IPSec Problem nach Adresswechsel mit DynDNS

[ssim]

Hi zusammen,

ich nutze IPSec von OPNSense zu einer Fritzbox 7590. Leider ist WireGuard aufgrund akuter Laborprobleme von Fritz nochnicht ernsthaft einzurichten. (Stand Juli)

Die IPSec-Verbindung funktioniert sehr gut, allerdings nur bis die Fritzbox eine andere IP-Adresse bekommt.

Das Problem ist in dem Fall, dass IPSec keinen erneuten Lookup macht, und immer die erstmalige IP-Adresse der FritzBox verwenden möchte.

Nach einem Neustart aktualisiert OPNSense die Adresse wieder und es funktioniert.

Ich gehe stark davon aus, dass es an IPSec liegt, da das Protokoll einfach nicht für die Nutzung mit DynDNS gedacht ist, wäre aber trotzdem froh, wenn es zumindest einen Workaround bzw. eine Einstellung gäbe,
um nach einem Verbindungsabbruch einen erneuten Lookup zu machen (ohne Neustart).

Vielen Dank im Vorraus für eure Hilfe!

[micneu]

also, aktuell nutze ich keine opnsense, habe aber auf einer pfsense keine probleme, läuft alles stabil.
- bitte mal einen grafischen netzwerkplan
- screenshot deine ipsec konfig

so können wir vieleicht besser helfen

[ssim]

Ich beschreibe das ganze mal als Netzwerk 1 und 2.
N1 ist bei mir, die OPN Sense ist die Firewall/Router. Davor ein Modem am Telekom DSL.

--------------Netzwerk 1 ----------------------

Internet/DSL----||---Zyxel-Modem----||---OPNSense---||--Switch---||---Endgeräte

-------------------------------------------------

N2 besteht im Prinzip aus dem gleichen Aufbau, nur dass Modem, Firewall und Switch aus einer Fritzbox 7590 bestehen:

--------------Netzwerk 2 ---------------------

Internet/DSL----||----FB7590----||----Endgeräte

------------------------------------------------


Da die Fritzbox ein WireGuard-VPN aktuell nur im Labor und nicht fehlerfrei kann,
habe ich derzeit eine IP-Sec Verbindung zwischen den beiden Netzwerken/Routern.

Da es Privatkundenanschlüsse sind, habe ich natürlich keine feste IP, weshalb beide
Router über eine eigene Subdomain mittels DynDNS meiner Strato-Domain erreichbar sind.

Die Verbindung funktioniert einwandfrei, das Problem ist nun nur folgendes:
Die OPNSense speichert die IP der Gegenseite ab, die Verbindung kommt einmal zu stande.
Nach einem Adresswechsel der Fritzbox(N2) bricht die Verbindung logischerweise ab.

OPNSense bzw. IP-Sec macht nun aber keinen erneuten DNS-Lookup der Subdomain, sondern versucht immer
zur alten Adresse zu verbinden, was natürlich nicht geht.

-Erst bei einem Reboot der OPNSense funktioniert es wieder, da dabei der Adressspeicher gelöscht wird.

Ich hoffe die Netzpläne sind gut verständlich, sind ja eher einfache Konfigurationen.

Hier noch die VPN Konfig der OPNSense:

Code: [Select]

<ipsec>
    <phase1>
      <ikeid>1</ikeid>
      <iketype>ikev1</iketype>
      <interface>opt1</interface>
      <mode>aggressive</mode>
      <protocol>inet</protocol>
      <myid_type>fqdn</myid_type>
      <myid_data>#sub.domain.von.OPNSense.de#</myid_data>
      <peerid_type>fqdn</peerid_type>
      <peerid_data>#sub.domain.von.FB7590.de#</peerid_data>
      <encryption-algorithm>
        <name>aes</name>
        <keylen>256</keylen>
      </encryption-algorithm>
      <lifetime>28800</lifetime>
      <pre-shared-key>#presharedkey#</pre-shared-key>
      <authentication_method>pre_shared_key</authentication_method>
      <descr>StS VPN</descr>
      <nat_traversal>on</nat_traversal>
      <auto>start</auto>
      <dhgroup>14</dhgroup>
      <hash-algorithm>sha512</hash-algorithm>
      <private-key/>
      <remote-gateway>#sub.domain.von.FB7590.de#</remote-gateway>
    </phase1>
    <phase2>
      <ikeid>1</ikeid>
      <uniqid>62dd76bf9c819</uniqid>
      <mode>tunnel</mode>
      <pfsgroup>14</pfsgroup>
      <lifetime>28800</lifetime>
      <descr>P2 StS VPN</descr>
      <protocol>esp</protocol>
      <localid>
        <type>network</type>
        <address>192.168.24.0</address>
        <netbits>24</netbits>
      </localid>
      <remoteid>
        <type>network</type>
        <address>192.168.178.0</address>
        <netbits>24</netbits>
      </remoteid>
      <encryption-algorithm-option>
        <name>aes256</name>
      </encryption-algorithm-option>
      <hash-algorithm-option>hmac_sha512</hash-algorithm-option>
      <reqid>1</reqid>
    </phase2>
    <client/>
    <enable>1</enable>
  </ipsec>

[micneu]

1. in deinen grafischen netzwerkplan fehlen die ip bereiche
2. ich habe hier mal eine ipsec konfig für eine fritzbox

Code: [Select]

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = " <=> ";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DYNDNSSENSE";
                localid {
                        fqdn = "MYFRITZ";
                }
                remoteid {
                        fqdn = "DYNDNSSENSE";
                }
                mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "PSK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.X.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.3.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
so ist mein netz

[orcape]

Hi Leute,
ich bin zufällig auf diesen Thread gestoßen, da ich im Augenblick ein IPSec-Problem an der Backe kleben habe, das sich schon seit vor Weihnachten nicht wirklich lösen lässt.
Der bis Dato untaugliche "Tunnelversuch", findet zwischen einer pfSense und einer von mir neu verbauten 7590 am remoten Standort mit aktueller Firmware statt.
Leider bin ich gezwungen beidseitig DynDNS zu machen, Fritteseitig wurde auch MyFritz getestet.
Ich habe schon die verschiedensten Einstellungen durchgespielt, aggressive-, main Modus und alles Mögliche in Sachen Verschlüsselung, die Fritte ist nicht zu erreichen.
Zumindest ein Ping ist nach remote machbar und nmap sagt das sowohl UDP-Port 500/4500 "offen | gefiltert" sind.
Ich habe derzeit noch einen OpenWRT-Router im LAN der Fritte, der es mir zumindest möglich macht, das remote Netz zu erreichen um ein paar Einstellungen zu ändern. Nur wollte ich diesen für die Zukunft einsparen.
Was hier in Bezug auf Wireguard-VPN und 7590 gesprochen wird, klingt auch sehr ernüchternd.
Gibt es derzeit neue Erkenntnisse in Sachen VPN mit 7590, oder verbanne ich besser die Fritte als Telefonanlage und WLAN-AP ins LAN und lasse ein APU mit OPN-/pf-Sense die Einwahl über ein Modem machen.
Ich wollte eigentlich aus energietechnischen Gründen nur ein Gerät dort betreiben.
Danke für eventuelle Tipps.
Gruß orcape

[micneu]

kurz meine persönliche meinung:
- fritzbox VoIP machen lassen (als IP-Client)
- eine bessere hardware als eine APU und ja dann gerne eine sense einsetzen
- am besten auch einen grafischen netzwerkplan (von beiden standorten)
- screenshot deiner IPSec konfiguration
- beide standorte sind über IPv4 erreichbar?