OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • IPSec Verbindung kein Zugriff auf Firmennetzwerk
« previous next »
  • Print
Pages: [1]

Author Topic: IPSec Verbindung kein Zugriff auf Firmennetzwerk  (Read 1932 times)

raiken

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
    • View Profile
IPSec Verbindung kein Zugriff auf Firmennetzwerk
« on: February 23, 2021, 04:23:53 pm »
Hallo zusammen.
Heute habe ich auf unserer OPNsense eine IPSec Verbindung für mobile clients erstellt. Das Verbinden der Geräten mit der sense klappt soweit ganz gut nur kommt keines der Geräte ins Firmennetzwerk. Ich bin langsam am Verzweifeln und was man so im Netz findet zeigt eher in die andere Richtung (keine Verbindung zum WAN). Zum einrichten von IPSec auf Server und Cilent habe ich die opnsense doku verwendet und entsprechend auf unsere Bedürfnisse angepasst.
Als OPNsense-Neuling ist es durchaus möglich, dass ich hier was übersehe.

Die Konfiguration ist soweit wie folgt.

Firewall Regeln:
IPsec - UDP 500/4500 & ESP und IPSec net nach LAN
WAN: Die automatisch angelegten IPSec Regeln

VPN:
P1 - Interface WAN AES (128 bits) + SHA256 + DH Group 14 EAP-MSCHAPV2
P2 - AES (auto), Blowfish (auto), 3DES, CAST128 + MD5, SHA1 + off
Mobile Clients bekommen eine Adresse aus 10.0.100.0/24 die IP der FW ist als DNS konfiguriert.

DNS:
eine ACL ist auf den pool der clients angelegt. DNS forwarding ist aktiv

Die Versions auf dem Dashboard sind folgende

OPNsense 20.1.7-amd64
FreeBSD 11.2-RELEASE-p20-HBSD
OpenSSL 1.1.1g 21 Apr 2020

Die FW hängt hinter einer Fritzbox. Dort sind entsprechende Portfreigaben ebenfalls aktiv.

Überseh ich hier irgendwas bzw. habe etwas falsch konfiguriert?
Vielen Dank für eure Antworten.
Grüße,

Logged

micneu

  • Hero Member
  • *****
  • Posts: 1912
  • Karma: 59
    • View Profile
IPSec Verbindung kein Zugriff auf Firmennetzwerk
« Reply #1 on: February 23, 2021, 04:46:47 pm »
1. bitte einen grafischen netzwerkplan
2. bitte genau angeben um was für Clients es sich handelt
(macOS / iOS habe ich es auch nicht hinbekommen)
Im Forum sind ausreichend Beiträge dazu


Gesendet von iPad mit Tapatalk Pro
« Last Edit: February 23, 2021, 04:48:42 pm by micneu »
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100

vpnuser

  • Jr. Member
  • **
  • Posts: 64
  • Karma: 5
    • View Profile
Re: IPSec Verbindung kein Zugriff auf Firmennetzwerk
« Reply #2 on: February 23, 2021, 05:32:27 pm »
Folgende Punkte sind mir in Deiner Konfiguration aufgefallen:
•   IPSec Firewall Regeln: hier benötigst Du die IPSec Ports nicht, da die Verbindung über die WAN Schnittstelle hergestellt wird und somit die Ports dort freigeschaltet werden.
•   IPSec und LAN Firewall Regel: hier jeweils eine Regel anlegen, welche den kompletten „in“-Verkehr zulässt. Du kannst dann später die Regeln verfeinern.
•   Phase 2 – Parameter „Lokales Netzwerk“: hier „LAN“ eintragen, sofern noch nicht geschehen.
•   Mobile Clients: wenn Du Windows Clients einsetzt musst Du hier ein abweichendes C-Klasse Netzwerk zu Deinem Firmen-LAN eintragen. Also wenn LAN 10.0.90.0/24, dann ist 10.0.100.0/24 korrekt. Wenn aber LAN ebenfalls 10.0.100.0/24 ist, dann nicht.
•   Wenn auf den Windows Clients Split Tunneling einsetzt, musst Du noch eine Route für die VPN Verbindung -> Firmennetzwerk einrichten. Diese kann permanent mit folgenden Powershell Befehl eingerichtet werden (Annahme Firmen LAN Subnetz ist 10.0.90.0/24):
Add-VpnConnectionRoute  –ConnectionName "<Name der VPN Verbindung>" – DestinationPrefix 10.0.90.0/24 -PassThru

Zur Überwachung der Firewall Rules in OPNSense „Firewall -> Log Files -> Live View“ verwenden. Hier kannst Du sehr schnell sehen, welche Regel Du noch benötigst bzw. was geblockt wird.   
« Last Edit: February 23, 2021, 06:22:12 pm by vpnuser »
Logged

raiken

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
    • View Profile
Re: IPSec Verbindung kein Zugriff auf Firmennetzwerk
« Reply #3 on: February 24, 2021, 08:51:46 am »
@micneu
Der Plan ist nicht mehr ganz aktuell, da die beiden VLANs (rot) bereits im Einsatz sind. Wie so oft findet sich jedoch niemand, um das anzupassen.

Als Clients kommen 37 Linux und 3 MacBooks zum Einsatz. Die Windows Rechner sind stationär.

@vpnuser
Die Ports sind gelöscht, danke für den Hinweis
IPSec und LAN Scheunentore sind offen
Bei den P2 hab ich als Lokales Netzwerk nur "LAN subnet" Ich denke, dass sollte das richtige sein?

Die Livelogs der Firewall sind leider (für mich) nicht sehr aufschlussreich. Beim Herstellen der Verbindung passieren hier genau zwei sachen, nämlich
In udp 500 und In udp 4500
der nächste eintrag sieht dann folgendermaßen aus
LAN         0.0.0.0:68   255.255.255.255:67   udp   Default deny rule
Dieser kommt jedoch immer wieder ob die Verbindung nun steht oder nicht.


Endgültig sollen vier Netzte erreichbar sein
192.168.150.0/24 (LAN, alle)
192.168.177.0/24 (Vodafone Netz, admins)
192.168.197.0/24 (Windows Geräte, admins)
192.168.178.0/24 (Telekom Netz, admins)
Da für die drei Admin-Netze entsprechende Regeln auf dem LAN Interface definiert sind, und das Routing darüber läuft, sollte das aber, sobald das LAN erreichbar ist auch möglich sein.

Die Clients sollen ebenfalls eine IP aus dem 10.0.100.0/24 pool bekommen
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • IPSec Verbindung kein Zugriff auf Firmennetzwerk
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2