ipsec passthrough

[opns_deperate]

Liebes Forum,

ich bin einigermaßen verzweifelt und weiß nicht recht, wonach ich suchen soll:
Mein Arbeitgeber verwendetr ECOS SX Bootsticks (https://www.ecos.de/produkte/zugangskomponenten/secure-boot-stick-sx/), über die ich leider nicht viel mehr weiß als: Der ECOS SECURE BOOT STICK [SX] terminiert gegen ein bestehendes IPsec-VPN-Gateway.

Grundsätzlich lässt sich ein "speziell gehärtetes" Linux von diesem Stick booten und dann darüber eine VPN Verbindung zum Arbeitgeber aufbauen.

Das funktionierte an einer einfachen Fritzbox bislang problemlos. Nun, mit der Umstellung auf opnsense jedoch nicht mehr:
In der Ecos-Umgebung wird die VPN Verbindung zwar noch aufgebaut, allerdings passiert dann nichts weiter - es kommt also keine wirkliche Verbindung zum Firmenserver zu stande.

Ich habe nun leider keine Ahnung, was ich hier machen kann, da mir auch die Live-Ansicht der Firewall nichts anzeigt.

Hat hier jemand Ideen zu? Was könnte man tun? Wo kann ich suchen. Was muss ich tun, um IPSEC durchzulassen?
Suchen nach IPSEC liefern viele Hinweise für eigene eingehende IPSEC-Verbindungen (was übrigens super funktioniert) oder gängige OPNSense IPSEC Verbindungen - nicht jedoch solche Verbindungen, die die eigene Hardware nur als Mittel zum Zweck nutzen (wollen).

Vielen Dank & Viele Grüße

[lewald]

Wenn von einem solchen Stick gestartet wird, dann hat der ja ein eigenes Betriebssystem am laufen.
Geht denn von diesem System überhaupt der Zugriff ins Internet.
Wer verteilt im eigene Netz die Ips? Wenn ein Dhcp vorhanden ist, ist dort das System angemeldet?

[banym]

Hallo,

mehr Informationen über deine Firewall wären hilfriech.

Regeln, NAT, Netzwerkkonfig.

Ich vermute es wird evtl. etwas geblockt.
IPsec braucht ggf. ESP, GRE, UDP (500,4500)

Du kannst dann auch einfach mal Package Capture machen und schauen was denn versucht zu kommunizieren und was von der Deny Regel gefangen wird.

[opns_deperate]

Danke für euere schnellen Antworten.

Leider kann ich nicht viel geben 

Was genau da läuft, auf Seiten des Arbeitgebers und in diesem Bootstick entzieht sich meiner Kenntnis.

Noch mehr Hintergründe:

• Die VPN-Verbindung im Bootstick wird aufgebaut. Hier sehe ich auch einen Zielserver. Dann kommt normalerweise eine Anmeldeoption im Citrix Gateway. Hier sehe ich nur das "Ladesymbol" des Citrx Gateway.
  Die Aussage hierzu ist bei unserer IT häufig, dass der Provider keine ipv4-Adresse zuteile und man daher nicht verbinden könne. Das kann ich ausschließen (ich sehe und arbeite ja mit der ipv4 und unter Fritzbox-Zeiten ging es ja...).
  
• Die IPs im lokalen Netzwerk kommen vom DHCP - das läuft soweit. (s.u. Hotspot-Funktion)
• Der Stick hat eine Hotspot-Option: Dabei wird einfach eine beliebige Zieladresse (um darüber eine Hotspot-Anmeldung auszulösen) gewählt. Das Funktioniert ebenfalls.
• Package Capture: Hier sehe ich einige Verbindungen des Geräts auf den o.g. Zielserver. Scheinbar werden die durchgeleitet. Worauf genau ich achten muss weiß ich leider noch nicht..
• Netzwerk: Ich teste gerade im Besucher-Netzwerk (vlan), hatte ihn aber auch in meinem Produktivnetzwerk.. Unterschiede zwischen den beiden sind, dass das Produktivnetzwerk einen pihole nutzt und dass das Besuchernetzwerk für die anderen lokalen Netzwerke blockiert ist
• Firewall-Regeln: Grundsätzlich arbeite ich hier noch immernoch mit:
  eingehend:
  IPv4+6 TCP/UDP    Besucher Netzwerk    *    *    *    *    * 
• Zusätzlich habe ich auch mal ausgehend Regeln für TCP/UDP (alle), ESP, GRU, AH eingefügt. leider ohne Ergebnis..:
  IPv4+6 TCP/UDP    Gerät     *    *    *    *    *
  
