IPSec zu Untangle will nicht

[inkasso]

Moin!

Ich komme irgendwie nicht weiter und hoffe, ich bin nicht wieder nur "zu blöd"

Habe einen IPSec Tunnel nach der Anleitung https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html erstellt. Die Gegenseite ist jedoch keine OPNsense sondern eine Untangle. Ich mache sowas auf GUI Ebene nicht das erste Mal und die Einstellungen für die Verschlüsselung sind auf beiden Seiten gleich.

Im Firewall Log kann ich sehen, dass die Untangle-Seite schon auf Port 500 anklopft und das auch brav durchgewunken wird. Auf der OPNsense tut sich aber nichts. Das Log unter VPN => IPsec => LogFile bleibt leer. Außerdem müsste ich ja umgekehrt auch ein eigenes ausgehendes Bestreben der Verbindungsherstellung zur Gegenseite finden können, doch da finde ich weder was in den Logs der OPNsense, noch in denen der Untangle...

Weil mich dieses "leere Log" der OPNsense gewundert hat, hab ich mal ein wenig gesucht und festgestellt, dass das Thema wohl etwas durchwachsen ist. Ich hab allerdings die Vermutung, dass der Prozess für IPsec gar nicht läuft.

Übers CLI hab ich mir mal die laufenden Prozesse angeschaut und kein ipsec, kein strongswan und kein charon gefunden (Begriffe, die mir immer um die Ohren geflogen sind, in all den anderen Threads der Leute, die ebenfalls Probelme hatten). Nur mit meinem "Halbwissen" was denn konkret auf der OPNsense laufen muss und wie man es ggf. startet/debuggt komme ich nun nicht mehr weiter.

Es handelt sich um eine OPNsense 20.7.4-amd64 und beide Seiten des Tunnels haben feste öffentliche IP Adressen.

[micneu]

ich kenne mich mit untangle nicht aus, und was sagt denn das untagle forum?
1. bitte mal einen netzwerkplan
2. bitte mal deine firewall konfig (WAN, IPSec)
3. von beiden seiten mal die IPSec Konfig

[inkasso]

Hoffe du blickst bei den Bildern durch und ich hab nix vergessen...

Die Untangle Seite dürfte eigentlich nicht der Fehler sein. Ich hab hier noch eine andere IPSec von einem anderen Standort zwischen einem RoadWarrior und dieser Untangle laufen. Und nein, die Netze kommen sich nicht in die Quere.

[inkasso]

.

[inkasso]

Scheinbar doch nicht so trivial...

Welche Prozesse müssten denn für IPsec auf der sense laufen?

[Gauss23]

Ohne jetzt direkt eine Lösung zu haben. Unter dem Begriff "Verschlüsselung" sind die verwendeten Algorithmen nicht anzusiedeln. Wenn Du Zugriff auf beide Seiten hast verwende bitte modernere Methoden.

Und warum kein IKev2?

Ach und ich sehe was: ENABLE IPSEC ist deaktiviert!

[inkasso]

Das war ein Versuch, weil es mit v2 nicht wollte, es erstmal mit v1 zu probieren...

[Gauss23]

Mach mal "enable IPsec" an
VPN: IPsec: Tunnel Settings

[inkasso]

Also DOCH trivial.
Wer bitte kommt auf die Idee, dass man da noch einen Haken hat, den man setzen muss? Hätte eher erwartet, dass ich oben einen grünen Pfeil oder rotes Stop Symbol hab oder dass ich dazu was im Services-Widget finde.

Klar, dass ich nicht weiter komme, wenn da kein Service läuft. Kann ja nicht mal falsch laufen dann

Danke!

[inkasso]

Ein Problem ist aber leider doch noch geblieben...

Er baut die Verbindung auf. Ich kann von der Firewall durch den Tunnel Maschinen auf der anderen Seite pingen. Wenn ich es aber von einem Client im Netz probiere, geht das nicht durch.

Ein Traceroute zeigt mir als Gateway die IP der Gegenstelle vom WAN Interface. Ob das so richtig ist, bezweifle ich. Er erzeugt die richtige Route für das Zielnetz auf der Firewall, das hab ich geprüft. Auf der Firewall ist mir soweit auch erst einmal nichts aufgefallen, warum es nicht gehen sollte...

Hast du hier ggf. auch einen Zaunpfahl mit dem du winken könntest? 

[inkasso]

Sorry, dass ich den nochmal hochholen muss, aber ich steh wie Ochs vorm Berg...

Die IPSec läuft. Ich kann direkt von der Sense aus Clients im entfernten Netz pingen. Wenn ich es aber von einem Client in einem der lokalen Netze aus probiere, geht es nicht.

Ich hab viel nachgesehen. Stimmt das default Gateway auf dem Client im Netzwerk? Welchen Weg nimmt Traceroute zur Ziel-IP? Seh ich auf der Firewall irgendwelche Blocks die zu dem passen, was ich gerade tue? ...

Nach einiger Zeit hab ich mir gedacht: ich mach mir mal eine Regel für IPv4 ICMP und sage, die soll durchlassen UND loggen. Ich hab die Regel bei den "Floating Rules" als erste nach den automatischen Regeln eingetragen. Auf einmal geht der Ping durch und ich bekomme Logs darüber.

Sagt mir: mein Problem ist also, es fehlt irgendwo eine Firewall-Regel, die erlaubt, was ich tun möchte, oder die Regel existiert, kommt aber zu spät in der Abfolge...

Da ich "Floating Rules" so verstehe, dass man hier allgemein gehaltene Regeln die für mehrere Netzwerke / Interfaces / etc. gelten sollen ablegt, dacht ich mir: die "Floating Rule" deaktivieren und jetzt ne Regel auf dem eigentlichen Interface für das LAN mit Ziel des entfernten Netzwerks identisch anlegen und es müsste weiterhin gehn. Pustekuchen. Ich sehe wieder nichts und bekomme keine Verbindung.

Wo liege ich mit meinen Überlegungen falsch?