IPsec Roadwarrior Windows 10

Started by shb256, July 18, 2020, 03:13:27 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 18, 2020, 03:13:27 PM
Hallo,

ich habe IPsec als Roadwarrior (EAP-MSCHAPV2) aufgesetzt.  Die Verbindung kommt zu stande, die IP wird aus dem Adressbereich zugewiesen.
Code Select

PPP-Adapter VPN:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VPN
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.201.3(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   Standardgateway . . . . . . . . . :
   DNS-Server  . . . . . . . . . . . : 192.168.200.240
   NetBIOS über TCP/IP . . . . . . . : Aktiviert


Ich habe in der Firewall unter IPsec allow any eingestellt

Leider kann ich nicht auf die Netze zu hause zugreifen.
Spontan wirde ich auf das fehlende Gateway tippen. Wenn ja, wie kriege ich es dort rein? wenn nein, was ist es dann?

danke

shb
July 18, 2020, 06:59:07 PM #1
OK ich habs gefunden
https://docs.opnsense.org/manual/how-tos/ipsec-rw-w7.html

Es ist die Clientkonfiguration unter Punkt 3 Finetuning.

Gleich die nächste Frage zu diesem Thema.
Ich habe festgestellt, dass ich nur in ein Netz komme, das was ich in Phase 2 angegeben habe.
Wenn ich mehrer Phase 2 Konfigurationen anlege komme ich auch in die anderen Netze.
Allerdings komme ich nicht ins Internet. Darauf hin habe ich eine Phase 2 für das Netz 0.0.0.0/0 erstellt.
Damit komme ich in alle angeschlossenen Netze der Firewall, aber nicht ins Internet. Das möchte ich auch noch ::)

danke shb
July 18, 2020, 07:00:48 PM #2
Dann brauchst du ein outbound nat für dein VPN Tunnelnetz
July 19, 2020, 11:29:20 AM #3 Last Edit: July 19, 2020, 12:43:32 PM by shb256
Danke, das war es.
Zum Verständnis, warum wird das outbound NAT nicht automatisch gesetzt?
Outbound war auf automatic gesetzt

Sobald ich mich im lokalem Netz mit dem Server verbinde, kann ich keinen lokalen server und das Internet nicht mehr erreichen. Gibt es eine Möglichkeit trotz verbundenen VPN den Zugriff zu behalten?

danke shb
July 19, 2020, 01:16:30 PM #4
Bitte mal einen netzwerkplan.
Und die ipsec Konfiguration.

Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
July 19, 2020, 04:52:11 PM #5 Last Edit: July 19, 2020, 05:53:54 PM by shb256
Code Select


    |---------------|
    | DSL MODEM|
    |--------+-----|
                 |
                 |
    |--------+-----|
    | opnsense     +---- 192.168.200.0/24
    |                   +---- 172.16.1.0/24
    |                   +---- 172.16.2.0/24
    |                   +---- 172.16.3.0/24
    |---------------|


Nachtrag.

Die lokalen Server erreiche ich, es geht nur das Internet nicht
July 19, 2020, 10:27:34 PM #6
Ich bin mir nichtsicher, ich nutze meist OpenVPN (ist einfacher zu konfigurieren) du hast local address 0.0.0.0. binmir nicht sicher ob das richtig ist


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
July 19, 2020, 11:03:01 PM #7
Ja ich nehme sonst auch openvpn. Hier geht's mir um die Möglichkeit vor dem Domain Login mit dem Netzwerk bei Bedarf eine Verbindung herzustellen.
Ich hatte bei 0.0.0.0 vorher nur das 192.168.200.0/24 drin, da ist der Client auch nur in das Netz gekommen.
July 20, 2020, 06:54:49 AM #8
Wähl dich ins VPN ein, schau welche ip du bekommen hast  und dann packet capture auf dem IPsec interface. Da dann kontrollieren ob die Pakete wenigstens ankommen.
August 25, 2020, 10:13:46 AM #9 Last Edit: August 25, 2020, 10:15:56 AM by rainerle
Quote from: shb256 on July 19, 2020, 11:29:20 AM
Danke, das war es.
Zum Verständnis, warum wird das outbound NAT nicht automatisch gesetzt?
Outbound war auf automatic gesetzt

Der IPsec Konfigurationsteil in der OPNsense ist "legacy" und nicht mehr besonders gut mit dem Rest integriert. Bei OpenVPN wird der dort verwendete Virtual IP pool automatisch in die Outboundregeln mit aufgenommen. Das müsste man für IPsec Mobile Client Virtual IP Pool eben auch mal machen. Allerdings möchte man vielleicht auch Split Tunneling machen - also nur den Traffic über den Tunnel leiten, der da wirklich hin muss und beim Client den Rest einfach direkt ins Internet senden.
August 28, 2020, 10:06:23 AM #10
> Ja ich nehme sonst auch openvpn. Hier geht's mir um die Möglichkeit vor dem Domain Login mit dem Netzwerk bei Bedarf eine Verbindung herzustellen.

@shb256 Darf ich fragen warum das wichtig ist (und du deshalb IPsec nutzen willst)? Die credentials werden doch gepuffert wenn keine Verbindung besteht und wenn danach via OVPN die Verbindung hergestellt wird zum Firmennetz ist das doch kein Problem? Wir arbeiten jetzt seit Monaten im Homeoffice und ich war mit meinem Schlepptop locker seit April nicht mehr in der Nähe eines DCs ;) Bin nur interessiert daran, warum das ein Punkt ist den du brauchst :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions