Site-to-Site Problemstellung (ehemals IPsec)

[Fremulon]

Hallo zusammen

so langsam verzweifel ich und hoffe, dass ihr mir weiterhelfen könnt. Ich hab folgende Problemstellung:

Ich habe im Office eine OPNsense Firewall mit einem DHCP Range (192.168.40.0/24), einem IPsec Tunnel zu einem Aussenstandort (Zyxel, statische IP und dort DHCP 192.168.10.0/24).
Das ist alles kein Problem, ging auch Problemlos.

Neu kommt nun eine kleine Firewall der Firma Weidmüller dazu, diese soll an einen unbekannten Aussenstandort in den USA und das IP Netz 192.168.254.0/29 am LAN pflegen.
Zudem soll diese Firewall einen IPsec Tunnel zu unserem Office auf machen, so dass wir ein Site-to-Site VPN haben und von 192.168.40.0/24 auf 192.168.254.0/29 zu greiffen können.

Das Szenario hatte ich früher schon am laufen mit einer alten ZyWALL, das ging einwandfrei. Heute wollte ich das ganze nun auf die OPNsense umbauen und scheitere seit 3 Stunden kläglich.

Da ich die IP Adresse der Weidmüller Firewall nicht kenne, trage ich auf der OPNsense Seite einfach 0.0.0.0 ein. Das Problem ist aber, dass die Weidmüller Firewall automatisch mit aggressive mode daherkommt und somit bei der OPNsense mutal PSK ausgehebelt wird... toll.

Hab hab dann alles probiert auf mutual RSA zum zubauen und habe danach im Log der OPNsense nur noch folgende Meldung gesehen:

Code: [Select]

no IKE config found for … sending NO_PROPOSAL_CHOSEN
Dabei habe ich für IKE phase 1 aes256 und sha1 als hashing verwendet.

Was überseh ich oder was mache ich falsch?

[micneu]

Moin, habe gerade gesehen das diese weidmüller auch OpenVPN kann, warum nimmst du nicht das und ist jemand Vorort der dir die lokale ip usw geben kann?
Kannst du mal Screenshots von beiden Seiten der ipsec Verbindung posten
Wer ist Server und wer Client?
Gesendet von iPhone mit Tapatalk Pro

[Fremulon]

Moin, habe gerade gesehen das diese weidmüller auch OpenVPN kann, warum nimmst du nicht das und ist jemand Vorort der dir die lokale ip usw geben kann?

In der Regel muss man davon ausgehen, dass niemand vor Ort ist, der genug Ahnung hat. d.h. die weimüller werden von mir vorkonfiguriert und dann verschickt. Ich kenn also die LAN IP Informationen - WAN IP ist immer eine unbekannte. Ich hab's mit OpenVPN probiert, aber nicht so hinbekommen, dass nach einem connect auch ein Zugriff auf die Box möglich war....

Kannst du mal Screenshots von beiden Seiten der ipsec Verbindung posten
Wer ist Server und wer Client?

Server die OPNsense hier, Client immer die Weidmüller (wird mehrere geben).

Habs aber gerade geschafft. Ich hatte bis vorhin immer mehrere Ciphers und Hashes zur Auswahl bei der Weidmüller. Habe dies nun alles immer auf genau einen reduziert und siehe da, der IPsec Tunnel kommt zum stehen, so wie er sollte.

Muss bei Gelegenheit mal probieren zu Reproduzieren, aber für den Moment ist der Auftraggeber zufrieden. 

Gruss und Danke dennoch

[micneu]

dann nicht im ersten post den betreff  als [gelöst] zu markieren.

[Fremulon]

Ich komm dem ganzen näher.

Code: [Select]

no matching CHILD_SA config found for 192.168.254.8/29 === 192.168.40.0/24
D.h. meine Phase 2 hat noch einen Fehler, richtig?

Vielleicht mal grundsätzlich eine Frage: wie muss ich vorgehen, wenn ich mehrere unbekannte Clients habe, die auf die OPNsense via IPsec zugreifen wollen? Kann ich mehrere Phase 1 machen mit 0.0.0.0 als Remote Adresse? Oder muss ich auf eine Art Mobile Client Konfiguration zurück greifen?

