Site-to-Site VPN (IPSec / IKEv2) zwischen OPNsense (Hetzner) und Sophos (Büro)

csaeum · June 16, 2025, 03:56:22 PM

Hallo zusammen,

ich versuche aktuell eine Site-to-Site VPN-Verbindung per IPSec mit IKEv2 zwischen einer OPNsense-Firewall (bei Hetzner) und einer Sophos-Firewall (bei uns im Büro) herzustellen. Ich arbeite mit der neuesten OPNsense-Version und möchte ausschließlich die neue Oberfläche verwenden – also keine Legacy-Konfiguration, da diese bald entfällt.
Ausgangslage:

Büro:

Zwei Internetanschlüsse (DSL)

Anschluss A

Anschluss B

Internes Netzwerk: 192.168.239.0/24

Sophos-Firewall mit 2 IPSec-Verbindungen (für Redundanz)

Hetzner (VServer):

OPNsense-Firewall mit 2 nachgelagerten Servern:

TA-Proxy

TA-Master

LAN-Netz: 10.0.0.0/32

Geplante Tunnel-Interfaces:

Verbindung   Hetzner IP   Büro IP
PBX Default Tunnel   10.100.1.2/30   10.100.1.1/30
PBX Backup Tunnel   10.100.2.2/30   10.100.2.1/30
Ziel:

Die OPNsense bei Hetzner soll zwei Site-2-Site-Verbindungen zum Büro aufbauen – je eine pro Internetleitung (A und B). Damit soll im Fehlerfall automatisch umgeschaltet werden können.
ASCII-Netzwerkdiagramm:

+--------------------+
| Büro |
+---------+----------+
|
+---------------------+---------------------+
| |
[DSL Leitung A] [DSL Leitung B]
| |
+--------+--------+ +--------+--------+
| Sophos FW | | Sophos FW |
| (Büroseite) | | (Büroseite) |
| 192.168.239.x | | 192.168.239.x |
+--------+--------+ +--------+--------+
| |
| Site-to-Site VPN |
| (IKEv2 / IPSec jeweils 1 Tunnel) |
| |
+--------v--------+ +--------v--------+
| PBX Default | | PBX Backup |
| 10.100.1.1/30 | | 10.100.2.1/30 |
+-----------------+ +-----------------+

<================ Internet (Failover) ================>

+-----------------+ +-----------------+
| PBX Default | | PBX Backup |
| 10.100.1.2/30 | | 10.100.2.2/30 |
| OPNsense | <---- Hetzner VServer ----> OPNsense |
| Firewall | | (gleiche FW) |
+--------+--------+ +--------+--------+
|

Hetzner Internes LAN
+----v----+ +----v----+
| TA Proxy|---------------------------------| TA Master|
+---------+ +----------+
LAN: 10.0.0.0/32 (Hinter OPNsense)

Problemstellung:

Unser Dienstleister ist mit OPNsense (v.a. der neuen GUI) nicht vertraut.
Daher suchen wir jemanden, der uns beim korrekten Aufbau der Tunnel-Konfiguration auf OPNsense-Seite unterstützen kann – speziell:

IPSec mit IKEv2 – modern und GUI-basiert

Zwei Tunnel mit identischer Phase 1, aber unterschiedlichem Gateway

Korrekte Einrichtung der Phase 2 (für z.B. 192.168.239.0/24 <=> 10.0.0.0/32)

Optional: Hinweise zur Failover-Steuerung auf OPNsense-Seite (z. B. Routing-Prio oder Monitoring via Gateway-Group)

Frage:

Wer kann mir helfen, die OPNsense-seitigen Einstellungen korrekt aufzusetzen?
Sobald die Tunnel stehen, bekomme ich gemeinsam mit dem Dienstleister das Routing geregelt.

Vielen Dank vorab für eure Unterstützung! 🙏

JeGr · June 17, 2025, 04:23:10 PM

Quote from: csaeum on June 16, 2025, 03:56:22 PMZwei Tunnel mit identischer Phase 1, aber unterschiedlichem Gateway

Kurze Rückfrage: Was genau ist damit gemeint? Identische P1 aber unterschiedlichem GW? Also selbes Gerät über zwei unterschiedliche IPs?

Wäre es da statt classic P2 VPNs nicht einfacher zwei VTI (routed IPSEC) anzulegen und dann auf der Sense da nen Failover Gateway drüber zu packen? Oder kann das die Sophos nicht?

Ansonsten wir das bei IPsec ohne Hilfsmittel m.E. ziemlich bastelig. Automatisch geht da meine ich wenig - oder was stellt die Sophos da für Werkzeuge zur Verfügung, dass sie automagisch einen IPsec Tunnel auf einen anderen umschaltet? Da stecke ich in der Sophos zu wenig drin.

Cheers
\jens

Site-to-Site VPN (IPSec / IKEv2) zwischen OPNsense (Hetzner) und Sophos (Büro)

csaeum

June 16, 2025, 03:56:22 PM

JeGr

June 17, 2025, 04:23:10 PM #1