Frage zu ipsec

Started by DomiBoy18, July 22, 2019, 08:23:27 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 22, 2019, 08:23:27 PM
Guten Abend zusammen,

ich habe ein kleines Problem mit unserer OpnSense-Firewall beim Thema ipsec.

Wir hatten vor kurzem VOIP Umstellung, wodurch wir jetzt gezwungen waren unser Equipment zu tauschen.
und zwar hing vor der OpnSense ein Router im Bridge-Modus (also nur als Modem) und die Internet Zugangsdaten waren direkt per pppoe in der Firewall eingetragen (mit fester öffentlichter IP-Adresse).
Nun waren wir aber gezwungen, durch die VoiP-Umstellung, eine Fritzbox 7490 aufzustellen, damit unsere ISDN-Telefonanlage (hängt am S0-Bus) weiter funktioniert.
Damit dies funktioniert muss die Fritzbox ja auch die Internet-Zugangsdaten im Bauch haben, damit ich die Rufnummern registrieren kann.

Jetzt zu meinem Anliegen.

Aktuell ist es so, das die Fritzbox z.B. die IP-Adresse 192.168.178.1 hat. Die macht aktuell das Internet + Telefonie. Soweit so gut.
Der WAN Schnittstelle auf der OpenSense habe ich die IP-Adresse 192.168.178.2 gegeben.
Verkablung somit von LAN-Port1 der Fritzbox in den WAN-Port der Firewall.

Im internen Netz trägt die Firewall die IP-Adresse 192.168.2.253 (ist auch der DHCP-Server).
Also auf der LAN-Seite praktisch.

Das klappt auch alles. Ich komm von den Clients sauber ins Internet, bekomme richtige IP-Adressen usw.
In der Fritzbox steht die 192.168.178.2 als Exposed Host gelistet.

Was jedoch jetzt nicht mehr klappt, ist das IPSec zu den Außenstandorten.
Das die öffentliche IP sich geändert hat, ist mir klar, das habe ich in den Firewalls der Außenstandorte bereits berichtigt.
Jedoch baut mit kein einziger ipsec-Tunnel mehr eine Verbindung auf.
Ich vermute mal es liegt daran, dass die Firewalls der Außenstandorte auf die öffentliche IP losgehen und diese auf der örtlichen Firewall nicht finden, da die öffentliche IP ja die Fritzbox hat oder?
Kann ich das irgendwie per Firewall-Regel etc.

Auf der Firewall hier sind kaum Regeln oder Beschränkungen festgelegt.
Nur das notwendige.

Und vor der Umstellung hat auch alles prima geklappt.

Könnt ihr mir helfen?

Falls ihr weitere Daten benötigt, bitte Bescheid geben.

Danke

Gruß Dominik
July 22, 2019, 09:29:12 PM #1
HI,

ganz wichtig in der Fritzbox darf kein VPN aktiviert sein, da der selbst auf Ipsec funktioniert.
Das nächste Problem liegt daran, dass beim Aufbau des Ipsec Tunnel jetzt nicht mehr seine richtig öffentliche IP überträgt. Sondern die er von der Fritzbox bekommt und damit kann der nix anfangen, da die nicht im Internet erreichbar ist.

Bei mir hat bis jetzt immer folgendes funktioniert mit gleicher Konfig wenn die Fritzbox das Internet macht.
Bei Phase 1 -> Meine Kennung Dynamisches DNS mit der Adresse welches Fritzbox erhält. Nehm hier doch den myfritz. Bei Peer Identifizierer -> Peer IP Adresse.
Nun sollten die Clients wieder verbinden.

Gruß Mario
July 22, 2019, 11:05:02 PM #2
Hey,

Hast du die VPN Ports mal gesondert in der FB freigegeben? Das hat mir damals geholfen. Der Exposes Host hat bei mir nicht geklappt.

Liebe Grüße


Gesendet von iPhone mit Tapatalk Pro
July 23, 2019, 12:00:05 PM #3
HI,

exposed geht immer. Wie gesagt kein VPN an der Fritzbox einrichten.
Wenn es immer noch nicht geht, das log mal posten.

Gruß mario
July 23, 2019, 04:25:07 PM #4
Und wenn man von hinter der FB ein IPSEC aufbaut an Port 4500 für NAT-T denken, denn dann wird annähernd immer NAT-T aufgebaut.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 23, 2019, 06:53:29 PM #5
Hi zusammen,

vielen Dank für eure Antworten und Hilfe.

Also auf der Fritzbox ist kein VPN aktiviert.
Die ist wirklich nur als dummer Internet Router konfiguriert (mit Telefonie am S0-Bus).

Den myfritz würde ich ja gar nicht benötigen in der Phase 1 oder, da ich ja eine feste öffentliche IP-Adresse habe?
Da kann ich mir ja den DynDNS sparen?

Ich werd morgen mal versuchen die Ports gesondert freizugeben, nicht das wirklich der Exposed Host nicht klappt.
Habt ihr die Ports zufällig im Kopf?

Log kann ich euch morgen gerne zur Verfügung stellen.

Zwecks NAT-T -> wie ist das gemeint? Eine Regel im NAT festlegen oder wie?

Vielen Dank und einen schönen Abend.

Gruß Dominik
July 23, 2019, 07:34:47 PM #6
Fritzbox WAN IP:4500/UDP --> OPNsense WAN IP:5400/UDP
July 24, 2019, 08:13:16 AM #7
>  NAT-T ...

IPSEC NAT-T ist ein fest spezifizierter Port wie Fabian schon sagt mit udp/4500. Der muss funktionieren und entsprechend gemappt sein wie auch udp/500, sonst wird NAT-T scheitern und nicht aufgebaut werden können. Da die Sense hinter einer anderen Kiste in einem privaten Subnetz steht, wird IPSec sich immer mit NAT-T aushandeln wollen, daher ist auch in Phase 1 der Identifier zu berücksichtigen, dass hier nicht mit "My IP" etc. gearbeitet werden kann, da die IP von der externen abweicht. Man muss es also fix auf einen Wert setzen.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 25, 2019, 08:01:17 AM #8
Hi zusammen,

vielen Dank für eure Hilfe.

Hat geklappt.

Ich habe einfach in Phase 1 den Wert in "Meine IP-Adresse" abgeändert und dort die öffentliche IP-Adresse manuell eingegeben.
Tunnel hat sich danach sofort aufgebaut und läuft.

Vielen Dank und einen schönen Tag.

Gruß Dominik
Print
Go Up Pages1
User actions