[JeGr]

> D.h. meine Phase 2 hat noch einen Fehler, richtig?

Korrekt. Er sagt dir damit, dass er keine passende Konfiguration gefunden hat, die die .254.8/29 mit .40.0/24 verbindet. Also ggf. auf der einen Seite mit /29 und auf der anderen mit /28 oder /24 versehentlich eingerichtet. Dann passt die Phase 2 nicht (Child_SA) und die P2 kommt nicht hoch.

>  wie muss ich vorgehen, wenn ich mehrere unbekannte Clients habe, die auf die OPNsense via IPsec zugreifen wollen? Kann ich mehrere Phase 1 machen mit 0.0.0.0 als Remote Adresse? Oder muss ich auf eine Art Mobile Client Konfiguration zurück greifen?

Andere Frage: Warum das denn? Ein Tunnel wird ja nicht zwischen "Unbekannten" aufgebaut?

[Fremulon]

Korrekt. Er sagt dir damit, dass er keine passende Konfiguration gefunden hat, die die .254.8/29 mit .40.0/24 verbindet. Also ggf. auf der einen Seite mit /29 und auf der anderen mit /28 oder /24 versehentlich eingerichtet. Dann passt die Phase 2 nicht (Child_SA) und die P2 kommt nicht hoch.

Ok alles klar, immerhin da hab ich den Durchblick. :-)

Andere Frage: Warum das denn? Ein Tunnel wird ja nicht zwischen "Unbekannten" aufgebaut?

Nun vielleicht ist es auch eine Fehlüberlegung, aber ich hab die "Idee" von meinem Kollegen übernommen. Ich versuche hier Industrie Firewalls von Weidmüller aufzusetzen, damit wir von unserem Büro Netz auf die LAN Netze dieser Firewalls kommen.

Die Geräte haben nur 8er Netze konfiguriert, da diese später in Anlagen verbaut werden welche (theoretisch) und um den Globus verteilt sind. Aktuell werden zwei nach USA und eine nach Singapur geschickt. Das ganze machen wir im Auftrag eines anderen Kunden, somit habe ich null informationen über deren Netzwerk dort geschweige denn über deren WAN IP... deshalb versuche ich IPsec Tunnel nach "Unbekannt" aufzubauen, aber das ist ja eigentlich völliger Schwachsinn.

Aktuell stehe ich vor dem Problem, dass ich unbekannte Clients habe, mit welchen ich einen Site-to-Site Tunnel aufbauen möchte, damit wir vom Büro auf die verschiedenen 8er Netze zugreifen können. Vermutlich ist ein IPsec Tunnel der falsche Ansatz. Theoretisch geht es auch mit OpenVPN, aber da bekomme ich das Routing zwischen Tunnelnetz und LAN Netz an der industrie Firewall (noch) nicht hin.

[JeGr]

> Die Geräte haben nur 8er Netze konfiguriert

/8 oder /29 gemeint?

> deshalb versuche ich IPsec Tunnel nach "Unbekannt" aufzubauen, aber das ist ja eigentlich völliger Schwachsinn.

Exakt. Vor allem weil du selbst schreibst:

>> somit habe ich null informationen über deren Netzwerk dort geschweige denn über deren WAN IP

Damit hast du zusätzlich nämlich nochmal ein ziemliches Problem: Du weißt nicht ob du NAT vor der Nase hast oder nicht. Oder wie deine Weidmüller Kisten eingebunden werden in ein vorhandenes Netz oder nicht. Ob da noch eine Firewall vornedransteht oder nicht. Das ist ... eher suboptimal für IPSEC.

> Theoretisch geht es auch mit OpenVPN, aber da bekomme ich das Routing zwischen Tunnelnetz und LAN Netz an der industrie Firewall (noch) nicht hin.

