: September 26, 2020, 09:18:06 pm by atom
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Problem mit IPsec Policy based VPN
«
Reply #26 on:
September 26, 2020, 10:51:10 pm »
Bei routebased natürlich nur per route, policybased nur wenn Quelle und Ziel matchen
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages:
1
[
2
]
« previous
next »
OPNsense Forum
»
English Forums
»
Virtual private networks
»
Problem mit IPsec Policy based VPN