International Forums > German - Deutsch
Site-to-Site Problemstellung (ehemals IPsec)
Fremulon:
Hallo zusammen
so langsam verzweifel ich und hoffe, dass ihr mir weiterhelfen könnt. Ich hab folgende Problemstellung:
Ich habe im Office eine OPNsense Firewall mit einem DHCP Range (192.168.40.0/24), einem IPsec Tunnel zu einem Aussenstandort (Zyxel, statische IP und dort DHCP 192.168.10.0/24).
Das ist alles kein Problem, ging auch Problemlos.
Neu kommt nun eine kleine Firewall der Firma Weidmüller dazu, diese soll an einen unbekannten Aussenstandort in den USA und das IP Netz 192.168.254.0/29 am LAN pflegen.
Zudem soll diese Firewall einen IPsec Tunnel zu unserem Office auf machen, so dass wir ein Site-to-Site VPN haben und von 192.168.40.0/24 auf 192.168.254.0/29 zu greiffen können.
Das Szenario hatte ich früher schon am laufen mit einer alten ZyWALL, das ging einwandfrei. Heute wollte ich das ganze nun auf die OPNsense umbauen und scheitere seit 3 Stunden kläglich.
Da ich die IP Adresse der Weidmüller Firewall nicht kenne, trage ich auf der OPNsense Seite einfach 0.0.0.0 ein. Das Problem ist aber, dass die Weidmüller Firewall automatisch mit aggressive mode daherkommt und somit bei der OPNsense mutal PSK ausgehebelt wird... toll. :(
Hab hab dann alles probiert auf mutual RSA zum zubauen und habe danach im Log der OPNsense nur noch folgende Meldung gesehen:
--- Code: ---no IKE config found for … sending NO_PROPOSAL_CHOSEN
--- End code ---
Dabei habe ich für IKE phase 1 aes256 und sha1 als hashing verwendet.
Was überseh ich oder was mache ich falsch?
micneu:
Moin, habe gerade gesehen das diese weidmüller auch OpenVPN kann, warum nimmst du nicht das und ist jemand Vorort der dir die lokale ip usw geben kann?
Kannst du mal Screenshots von beiden Seiten der ipsec Verbindung posten
Wer ist Server und wer Client?
Gesendet von iPhone mit Tapatalk Pro
Fremulon:
--- Quote from: micneu on September 18, 2019, 12:24:43 am ---Moin, habe gerade gesehen das diese weidmüller auch OpenVPN kann, warum nimmst du nicht das und ist jemand Vorort der dir die lokale ip usw geben kann?
--- End quote ---
In der Regel muss man davon ausgehen, dass niemand vor Ort ist, der genug Ahnung hat. d.h. die weimüller werden von mir vorkonfiguriert und dann verschickt. Ich kenn also die LAN IP Informationen - WAN IP ist immer eine unbekannte. Ich hab's mit OpenVPN probiert, aber nicht so hinbekommen, dass nach einem connect auch ein Zugriff auf die Box möglich war....
--- Quote from: micneu on September 18, 2019, 12:24:43 am ---Kannst du mal Screenshots von beiden Seiten der ipsec Verbindung posten
Wer ist Server und wer Client?
--- End quote ---
Server die OPNsense hier, Client immer die Weidmüller (wird mehrere geben).
Habs aber gerade geschafft. Ich hatte bis vorhin immer mehrere Ciphers und Hashes zur Auswahl bei der Weidmüller. Habe dies nun alles immer auf genau einen reduziert und siehe da, der IPsec Tunnel kommt zum stehen, so wie er sollte.
Muss bei Gelegenheit mal probieren zu Reproduzieren, aber für den Moment ist der Auftraggeber zufrieden. :)
Gruss und Danke dennoch
micneu:
dann nicht im ersten post den betreff als [gelöst] zu markieren.
Fremulon:
Ich komm dem ganzen näher.
--- Code: ---no matching CHILD_SA config found for 192.168.254.8/29 === 192.168.40.0/24
--- End code ---
D.h. meine Phase 2 hat noch einen Fehler, richtig?
Vielleicht mal grundsätzlich eine Frage: wie muss ich vorgehen, wenn ich mehrere unbekannte Clients habe, die auf die OPNsense via IPsec zugreifen wollen? Kann ich mehrere Phase 1 machen mit 0.0.0.0 als Remote Adresse? Oder muss ich auf eine Art Mobile Client Konfiguration zurück greifen?
Navigation
[0] Message Index
[#] Next page
Go to full version