IPsec Roadwarrior Windows 10

[shb256]

Hallo,

ich habe IPsec als Roadwarrior (EAP-MSCHAPV2) aufgesetzt.  Die Verbindung kommt zu stande, die IP wird aus dem Adressbereich zugewiesen.

Code: [Select]

PPP-Adapter VPN:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VPN
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.201.3(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   Standardgateway . . . . . . . . . :
   DNS-Server  . . . . . . . . . . . : 192.168.200.240
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ich habe in der Firewall unter IPsec allow any eingestellt

Leider kann ich nicht auf die Netze zu hause zugreifen.
Spontan wirde ich auf das fehlende Gateway tippen. Wenn ja, wie kriege ich es dort rein? wenn nein, was ist es dann?

danke

shb

[shb256]

OK ich habs gefunden
https://docs.opnsense.org/manual/how-tos/ipsec-rw-w7.html

Es ist die Clientkonfiguration unter Punkt 3 Finetuning.

Gleich die nächste Frage zu diesem Thema.
Ich habe festgestellt, dass ich nur in ein Netz komme, das was ich in Phase 2 angegeben habe.
Wenn ich mehrer Phase 2 Konfigurationen anlege komme ich auch in die anderen Netze.
Allerdings komme ich nicht ins Internet. Darauf hin habe ich eine Phase 2 für das Netz 0.0.0.0/0 erstellt.
Damit komme ich in alle angeschlossenen Netze der Firewall, aber nicht ins Internet. Das möchte ich auch noch

danke shb

[mimugmail]

Dann brauchst du ein outbound nat für dein VPN Tunnelnetz

[shb256]

Danke, das war es.
Zum Verständnis, warum wird das outbound NAT nicht automatisch gesetzt?
Outbound war auf automatic gesetzt

Sobald ich mich im lokalem Netz mit dem Server verbinde, kann ich keinen lokalen server und das Internet nicht mehr erreichen. Gibt es eine Möglichkeit trotz verbundenen VPN den Zugriff zu behalten?

danke shb

[micneu]

Bitte mal einen netzwerkplan.
Und die ipsec Konfiguration.

Gesendet von iPad mit Tapatalk Pro

[shb256]

Code: [Select]


    |---------------|
    | DSL MODEM|
    |--------+-----|
                 |
                 |
    |--------+-----|
    | opnsense     +---- 192.168.200.0/24
    |                   +---- 172.16.1.0/24
    |                   +---- 172.16.2.0/24
    |                   +---- 172.16.3.0/24
    |---------------|

Nachtrag.

Die lokalen Server erreiche ich, es geht nur das Internet nicht

[micneu]

Ich bin mir nichtsicher, ich nutze meist OpenVPN (ist einfacher zu konfigurieren) du hast local address 0.0.0.0. binmir nicht sicher ob das richtig ist


Gesendet von iPad mit Tapatalk Pro

[shb256]

Ja ich nehme sonst auch openvpn. Hier geht's mir um die Möglichkeit vor dem Domain Login mit dem Netzwerk bei Bedarf eine Verbindung herzustellen.
Ich hatte bei 0.0.0.0 vorher nur das 192.168.200.0/24 drin, da ist der Client auch nur in das Netz gekommen.

[mimugmail]

Wähl dich ins VPN ein, schau welche ip du bekommen hast  und dann packet capture auf dem IPsec interface. Da dann kontrollieren ob die Pakete wenigstens ankommen.

[rainerle]

Danke, das war es.
Zum Verständnis, warum wird das outbound NAT nicht automatisch gesetzt?
Outbound war auf automatic gesetzt

Der IPsec Konfigurationsteil in der OPNsense ist "legacy" und nicht mehr besonders gut mit dem Rest integriert. Bei OpenVPN wird der dort verwendete Virtual IP pool automatisch in die Outboundregeln mit aufgenommen. Das müsste man für IPsec Mobile Client Virtual IP Pool eben auch mal machen. Allerdings möchte man vielleicht auch Split Tunneling machen - also nur den Traffic über den Tunnel leiten, der da wirklich hin muss und beim Client den Rest einfach direkt ins Internet senden.

[JeGr]

> Ja ich nehme sonst auch openvpn. Hier geht's mir um die Möglichkeit vor dem Domain Login mit dem Netzwerk bei Bedarf eine Verbindung herzustellen.

@shb256 Darf ich fragen warum das wichtig ist (und du deshalb IPsec nutzen willst)? Die credentials werden doch gepuffert wenn keine Verbindung besteht und wenn danach via OVPN die Verbindung hergestellt wird zum Firmennetz ist das doch kein Problem? Wir arbeiten jetzt seit Monaten im Homeoffice und ich war mit meinem Schlepptop locker seit April nicht mehr in der Nähe eines DCs Bin nur interessiert daran, warum das ein Punkt ist den du brauchst