[Gelöst] OPNsense nur als VPN Server verwenden in bestehendem Netz hinter Router

[WallE]

Hallo,

ich habe versucht etwas zu finden, jedoch irgendwie gescheitert.

Wir haben ein bestehendes Netz welches nicht abgeändert werden kann.
Es ist ein Lancom 1800EF als Router/GW (IP 172.16.0.254)
Zusätzlich ein virtueller Lancom vRouter der nur die VPN Verbindungen macht (IPsec IKEv1 und IKEv2) (IP 172.16.0.252)

Im Lancom 1800EF ist ein Routing eingerichtet für die IP Adressen der VPN Verbindungen welche dann an den vRouter geleitet werden (alle aus dem Bereich 192.168.xxx.xxx)

Der vRouter hat nur eine Schnittstelle. Der Lancom1800EF 2 (intern und Provider Modem)

Nun möchte ich den vRouter gegen OPNsense austauschen. Jedoch schaffe ich es nicht das eine VPN Verbindung hergestellt wird weil irgend etwas sich beim Routing verschluckt.

Es erfolgt ein Routing von der IP 192.168.22.254 (Beispiel) von dem Lancom 1800EF (172.16.0.254) zum vRouter (172.16.0.252), dieser baut die VPN Verbindung auf und es funktioniert.
Bei Verwendung der OPNsense erfolgt ein Routing von dem Lancom 1800EF zur OPNsense, dann zum Lancom1800EF und das spiel geht von vorne los.

Irgendwie habe ich da einen Denkfehler oder sitzte auf der Leitung oder übersehe eine Einstellung in der OPNsense.

Benötigt die OPNsense unbedingt 2 Netzwerkschnittstellen oder reicht eine auch aus.
Die IPsec Verbindungen sind eingerichtet mit den richtigen Daten.
Was muss bezüglich Firewall (kann die auch deaktiviert werden?) oder Routing/NAT/whatever noch in der OPNsense eingerichtet werden.

[Patrick M. Hausen]

Eine Netzwerk-Schnittstelle reicht vollkommen aus. Ich habe in unserem Frankfurter Büro eine OPNsense mit nur LAN, die genau das tut - VPN-Gateway hinter einer Fritzbox von Vodafone.

[WallE]

Vielen Dank. Denke auch das es gehen muss. Der Lancom vRouter macht es ja auch...

Ich habe die Vermutung das ich in der OPNsense irgendwas vergessen habe was das Routing betrifft.
Derzeit ist ein Ping-Pong beim Routen.
Gibt es irgendwo ein Tutorial oder welche Konfigurationsschritte sind vorzunehmen?
Mit der OPNsense habe ich leider noch nicht wirklich erfahrung.

[Patrick M. Hausen]

Mach doch bitte mal ein Diagramm, das macht es für potentielle Helfer einfacher, deine Topologie nachzuvollziehen.

[WallE]

Hier ein Diagram wie das Netzwerk aufgebaut ist:

[Patrick M. Hausen]

Wenn alle Routen stimmen und die OPNsense den vRouter 1:1 mit identischen Adressen ersetzt, dann gibt es nur einen Grund, weshalb sie die Pakete zurück zum Default-Gateway schickt statt durch den VPN-Tunnel: der VPN-Tunnel ist nicht aktiv.

Ich würde als erstes mal im IPsec Logfile gucken ...

[trixter]

Wie sieht denn das Routing auf der Sense aus?
Evtl wird der Rück-Traffic nicht richtig in den Tunnel geschickt?

[WallE]

Ich habe es nun gelöst bekommen, war eigentlich einfach....

Anstelle die Verbindung über den Menüpunkt "Connections" zu erstellen habe ich nun es über den Legacy Menüpunkt gemacht. Funktioniert nun damit. Ich hatte bereits mehrmals alles neu installiert (OPNsense) und zig-Mal umkonfiguriert und überprüft gehabt.

Anscheinend gibt es da Unterschieden. So sehr kenne ich mich nicht mit OPNsense und den Derivaten aus.

Trotzdem vielen Dank für die Unterstützung.

[Patrick M. Hausen]

Sichere dir die /usr/local/etc/swanctl/swanctl.conf, die nun funktioniert, und dann taste dich mit "Connections" and eine äquivalente heran, wenn du mal Zeit hast.