Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSEC Rätsel
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPSEC Rätsel (Read 7590 times)
SEi
Newbie
Posts: 9
Karma: 0
IPSEC Rätsel
«
on:
February 11, 2017, 05:27:43 pm »
Hallo zusammen,
ich habe seit gestern OPNsense 17.1.1 amd64 auf einer Black Dwarf laufen. Die Installation hat super funktioniert und ich bin mit allem glücklich. Tolle Arbeit!
Eine Sache gibt mir allerdings Rätsel auf. Vielleicht habe ich aber auch nur etwas triviales vergessen.
Ich bekomme keine Pakete über meinen IPSec-Tunnel.
Szenario: OPNsense WAN PPPoE, LAN privates Netz, Remote VPS mit fester IP-Adresse.
IPsec-VPN zwischen OPNsense und dem VPS auf Basis IKEv2 mit Zertifikat-Authentifizierung.
Der Tunnel wird aufgebaut, ipsec statusall sagt auf beiden Rechnern (FW und VPS) ESTABLISHED... INSTALLED ... lokale IP === Remote
Ich bekomme allerdings keinen Ping oder SSH durch den Tunnel, weder von der Firewall noch vom LAN.
Mit tcpdump sehe ich ipsec-Pakete jeweils in beide Richtungen.
In den Firewall-Logs steht nichts.
Ich bin mit meinem Latein am Ende
Das gleiche Setup hat mit pfSense funktioniert.
Es funktioniert auch, wenn ich den Tunnel über einen Linux-Server mit strongswan im LAN hinter der Firewall über Port-Forwards aufbaue. Allerdings hätte ich den Tunnel lieber über die Firewall laufen, das macht das Routing einfacher.
Ich bin für jede Idee dankbar.
Viele Grüße
Sven
Logged
Oxygen61
Sr. Member
Posts: 350
Karma: 32
Der Weg zum Erfolg hat keine Abkürzung - (Tanaka)
Re: IPSEC Rätsel
«
Reply #1 on:
February 11, 2017, 05:47:51 pm »
Hey hey,
ich kann dir zum IPsec leider nicht viel sagen, aber....
Quote
[...]In den Firewall-Logs steht nichts. [...]
Hattest du versucht an das Ende deines Regelwerks mal eine "DENY ANY ANY" Regel einzufügen?
Beim erstellen dieser Regel, dann darauf achten das Häkchen zum Loggen zu aktivieren.
Wenn du dann in den Firewall Logs schaust siehst du, welche Pakete abgeblockt werden.
Wenn da nichts ist, kann man zu mindestens das Regelwerk als Fehlerquelle ausschließen.
Oder anders, mal eine ALLOW ANY ANY Regel zum Test einfügen und schauen ob es funktioniert.
Fällt dir da irgendwas seltsames auf?
Schöne Grüße
Oxy
Logged
SEi
Newbie
Posts: 9
Karma: 0
Re: IPSEC Rätsel
«
Reply #2 on:
February 11, 2017, 05:58:15 pm »
Danke für die schnelle Antwort, hilft mir allerdings nicht wirklich weiter.
Es existiert doch für jedes Interface eine implizite "Default deny rule" und Log-Einträge davon sehe, wenn ich die entsprechende Logging-Option setze.
allow log LAN to VPS ICMP loggt mir entsprechende Ping-Versuche ausgehend. Aber der VPS scheint das ipsec-Paket nicht zu wollen.
Logged
chemlud
Hero Member
Posts: 2485
Karma: 112
Re: IPSEC Rätsel
«
Reply #3 on:
February 11, 2017, 08:10:37 pm »
..einer der Gründe, warum ich IPsec irgendwann gegen openVPN getauscht habe... Manchmal musste auch ein neuer Tunnel ein paar Stunden laufen, bevor Pakete befördert wurden. :-/
Mal auf beiden Seiten rebooten und etwas warten. Route für den Tunnel stehtauf beiden Seiten? (Wirklich in der Liste?)
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Andreas
Sr. Member
Posts: 272
Karma: 9
Re: IPSEC Rätsel
«
Reply #4 on:
February 12, 2017, 05:43:53 pm »
Ich verweise mal auf
https://forum.opnsense.org/index.php?topic=4385.msg17112#new
ich hab aktuell auch kein funktionierendes IPSec
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: IPSEC Rätsel
«
Reply #5 on:
February 12, 2017, 06:51:54 pm »
Es sollte in den Firewallregeln einen Tab IPsec geben, wie sehen die Regeln aus?
Logged
lordwarlock
Newbie
Posts: 11
Karma: 0
Re: IPSEC Rätsel
«
Reply #6 on:
February 13, 2017, 11:19:10 am »
Aktuell ist das Buggy (Siehe
https://forum.opnsense.org/index.php?topic=4313.0
)
Zumindest der dort beschriebene WorkArround funktioniert
Logged
SEi
Newbie
Posts: 9
Karma: 0
Re: IPSEC Rätsel
«
Reply #7 on:
February 13, 2017, 02:36:31 pm »
Danke für die Antworten!
Mittlerweile bin ich auf OpenVPN umgestiegen.
Logged
goonies
Newbie
Posts: 1
Karma: 0
Re: IPSEC Rätsel
«
Reply #8 on:
February 13, 2017, 05:38:18 pm »
Hallo zusammen,
die 16.7 amd64 lief bei mir ohne Probleme auf meiner apu2...nach einem Upgrade auf 17.1 war auch noch alles in Ordnung...doch mit dem Upgrade auf die 17.1.1 ging es auch bei mir los...
Ping ja...ssh und der Rest war nicht moeglich
Sobald ich in der Oberflaeche etwas geaendert habe verschwindet das Interface enc0...egal wo oder was.
Aber es laeuft wieder...ich habe folgendes gemacht...
auf der Konsole das Interface enc0 Haendich wieder hinzugefügt und das Board neu gestartet.
Danach ging ping aber der Rest mal wieder nicht...nach einem /usr/local/etc/rc.reload_interfaces und ein ipsec restart war dann alles wieder in Ordnung
Der Befehl ipsec restart verwirrt mich etwas
ich bekomme auf der Konsole folgende Meldung...
Stopping strongSwan IPsec...
Starting weakSwan 5.5.1 IPsec [starter]...
ist das normal
Ich bin im Bereich FreeBSD ein Neuling kann also mit Fachbegriffen nicht viel anfangen
Ich habe auch den Parameter net.pf.share_forward=0 in die Tunables eingetragen.
Habe jetzt ohne etwas zu aendern mal neu gebootet und das Interface war noch da
Aber ohne ein rc.reload_interfaces und ipsec restart geht da nix
In der rules.debug fehlen auch die ganzen VPN Rules vor den beiden Aufrufen.
Gruß
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSEC Rätsel