Von dem was ich lese, wäre dein best-match tatsächlich das lieber mit OpenVPN zu machen, was gerade dafür super ist. Client (die Remote Seiten) bauen die Verbindung auf und müssen nur irgendwie Internet hinbekommen. Dann klappt es auch.

Du sagst aber was von "Industrie Firewalls"... Was ist denn so "Industrie" an den Weidmüller Kisten, dass die dafür so superduper sind und was spricht dagegen da statt dessen einfach embedded industrial Boxen XY mit vorinstallierter Sense zu nehmen?

[JeGr]

Du sagst aber was von "Industrie Firewalls"... Was ist denn so "Industrie" an den Weidmüller Kisten, dass die dafür so superduper sind und was spricht dagegen da statt dessen einfach embedded industrial Boxen XY mit vorinstallierter Sense zu nehmen?

OK ich hab mir die mal gerade angesehen. Bis auf das Gehäuse (kein Problem) und 2 Sachen die mir beim Drüberfliegen ins Auge gesprungen sind (24V Ausgangssignal bei VPN Verbindung, Totmannschalter für WAN etc.) ist das meiste 08/15 Firewall Funktionalität mit viel Industrie 4.0 und "CYBER" Bullshit Bingo. Wie üblich eben

Aber ich mutmaße mal, dass man sich die Geräte nicht aussuchen kann, sondern wohl oder übel nutzen muss? Dann wäre eben gut zu sehen/wissen, wie deren OVPN Interface aussieht damit man weiß, wie die mitspielen.

[Fremulon]

Ok du hast ja bereits das meiste über den Stahlblock herausgefunden. Das Ding ist nicht auf meinem Mist gewachsen, auch die mehr schlecht als recht überlegte Aktion dem Kunden solche eine Lösung anbieten zu können, um immer auf die Steuerung zugreifen zu können.... naja anyway, soll mich nicht stören, immerhin hab ich eine Sense nun bei mir. Vorher war's eine Zyxel.... 

Mit 8er Netz mein ich /29 

Die Konfiguration ist eher unspektakulär bei den Weidmüllern, siehe Anhang. Ein paar Infos aus dem Handbuch.

The OpenVPN menu allows to create and establish virtual private network connections based on the Open-VPN implementation. The Router can be configured both as OpenVPN client and OpenVPN server either based on Layer 2 (Bridging) or on Layer 3 (Routing). A maximum of 10 OpenVPN connections (either as client or as server) can be configured and started at the same time. Each VPN connection can be configured individually at Tab’s VPN1...VPN10.

Dann eine Aussage zum tun/tap device - da kenn ich mich nicht in der Tiefe aus.

L3 interfaces can either be run as TUN or TAP devices. The letter is de- fault on the device type. TUN connections will always use the OpenVPN topology subnet. If subnets behind clients shall be reachable in TUN mode, there are route entries required in the OpenVPN server configura- tion. These entries will be available only if the routes to the subnets are configured in the client configuration table on the server.

Ansonsten ist der Rest selbsterklärend denk ich - ich hab's aktuell klassisch mit zwei Zertifikaten am laufen und kann, wie erwähnt, auf die Weidmüller verbinden via Tunnelnetzwerk IP. Von der Weidmüller kann ich das remote Netzwerk pingen, von der Sense aber nicht.

[JeGr]

OK kannst du ggf. zeigen, was du auf dem Weidmüller Ding in dem VPN Tab konfiguriert hast? Bekommst du von der Mistbiene ne Routingtabelle ausgelesen irgendwo?

Hast du das Ding auf der Sense als Dial-In VPN angelegt oder als Site2Site? Hast du überhaupt eine Einstellung auf Weidmüller Seite dass du nen Tunnel statt nen Dial-In machen kannst?

[Fremulon]

Im Bild siehst du was ich aktuell drin hab - damit steht der Tunnel und von der Sense her kann ich die Tunnel IP des Weidmüllers pingen aber nicht mehr.

Ich kann nur Client oder Server auswählen, langsam vermut' ich, dass sch**ss Teil macht bei Client einen gewöhnlichen Dialup und daher erreiche ich nix. Hier noch die Routingtabelle des Weidmüllers.

