IPsec mit Multiwan

[flycondor]

Hallo Zusammen,

wir haben Opnsense in der Version 18.7.1 mit Multiwan (Loadbalancer) laufen.
Die beiden WAN-Anschlüsse befinden sich in eine Gatewaygruppe. Diese Gatewaygruppe wurde als Schnittstelle für den IPsec-Tunnel für mobile Clients ausgewählt.
Firewallregeln sind alle eingerichtet. Die Einwahl über den WAN2-Anschluss funktionieren einwandfrei. Stelle ich im Client die Zieladresse auf den WAN1 um, bekommen wir immer die Meldung:

Code: [Select]

no IKE config found for xxx.xxx.xxx.xxx...yyy.yyy.yyy.yyy, sending NO_PROPOSAL_CHOSEN
Irgendeiner eine Idee woran es liegen kann?

[jinn]

Würde mich hier gerne mit einklinken, da ich den gleichen Fehler erhalte.

86.167.153.108 ist unsere externe IP
86.167.153.109 ist als VirtualIP eingetragen und ist auch von extern erreichbar (zumindest werden Logs angezeigt)

86.167.153.109 soll für das VPN (IPSEC mobile clients) genutzt werden

Ich habe die IPSEC Roadwarrior Anleitung genutzt mit folgenden Ändernungen:
Phase 1
Key Exchange version: v2 (der VPN soll auch für Windows Clients erreichbar sein)
My identifier: IP address 86.167.153.109
Unter Advanced ist alles auf disable

Phase 2
Type: LAN subnet
Protocol: ESP
Encryption: AES 256bits
Hast: sha256; sha384; sha512
PFS key group: off
Lifetime: 3600sec

Bei der Verbindung über zwei iPhones (iOS 11 und 12 beta 8 ) erhalte ich den gleichen Fehler wie oben angegeben

[mimugmail]

MultiWAN mit Gatewaygroups betrifft nur Traffic der durch die Firewall durch geht.
Traffic der auf der Firewall terminiert (wie IPSec) kann damit nicht umgehen.

Was du brauchst ist Defaultgateway switching und dann müsstest du auf Interface Any hören und dann mit Identifier arbeiten.

@jinn: no proposal choosen kommt wenn etwas an der Parametern auf beiden Seiten nicht passt. Das hat mit dem Topic nichts zu tun würde ich behaupten.