IPsec Road-Warroior

Started by Stephan84, March 24, 2020, 08:51:01 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 24, 2020, 08:51:01 AM
Guten Morgen,

ich bräuchte mal wieder Eure Hilfe, wie schon all zu oft in den Letzen Tagen!
Ich würde gerne mal OpenVPN und IPsec in der OpnSense  gegenüberstellen. Jetzt habe ich versucht mir der Dokumentation

https://wiki.opnsense.org/manual/how-tos/ipsec-road.html

Die zu tun, bekomme aber immer Fehlermeldungen. Habe auch festgestellt, dass die Doku nicht aktuell ist.
Hat jemand eine Doku die ich verwenden kann?

Viele Grüße
Stephan
March 24, 2020, 09:04:27 AM #1 Last Edit: March 24, 2020, 09:15:34 AM by banym
Hallo Stephan,

was genau passt denn nicht oder was möchstest du wissen?

Meine Meinung:

- OpenVPN eignet sich für Roadwarrior besser weil:

  • Freie Clients für alle Plattformen verfügbar sind
  • Sicherheit in Sachen Verschlüsselung frei konfigurierbar ist. (Wenn du IPsec ohne Client machst musst du dich an die Vorgaben von Microsoft bzw. Apple richten was die integrierten IPsec Clients können.
  • Gute Performance und flexibel mit TUN/TAP

Ich verwende IPsec hauptsächlich zur Standortvernetzung weil es alle anderen Produkte unterstützen, also für Site-to-Site Tunnel. Für Roadwarrior verwende ich es nur wenn nur die integrierte OS Funktionalität verwendet werden darf oder die Leute sich an der Windows-Domain anmelden sollen. (Das geht allerdings mittlerweile mit dem Service von OpenVPN auch)
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
March 24, 2020, 12:34:49 PM #2
Hallo,

was nicht passt, kann vielfältig sein da die Doku ja etwas veraltet ist! Es wäre toll, wenn mir jemand sein Setup schicken könnte für IPsec RoadWarrior und ich es einfach zum Testen übernehmen kann. Als Client nutze ich NCP.

Ich denke, das wäre die einfachte Version.

Viele Grüße
Stephan
March 25, 2020, 04:01:55 PM #3
So,

habe jetzt mal meine Konfig kopiert und hoffe es kann mit jemand sagen wo mein Fehler ist! Finde den einfach nicht!!

Hir meine zwei Phasen im Überblick:





Hier die Mobile_Client Einstellungen:




Hier die Phase 1:






Hier die Phase 2:




Hier die Benutzereinstellungen, wobei ich mir mit den Privilegs nicht sicher bin!?:




Als Client benutze ich NCP:








Als Fehlermeldung im Log des NCP kommt immer:

25.03.2020 15:42:11 - System: DNSHandling=0
25.03.2020 15:42:11 - IPSec: Start building connection
25.03.2020 15:42:11 - IpsDial: connection time interface choice,LocIpa=172.17.0.250,AdapterIndex=203
25.03.2020 15:42:11 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=172.17.0.250 : test
25.03.2020 15:42:11 - Ike: ConRef=7, XMIT_MSG1_AGGRESSIVE, name=test, vpngw=172.17.0.250:500
25.03.2020 15:42:11 - ike_phase1:send_id:ID_IPV4_ADDR:pid=0,port=0,172.17.0.250
25.03.2020 15:42:11 - Ike: ConRef=7, Send NAT-D vendor ID,remprt=500
25.03.2020 15:42:14 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:14 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:18 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:18 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:22 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:22 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:26 - INFO - MONITOR: Disconnected
25.03.2020 15:42:26 - INFO - MONITOR: Media=LAN, Tx=0 Byte, Rx=0 Byte
25.03.2020 15:42:26 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - test.
25.03.2020 15:42:26 - Ike: phase1:name(test) - ERROR - retry timeout - max retries
25.03.2020 15:42:26 - IPSec: Disconnected from test on channel 1.


Ich weiß einfach nicht weiter....

Viele Grüße
Stephan
March 25, 2020, 09:17:02 PM #4
Hallo,

poste bitte mal die WAN Regeln und die Interface Konfiguration noch.

Die gewählte Verschlüsselung und Agressive-Mode würde ich auf jedenfall höher wählen. PFS ist meiner Meinung nach heutzutage Pflicht.

Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
March 25, 2020, 10:32:58 PM #5
Hallo,

hier die benötigten Informationen:










Wobei den GW 172.17.0.254 gibt es in meiner Testumgebung nicht!! Sollte aber ja kein Problem sein.

Viele Grüße
Stephan
March 26, 2020, 02:03:01 PM #6
Sorry wenn ich da reingrätsche aber genau wenn ich SO eine Konfiguration sehe ist das der Grund warum wir allen Kunden zu OpenVPN raten. Das ist gruselig!

Völlig veraltete Cipher und Hashfunktionen, Modi die seit Jahren nicht mehr empfohlen werden (IKE1 aggressive) etc etc.
Kommt mir vor wie die immer sinnlosere Diskussion vor der Abschaltung von PPTP. Schon lange kein "P" im VPN mehr "aber es wird doch überall unterstützt"...

Da ist der einmalige Aufwand, ein bisschen OVPN Clients für alle auszurollen mit einer stabilen Konfiguration zwar höher, dafür Langzeit-Wirkung wesentlich größer. Und mit Redundanz, Failover und Co. flexibler als das starre IPsec Gefriemel ;)

Grüße
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
March 26, 2020, 03:10:24 PM #7
HI JeGr,

das erschrickt mich jetzt ein bissl! Ist nach der Doku von Opnsesne:

https://wiki.opnsense.org/manual/how-tos/ipsec-road.html

Wollte damit einfach mal ein wenige herumspielen.

VG
Stephan
March 26, 2020, 05:23:07 PM #8
Veralteter Link, nimm das hier:

https://wiki.opnsense.org/manual/how-tos/ipsec-rw.html

Da haste dann auch gscheide Anleitungen für Client
Print
Go Up Pages1
User actions