IPsec VPN - EAP-MSCHAPV2 fehlt

Started by patrick_10010, November 30, 2020, 11:51:08 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 30, 2020, 11:51:08 AM
Hallo Zusammen,

aktuell setzen wir eine OPNSENSE v20.1.9_1 ein.

Wir haben 2 WAN Ports.

Aktuell laufen über einen WAN Port IPsec VPN Verbindungen.
Damit man auf den Windows 10 PCs keine Software installieren muss, habe ich dazu einen Phase 1 mit EAP-MSCHAPV2 eingerichtet.

Meine Idee war jetzt für den 2. WAN Port im Endeffekt das gleiche zu machen, also eine separate Phase 1 und 2, die dann eben auf den 2. WAN Port reagieren.

Das Problem ist, das wenn ich eine zusätzliche Phase 1 anlegen will, habe ich im Dropdown bei der Authentifizierungsmethode nur noch "Mutual RSA, Mutual Public Key und Mutual PSK".

Das EAP-MSCHAPV2 fehlt und auch das Formular sieht ein bisschen anders aus.

Wenn ich aber den bestehenden Phase 1 Eintrag bearbeite, dann habe ich 11 verschiedene Authentifizierungsmethoden im Dropdown unter anderem eben auch das EAP-MSCHAPV2.

Ist das ein Bug in der WebGUI ?
Kann man nur einen Phase 1 mit EAP-MSCHAPV2 einrichten?





Vielen Dank für eure Zeit
Patrick
November 30, 2020, 03:34:38 PM #1
Kein Bug, man kann in OPNsense nur EINE Konfiguration für Mobile VPN User betreiben.
Du müsstests also eine Konfig machen und auf Interface dann ANY damit es auf beiden lauscht
November 30, 2020, 04:14:32 PM #2
Ahh danke, sowas hatte ich schon vermutet :)

An sich wäre das natürlich noch optimaler, mit einer Konfiguration einfach beide Leitungen abzudecken.
Mein Problem ist, wenn ich auf beiden WAN Ports lausche, das im Zertifikat die DNS Adresse der 1.Leitung drinsteht.
Wenn ich aber über die andere Leitung rein will, hab ich von außen ja nicht die gleiche DNS Adresse.

Gibt es da irgend ein Beispiel, bzw was müsste ich ändern, damit ich über beide Leitungen draufkomm?
Schnittstelle auf "Jedes" stellen klappt schonmal.

Würde es reichen, wenn ich statt "Bedeutender Name" eine andere Kennung verwende ?

(Ich möchte da jetzt ungerne dran rumspielen und die Home Office Leute alle rauswerfen ;))
November 30, 2020, 05:05:22 PM #3
Pack entsprechend SANs (subject alternate names) in Dein Zertifikat. Wenn Du die OPNsense integrierte CA benutzt, kannst Du unten auf "+" oder "Add" klicken und mehrere DNS-Namen hinzufügen. Hab's grad nicht im Kopf, wie der Button beschriftet ist, aber er ist ganz sicher da.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 01, 2020, 09:57:42 AM #4
Wieder was gelernt.  :)
Gut zu wissen, das man Zertifikaten mehr als einen DNS Namen geben kann.

Dann kann der Thread geschlossen werden. Fragen beantwortet und ich schaue mir das kommendes Wochenende mal genauer an.

Danke für eure Antworten!
Print
Go Up Pages1
User actions