Konfigurationsfragen zu IPsec Tunnel

[markus.tobatz]

Hallo,

ich sitze seit Tagen daran meine OPNsense 23.7 und IPsec einzurichten und mir brummt der Schädel. Einiges funktioniert, manches nicht. Habe mittlerweile zwei Varianten gebaut, zu denen sich ein Windows Client erfolgreich verbinden kann:
https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html (mittels Connections)
https://administrator.de/tutorial/ipsec-ikev2-vpn-fuer-mobile-benutzer-auf-der-pfsense-oder-opnsense-firewall-einrichten-337198.html (mittels Tunnel/Legacy)

Der Client bekommt eine 10.0.0.1 und das VLAN 10 (192.168.10.0) ist erreichbar bzw. ich kann PINGs absetzen, also das gröbste ist erstmal erledigt.

1) Ich habe unter Mobile Clients/IKE Extensions zwar den Domain Name und DNS Split gesetzt (mal nur eins/mal beides), wenn sich aber Windows verbindet, wird der DNS Suffix nicht übermittelt. Ich muss für einen lokalen PING also immer explizit den Suffix an Hostnamen anhängen. Ist das bekannt oder Absicht? Ist der einzige Workaround im Windows-Client unter den IPv4 Einstellungen den verbindungsspezifischen Suffix explizit manuell einzutragen?

2) Sehe ich das richtig, dass IPsec den kompletten Traffic tunnelt, egal ob in der OPNsense nur ein 192.168.10.0/24 als lokales Netz eingetragen ist? Zumindest wird in Windows immer eine Route für 0.0.0.0 in den Tunnel gesetzt. Und so laufen PINGs bspw. an 8.8.8.8 ins Leere, nur das VLAN ist erreichbar. Wie kann das gelöst werden? Muss ich hier auf Seite der OPNsense doch das komplette 0.0.0.0/0 statt dem gewünschten lokalen VLAN eintragen? (Outbound NAT und FW ist dann klar, mir geht es aber darum, dass ich eigentlich vom Client nur das 192.168.10.0 getunnelt haben will und nicht alles)

3) Das Windows-Interface für das VPN erhält keinen DNS-Server bei Verbindungsaufbau. Da das IPsec Netz 10.0.0.0/24 wohl nicht per DHCP an den Client vergeben wird (sondern nur ein IP-Pool ist), muss ich vermutlich ausdrücklich unter Mobile Clients/IKE Extensions die IP der OPNsense als DNS-Server hinterlegen, richtig?

Android zickt noch komplett, aber ich will erstmal den Windows-Client sauber ans Laufen bringen.

[Monviech (Cedrik)]

Hallo, ich hab das Roadwarrior Tutorial für die Connections geschrieben. Für Connections benötigst du das mobile Clients Menü überhaupt nicht.

Für das leidige Windows ist es meinen ganzen Tests zufolge unabdingbar, vor allem im produktiven Umgebungen, den eingebauten Windows VPN Client zu meiden. Der krankt einfach immer wieder und Microsoft ändert mit jedem Update irgendwas und zack kann sich keiner mehr verbinden und das Telefon klingelt.

Ich benutze deshalb den NCP Client und hab damit sehr viele IPsec Tunnel stabil und mit allen Features laufen. Probiere das Tutorial einfach mal damit aus. Es lohnt sich keinen Ärger mehr zu haben, seit Monaten nicht ein Anruf.

Split Tunnel, DNS Server, DNS Suffix, Zertifikate, etc... alles damit kein Problem. Obendrein gibt es noch ein brauchbares Fehlerprotokoll für Verbindungsprobleme lösen.

In Connection "Pools" kann man den DNS Server einstellen der mittels IKE Push dem Client mitgegeben wird. DNS Suffix Option fehlt hier noch, wenn du das zentral mitgeben willst mach auf Github einen Feature Request auf.

[markus.tobatz]

Danke erstmal. Ich hadere noch etwas mit der Entscheidung, welcher Weg der richtige ist. Das Legacy-Setup bietet für einen "bequemen" Menschen wie mich den Vorteil, dass gleich die Firewall- und NAT-Regeln automatisch angelegt sind. Bei deiner Variante müsste die manuell angelegt werden. Könnte ich mich aber dazu durchringen. Lediglich beim Client würde ich vermutlich doch beim nativen Win-Client bleiben

D.h. ich müsste:
- im IPsec Pool einen DNS-Server angeben (IP der OPNsense)
- in der Children-Config das Local Net mit 0.0.0.0/0 angeben
- NAT-Outbound-Regel angeben für die Quelle 10.0.0.0/24 mit NAT-Ziel PPPoE-Device
- eine FW-Regel für die Quelle 10.0.0.0/24 mit Allow für das Ziel any
- vorerst den DNS Suffix hart in der Windows-Verbindung hinterlegen

Damit wird zwar sämtlicher Traffic getunnelt, aber auch lokale Hosts korrekt aufgelöst. Es ist ja für mich nur eine Notlösung, wenn ich unterwegs doch mal auf das heimische NAS muss.

[Monviech (Cedrik)]

Wenn es nur für dich alleine ist, dann würde ich eher Wireguard empfehlen. Es ist super einfach zu konfigurieren, schnell, und sehr stabil. Perfekt für unterwegs.

Mit IPSec würde ich mich nur noch rumschlagen wenn es echt um Firmenkunden geht, da braucht man zusätzliche Authentifizierung die mir Wireguard so nicht funktioniert.

Aber ansonsten, mach dir das Leben nicht schwer und benutz Wireguard.

[markus.tobatz]

Danke. Gerade mal probiert - läuft. Einen zusätzlichen Client hätte ich gern vermieden, aber dann ist es so

Was zuerst problematisch war: PING lief, aber HTTPS nicht. Habe dann den Hinweis gesehen, die MTU anzupassen, damit scheint der Traffic erstmal zu laufen.

Einzig die Namensauflösung macht mich nach wie vor unglücklich. In der WireGuard-Config habe ich den Suffix eingetragen. Er wird mir auch bei "ipconfig /all" im WireGuard-Interface angezeigt als verbindungsspezifischer DNS-Suffix. Er scheint aber nicht verwendet zu werden. Muss nach wie vor meine lokale Heim-Domäne angeben hinter dem Hostnamen. Hast du da noch einen Tipp? (BTW: Android verwendet den Suffix, da klappt alles)