• Zusätzlich habe ich mal ESP/GRU hinzugefügt. keine Änderung
• übrigens läuft auf der opnsense noch ein eigener IPSEC Server sehr problemlos.

-

Ich bin also weiterhin relativ verzweifelt, weil ich einfach keinen Ansatzpunkt sehe, bei dem ich loslegen könnte. Insbesondere die weit gefassten Regeln müssten doch alles zulassen, oder?

[lewald]

War auf der Fritzbox auch ein eigener ipsec Server am laufen?

Ich würde den mal auf der OPNsense deaktivieren.

Frohe Ostern

[opns_deperate]

Frohe Ostern.

Ich habe einiges ausprobiert:

• denn IPSec-Server und die Regeln auf der WAN-Schnittstelle deaktiviert.
• Manuell eine NAT-Regel für den spezifischen Client (der die VPN aufbaut) eingerichtet
• .. alles ohne Erfolg..

Package Capture zeigt mir lediglich, dass die VPN-Verbindung (TCP) aufgebaut wird. Dann gibt es relativ wenige ESP-Einträge.

Außerdem habe ich mal Wireshark auf einem W10-Client mit Hotspot-Funktion laufen lassen.
Hierbei ist der Ablauf relativ ähnlich. Allerdings laufen die ESP-Verbindungen (UDP 4500) permanent weiter, wenn die Verbindung tatsächlich nutzbar steht.

Dabei gibt es bei der Hotspot-Verbindung wechselseitige Verbindungen zwischen VPN-Server und Client.
Bei der OPNSense-Verbindung gibt es immer ca. 10 Pakete in jeweils einer Richtung.


Was das jetzt bedeutet verstehe ich leider nicht.. Offensichtlich kann ich solche Logs auch nicht interpretieren..
Die VPN Verbindung wird aufgebaut, aber dann laufen offenbar keine Daten (mehr) über die Verbindung.

In der Hoffnung, dass jemandem das etwas zeigt.. Frohe Ostern

[opns_deperate]

Frohe Ostern,

ich bin einen Schritt weiter:

• Bislang läuft der IPSEC Tunnel zum Arbeitgeber, aber keine eigentliche Verbindung darüber
• ESP Traffic/den ESP Paketen (UDP 4500) sieht aus wie beschrieben: nicht abwechselnde Pakete sondern eine größere Zahl eingehend, dann ausgehend.
• Der eigene IPSec-Server lief dabei weiter oder war vollständig deaktiviert. Das hat die Verbindung bzw. das ausbleiben der Verbindung wie beschrieben nicht beeinflusst.

Nun habe ich zufällig festgestellt, dass der IPSec Tunnel zum Arbeitgeber einwandfrei funktioniert, wenn ich zuvor eine eingehende IPSec Verbindung zu meiner OPNSense aufbaue.
Diese kann ich dann wieder abbauen, aber ohne dass diese eingehende Verbindung auf meine OPNSense steht kann ich den IPSec Tunnel nach außen nicht nutzen.

Spezifische Firewall-Regeln sind nicht eingestellt: Das genutzte Gäste-vlan darf alles extern, aber nicht auf interne Netze.
Auf der WAN-Schnittstelle gibt es nur die automatischen IPSec-Regeln, keine spezifischen.


Irgenndwie sieht das ja nach einem trivialen Problem aus... allerdings weiß ich leider nicht, wie ich damit umgehen soll. Als Workarround problemlos bis auf weiteres nutzbar. Aber irgendwie unbefriedigend.

Vielen Dank für mögliche Tipps und Hinweise hierzu.. Viele Grüße