IPSEC IKE V2 VPN Pro Account nur eine IP Adresse?

[the_Mod]

Hallo an die Gemeinschaft,

ich weis nicht, ob ich ein verständnissproblem habe, eine falsche Einstellung habe oder tatsächlich so ist, wie es ist.

Bei einem VPN-Account (IPSEC IKE V2), der auf zwei Geräten installiert wird, bekommen diese immer die gleiche IP.
Nach meinem Verständniss, sollte jedes Gerät je eine eigene VPN-IP erhalten. Den Accounts wurde keine feste IP-Adresse zugewiesen (zu mindestens nicht bewußt). Also wo ist mein Fehler ?

Vielen Dank für Eure unterstützung

[micneu]

Sorry, aber ganz verstehe ich deine Frage nicht, bitte mehr infos


Gesendet von iPhone mit Tapatalk Pro

[the_Mod]

OK, ich versuche es noch einmal.

Ich habe zwei mobile Geräte mit den gleichen VPN-Account. Bei der VPN-Verbindung bekommen beide die Gleiche VPN-IP adresse.

Nach meinem Verständniss, müßte trotz dem gleichen VPN-Account, jedes Gerät eine eigene Remote IP erhalten. Das tut es aber nicht. Jedes der beiden Geräte erhält die gleiche Remote VPN IP von der Opnsense (z.B. 10.240.200.1/24 aus dem 10.240.200.0/24 Pool)

[vpnuser]

Hallo,
die Grundeinstellung für IPSec verhindert die gleichzeitige Verbindung des selben Accounts. Du kannst dieses Verhalten über die IPsec Config-Datei verändern:
Im Verzeichnis /usr/local/etc/ipsec.opnsense.d eine Datei my.conf mit folgenden Inhalt anlegen

Code Select Expand


config setup
uniqueids = no

Weiter Erläuterungen zu den Einstellungen findest Du hier: https://wiki.strongswan.org/issues/2825

[the_Mod]

@VPNUSER:

Die gleichzeiteig Verbindung von 2 Geräten funktioniert ja (warum auch immer), mit der gleichen VPN-IP. Mein Ziel ist ja Gleicher Account 2 Geräten, zwei unterschiedliche IPs. Allerdings, wenn ich Dich so richtig verstehe, dürfte das so garnicht funktionieren, oder man legt eine my.config an. Dann auch mit 2 unterschiedlichen IPs?

[vpnuser]

Hallo,
ich kenne Deine Konfiguration nicht, deshalb kann ich nicht nachvollziehen, warum gleichzeitig zwei Geräte mit dem selben VPN Account verbunden sein können. Mit der Einstellung in der Config Datei bekommst Du auf jeden Gerät eine eigene IP-Adresse. Bei meiner Konfiguration läuft es jedenfalls so. Somit kannst Du von unterschiedlichen Geräten aus gleichzeitig mit einem VPN Account eine Verbindung aufbauen.

[the_Mod]

@vpnuser
Viele Dank für die Nachricht. Ich habe die Datei so angelegt, wie beschrieben. Leider bekomme ich den VPN Dienst nicht mehr gestartet. Ich habe es mit und ohne Leerzeichen vor unter hinter dem Gleichheitszeichen versucht. Muss noch evtl. noch irgend was an den Dateirechten gemacht werden ?


Gesendet von iPhone mit Tapatalk

[vpnuser]

Hi,
ich habe die Datei mit "root" erstellt. Hier die Zugriffsrechte:

Code Select Expand


-rw-r--r--  1 root  wheel  30 Dec  3  2020 my.conf

Was steht am Anfag der Datei /usr/local/etc/ipsec.conf - dies ist die Orignal-Conf-Datei. Die my.conf ist die Erweiterung und überschreibt / ergänzt Wert aus der ipsec.conf. In meiner steht:

Code Select Expand


config setup
  uniqueids = yes

Allerdings sollte man keine Änderungen in der ipsec.conf vornehmen, da diese durch die OPNSense GUI erstellt / überschrieben wird. Deshalb die Möglichkeit, im Unterverzeichnis ipsec.opnsense.d einen eigene conf-Datei mit dem Suffix ".conf" zu erstellen.
Hast Du evtl. Sonderzeichen (Tab etc.) in Deiner conf stehen. Wie hast Du diese erstellt - mit vi?

[the_Mod]

Also inzwischen startet der VPN-Dienst mit der my.conf. Allerdings gibt es mit "= no" keine Änderung, das Verhalten ist das Gleiche, zwei Geräte eine IP.

In der ipsec.conf steht das gleiche

config setup
  uniqueids = yes

Ich blicke es nicht

[vpnuser]

Hi,
checke zur Sicherheit noch einmal den Inhalt der Datei my.conf - wichtig ist auch die Endigung ".conf". Nur zur Sicherheit: Du hast die Datei my.conf im Verzeichnis /usr/local/etc/ipsec.opnsense.d eingestellt?

Mit dem Kommando

Code Select Expand

ipsec restart
kannst Du den VPN Dienst neu starten. Bei richtiger Konfiguration reicht allerdings auch ein

Code Select Expand

ipsec reload
um die geänderte Konfiguration zu übernehmen.
Zum Testen kannst Du direkt in der ipsec.conf die Änderung

Code Select Expand

uniqueids = no
vornehmen. Hinweis: Die direkte Änderung wird bei der nächsten Änderung über die OPNSense GUI überschrieben. Deshalb musst Du die endgültige Einstellung auf jeden Fall in der my.conf vornehmen.
Noch eine Frage - welche Version von OPNSense setzt Du ein?

[the_Mod]

Ja, die my.conf liegt im richtigen Verzeichniss.

Interessant ist beim ipsec restart folgende Meldung:

ipsec restart
Stopping strongSwan IPsec...
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Starting strongSwan 5.9.2 IPsec [starter]...

Hier nnimmt er als meldung ein anderes Verzeichnis als : "ipsec.opnsense.d"

auch bei der Änderung der ipsec.conf "uniqueids = no" bleibt das ergebniss das gleiche. Wobei ich inzwischen sagen muss, dass die Geräte zwar die gleich IP erhalten, aber ur eins von beiden wirklich kommunizieren kann.

Eingesetzte Version OPNsense 21.7.1-amd64

[vpnuser]

Hallo,
setze mal in de my.conf

Code Select Expand

config setup
  uniqueids = never
und danach ein restart bzw. reload.
strongswan und ipsec gehören zusammen. Ich bin aber hierfür kein Spezialist, sondern nur "Admin", weswegen ich Dir die genauen Zusammenhänge nicht erläutern kann.

[the_Mod]

Yes, das wars. Zwei Geräte, Zwei IP-Adressen.

Vielen Dank

Witzig finde ich nur die Anzeige in der GUI in der Lobby. "Aktiver Tunnel 1" "mobile Benutzer 2"