OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • IPSec Firewallfrage
« previous next »
  • Print
Pages: [1]

Author Topic: IPSec Firewallfrage  (Read 1920 times)

theq86

  • Sr. Member
  • ****
  • Posts: 266
  • Karma: 37
    • View Profile
IPSec Firewallfrage
« on: July 12, 2019, 11:54:00 pm »
Ich habe 2 Sensen. Beide gegenseitig mit IPSec eingerichtet. Ist es normal, dass die Connection klappt, obwohl auf keiner Sense an den WANs (wo die äußeren Verbindungen aufgebaut werden) Regeln für ESP, ISAKMP und NAT-T existieren?
« Last Edit: July 16, 2019, 01:52:42 pm by theq86 »
Logged

micneu

  • Hero Member
  • *****
  • Posts: 1691
  • Karma: 55
    • View Profile
Re: IPSec Site2Site opnsense <-> opnsense Firewallfrage
« Reply #1 on: July 13, 2019, 08:11:35 am »
Wie sind die den angebunden, vdsl?
Oder ist das ein test Netz?
Bitte mehr Informationen wie dieweil die Netze aufgebaut sind, gerne mit einem Bild


Gesendet von iPhone mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 22.05  |
Hardware: Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

theq86

  • Sr. Member
  • ****
  • Posts: 266
  • Karma: 37
    • View Profile
Re: IPSec Site2Site opnsense <-> opnsense Firewallfrage
« Reply #2 on: July 13, 2019, 09:58:55 am »
Die Sense A ist ein vServer mit statischer IP, Sense B geht über VDSL mit dynamischer IP ins Netz.

In A ist bei IPSec die Remote Adresse mit der dyndns Adresse von B konfiguriert, sowie der Haken bei dynamic gateway gesetzt.

Beide Sensen machen IPsec über ihre WAN Interfaces. Was mich jetzt stört oder zumindest wundert ist, dass die IPSec Verbindung und die Tunnel funktionieren, obwohl in der Firewall weder bei A, noch bei B die nötigen Allow-Regeln gesetzt wurden für ESP, ISAKMP (UDP/500) und NAT-T (UDP/4500)

Es ist so, als würde der Fakt, dass ein IPSec eingerichtet ist automatisch Firewallregeln erstellen, die die Verbindung zulassen.
Logged

theq86

  • Sr. Member
  • ****
  • Posts: 266
  • Karma: 37
    • View Profile
Re: IPSec Site2Site opnsense <-> opnsense Firewallfrage
« Reply #3 on: July 15, 2019, 12:54:23 pm »
Sorry, ich will da noch mal nachhaken, weil mir das keine Ruhe lässt.
Werden tatsächlich automatische Firewallregeln für IPSec angelegt, wenn es aktiviert ist? Denn ansonsten läuft gewaltig was schief bei mir.
Logged

JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 1825
  • Karma: 208
  • old man standing
    • View Profile
Re: IPSec Site2Site opnsense <-> opnsense Firewallfrage
« Reply #4 on: July 16, 2019, 01:01:48 pm »
Laut Doku muss man die selbst vornehmen, bei pfSense wird es automatisch gemacht, daher bin ich mir unschlüssig was der aktuelle Stand bei 19.1/19.7 ist.
Logged
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

theq86

  • Sr. Member
  • ****
  • Posts: 266
  • Karma: 37
    • View Profile
Re: IPSec Site2Site opnsense <-> opnsense Firewallfrage
« Reply #5 on: July 16, 2019, 01:52:20 pm »
Wie ich gerade erfuhr werden automatische Firewallregeln gesetzt. Es gibt auch eine Option dies zu deaktivieren. Standardmäßig scheint die Option allerdings aktiv zu sein. Ab 19.7 werden diese automatisch angelegten Regeln im Bereich Firewall auch sichtbar sein. Die Dokumentation sollte dann einfach mal aktualisiert werden. Das werd ich nach dem Release einfach mit nem PR gegen die Doku anstoßen.

https://github.com/opnsense/core/issues/3572
Logged

  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • IPSec Firewallfrage
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2023 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2