Code: [Select]

default via 10.26.9.1 dev WAN
192.168.40.0/24 via 10.10.55.1 dev L3-VPN1
10.26.9.0/24 dev WAN proto kernel scope link src 10.26.9.170
10.10.55.0/24 dev L3-VPN1 proto kernel scope link src 10.10.55.2
192.168.254.8/29 dev LAN proto kernel scope link src 192.168.254.9
seitens Sense hab ich folgende entsprechende Routen gefunden

Code: [Select]

ipv4 10.10.55.0/24 10.10.55.2 UGS 3 1500 ovpns1
ipv4 10.10.55.1 link#8 UHS 2 16384 lo0
ipv4 10.10.55.2 link#8 UH 2 1500 ovpns1
ipv4 192.168.254.8/29 10.10.55.2 UGS 2 1500 ovpns1
Also das wär ja schonmal korrekt... dass das Netz 192.168.254.8/29 auf das oVPN Interface geroutet wird! d.h. wenn ich aber keinen Ping absetzen kann, scheint noch was am Packetfilter zu klemmen.... seh ich das richtig?

[Fremulon]

Gerade habe ich noch heraus gefunden, dass Weidmüller unter u-Link eine eigene Art VPN anbietet. Basierend auf OpenVPN kann man damit über ein Webinterface bei Ihnen plus einem "VPN Client" auf dem eigenen PC eine Verbindung zwischen Weidmüller Gerät und dem eigenen PC aufbauen.... GENAU so wie ich es mit der OPNsense machen möchte.

Würde mich also nicht wirklich wundern, wenn der OpenVPN Client nur als Dial-In tauglich ist - denn sonst würde man ja sein tolles "eigenes" Produkt nicht kaufen. 

[JeGr]

> Würde mich also nicht wirklich wundern, wenn der OpenVPN Client nur als Dial-In tauglich ist - denn sonst würde man ja sein tolles "eigenes" Produkt nicht kaufen. 

Ja ziemlich viel Bullshit Bingo was ich da gelesen habe. Kochen aber auch nur mit Wasser, aber jeder braucht wohl heute seine "Cloud"...

BTW dir ist klar, dass BF-CBC so ziemlich das Letzte an Crypto ist? Da kannst du theoretisch auch VPN gleich sein lassen

Was gibts denn außer "Client Mode" noch?
Ansonsten was steht im Certificate des Client für nen CN drin? Damit könnte man auch ein CSO definieren auf der pfSense und dort dann das Remote Netz eintragen, welches auf der Weidmüller Client Seite aufliegt. Auch wenn die Route in der Sense da ist, ist das ggf. trotzdem notwendig, weil bei der Einwahl via Zertifikat kein eigenes Interface pro Tunnel sondern ein geteiltes vorliegt. Der Traffic muss dann auch den richtigen Weg finden.

Zudem: Gibts einen Filter auf der Weidmüller Seite? Die Sense blockt alles was "REINkommt", ergo sollte sie bei deiner Seite nichts blocken (wenn du vom LAN aus pingst und da alles offen hast als destination), aber der Weidmüller blockt vielleicht eingehend auf dem VPN Interface und braucht erst Regeln?

[Fremulon]

So nach einer Woche bissel Ruhe in meinen Ferien, habe ich beschlossen, diesen VPN Versuch mit den Weidmüllern zu lassen und auf deren eigene VPN Lösung zu setzen. Normale OpenVPN und IPsec VPNs bastel ich in 30-60 Minuten ohne weitere Probleme.

Wie schon besprochen und festgestellt, wenn die Gegenseite unbekannt ist, ist IPsec keine Lösung und da die Geräte keinen OpenVPN Site-to-Site können, ohne riesen Gebastel.

Btw. ja mir ist klar, dass BF-CBC völliger Stuss ist - da mir am Ende diese Einstellungen für den Moment egal waren, waren die auch im Screenshot zu erkennen. 

Danke trotzdem für die Mithilfe.