[GELÖST] Tunnel: IPsec vs. OpenVPN

Started by Emma2, May 19, 2023, 01:06:22 PM

Previous topic - Next topic
May 19, 2023, 01:06:22 PM Last Edit: May 20, 2023, 06:44:01 AM by Emma2
Hallo.
Ich hatte (aus eigener Blödheit, aber dennoch) zweieinhalb Monate lang keinen Kontakt zur Filiale, und nachdem ich nun vor Ort die OPNsense wieder gestartet und aktualisiert habe (Version 23.1.7, zu Hause 23.1.2), kann ich den IPsec-Tunnel nicht mehr aufbauen.

In der Shell bekomme ich für ipsec up con1 einen Strauß von Fehlermeldungen, die ich nicht so recht verstehe. Vor allem stehen dort Dinge über Zertifikate, obwohl in den Tunneleinstellungen nur "Mutual PSK" steht.

Oder geht es um die Verschlüsselung des Tunnels? Kann da etwas abgelaufen sein? (Die OPNsense in der Filiale ist seit Anfang März nicht gelaufen.)
Kann oder soll ich die Ausgabe von ipsec up con1 hier posten? Wenn ja, was muss ich anonymisieren? Nur meine IPs?

Oder... ich erinnere mich an Eure früheren Ratschläge: Soll ich lieber gleich die Chance nutzen und den Tunnel auf OpenVPN umstellen? Wenn ja, dann würde ich mich über einen Link zu einerm How-To freuen, denn ich kenne nur das Thomas-Krenn-Wiki für den "Road Warrior". Aber wie richte ich einen OpenVPN-Standort-zu-Standort-Tunnel ein?


Bein einem s2s Tunnel von Opnsense zu Opnsense würde ich heutzutage immer Wireguard nehmen.

Das ist aber noch nicht "in der OPNsense drin", oder?

Wie gesagt, bisher bin ich mit IPsec ganz gut gefahren, nur als ich das letzte Mal Schwierigkeiten damit hatte, wurde mir OpenVPN empfohlen. Und OpenVPN für den Zugang von extern habe ich auch schon eingerichtet.

Von daher würde ich gern bei einer dieser beiden Lösungen für den Tunnel bleiben.

Doch es ist drinnen. In den Neuen Versionen von opnsense auch als Kernel-Modul.

Hmm, ich habe heute das Update auf 23.1.7 gefahren, und dort stehen unter "VPN" nur "IPsec" und "OpenVPN".

May 19, 2023, 03:34:38 PM #5 Last Edit: May 19, 2023, 03:37:25 PM by lewald
Es muss installiert werden. Via plugin.

Und man muss es eben einrichten. Das ist noch mal ein eigenes Thema wo man sich rein arbeiten muss.

Es ist aber mindestens genauso Performant wie ipsec und am Ende braucht es nur einen Port.

Ok, danke, ich sehe es mir als Alternative mal an.

Bleibt aber noch meine Anfangsfrage: Gibt es ein How-To für OpenVPN-Tunnel?

Ok, danke für die Antworten, aus meiner Sicht ist das Problem "gelöst":

  • Mein IPsec hat sch irgendwie "eingeschwungen", denn heute morgen stand der Tunnel "automatisch" wieder.
  • Eine Beschreibung für einen OpenVPN-Site-to-Site-Tunnel habe ich gefunden.
  • Für mich sehe ich aktuell keinen Anlass, Wireguard zu nutzen.