Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec Road-Warroior
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPsec Road-Warroior (Read 2397 times)
Stephan84
Newbie
Posts: 26
Karma: 0
IPsec Road-Warroior
«
on:
March 24, 2020, 08:51:01 am »
Guten Morgen,
ich bräuchte mal wieder Eure Hilfe, wie schon all zu oft in den Letzen Tagen!
Ich würde gerne mal OpenVPN und IPsec in der OpnSense gegenüberstellen. Jetzt habe ich versucht mir der Dokumentation
https://wiki.opnsense.org/manual/how-tos/ipsec-road.html
Die zu tun, bekomme aber immer Fehlermeldungen. Habe auch festgestellt, dass die Doku nicht aktuell ist.
Hat jemand eine Doku die ich verwenden kann?
Viele Grüße
Stephan
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: IPsec Road-Warroior
«
Reply #1 on:
March 24, 2020, 09:04:27 am »
Hallo Stephan,
was genau passt denn nicht oder was möchstest du wissen?
Meine Meinung:
- OpenVPN eignet sich für Roadwarrior besser weil:
Freie Clients für alle Plattformen verfügbar sind
Sicherheit in Sachen Verschlüsselung frei konfigurierbar ist. (Wenn du IPsec ohne Client machst musst du dich an die Vorgaben von Microsoft bzw. Apple richten was die integrierten IPsec Clients können.
Gute Performance und flexibel mit TUN/TAP
Ich verwende IPsec hauptsächlich zur Standortvernetzung weil es alle anderen Produkte unterstützen, also für Site-to-Site Tunnel. Für Roadwarrior verwende ich es nur wenn nur die integrierte OS Funktionalität verwendet werden darf oder die Leute sich an der Windows-Domain anmelden sollen. (Das geht allerdings mittlerweile mit dem Service von OpenVPN auch)
«
Last Edit: March 24, 2020, 09:15:34 am by banym
»
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
Stephan84
Newbie
Posts: 26
Karma: 0
Re: IPsec Road-Warroior
«
Reply #2 on:
March 24, 2020, 12:34:49 pm »
Hallo,
was nicht passt, kann vielfältig sein da die Doku ja etwas veraltet ist! Es wäre toll, wenn mir jemand sein Setup schicken könnte für IPsec RoadWarrior und ich es einfach zum Testen übernehmen kann. Als Client nutze ich NCP.
Ich denke, das wäre die einfachte Version.
Viele Grüße
Stephan
Logged
Stephan84
Newbie
Posts: 26
Karma: 0
Re: IPsec Road-Warroior
«
Reply #3 on:
March 25, 2020, 04:01:55 pm »
So,
habe jetzt mal meine Konfig kopiert und hoffe es kann mit jemand sagen wo mein Fehler ist! Finde den einfach nicht!!
Hir meine zwei Phasen im Überblick:
Hier die Mobile_Client Einstellungen:
Hier die Phase 1:
Hier die Phase 2:
Hier die Benutzereinstellungen, wobei ich mir mit den Privilegs nicht sicher bin!?:
Als Client benutze ich NCP:
Als Fehlermeldung im Log des NCP kommt immer:
25.03.2020 15:42:11 - System: DNSHandling=0
25.03.2020 15:42:11 - IPSec: Start building connection
25.03.2020 15:42:11 - IpsDial: connection time interface choice,LocIpa=172.17.0.250,AdapterIndex=203
25.03.2020 15:42:11 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=172.17.0.250 : test
25.03.2020 15:42:11 - Ike: ConRef=7, XMIT_MSG1_AGGRESSIVE, name=test, vpngw=172.17.0.250:500
25.03.2020 15:42:11 - ike_phase1:send_id:ID_IPV4_ADDR:pid=0,port=0,172.17.0.250
25.03.2020 15:42:11 - Ike: ConRef=7, Send NAT-D vendor ID,remprt=500
25.03.2020 15:42:14 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:14 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:18 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:18 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:22 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:22 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:26 - INFO - MONITOR: Disconnected
25.03.2020 15:42:26 - INFO - MONITOR: Media=LAN, Tx=0 Byte, Rx=0 Byte
25.03.2020 15:42:26 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - test.
25.03.2020 15:42:26 - Ike: phase1:name(test) - ERROR - retry timeout - max retries
25.03.2020 15:42:26 - IPSec: Disconnected from test on channel 1.
Ich weiß einfach nicht weiter....
Viele Grüße
Stephan
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: IPsec Road-Warroior
«
Reply #4 on:
March 25, 2020, 09:17:02 pm »
Hallo,
poste bitte mal die WAN Regeln und die Interface Konfiguration noch.
Die gewählte Verschlüsselung und Agressive-Mode würde ich auf jedenfall höher wählen. PFS ist meiner Meinung nach heutzutage Pflicht.
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
Stephan84
Newbie
Posts: 26
Karma: 0
Re: IPsec Road-Warroior
«
Reply #5 on:
March 25, 2020, 10:32:58 pm »
Hallo,
hier die benötigten Informationen:
Wobei den GW 172.17.0.254 gibt es in meiner Testumgebung nicht!! Sollte aber ja kein Problem sein.
Viele Grüße
Stephan
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: IPsec Road-Warroior
«
Reply #6 on:
March 26, 2020, 02:03:01 pm »
Sorry wenn ich da reingrätsche aber genau wenn ich SO eine Konfiguration sehe ist das der Grund warum wir allen Kunden zu OpenVPN raten. Das ist gruselig!
Völlig veraltete Cipher und Hashfunktionen, Modi die seit Jahren nicht mehr empfohlen werden (IKE1 aggressive) etc etc.
Kommt mir vor wie die immer sinnlosere Diskussion vor der Abschaltung von PPTP. Schon lange kein "P" im VPN mehr "aber es wird doch überall unterstützt"...
Da ist der einmalige Aufwand, ein bisschen OVPN Clients für alle auszurollen mit einer stabilen Konfiguration zwar höher, dafür Langzeit-Wirkung wesentlich größer. Und mit Redundanz, Failover und Co. flexibler als das starre IPsec Gefriemel
Grüße
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Stephan84
Newbie
Posts: 26
Karma: 0
Re: IPsec Road-Warroior
«
Reply #7 on:
March 26, 2020, 03:10:24 pm »
HI JeGr,
das erschrickt mich jetzt ein bissl! Ist nach der Doku von Opnsesne:
https://wiki.opnsense.org/manual/how-tos/ipsec-road.html
Wollte damit einfach mal ein wenige herumspielen.
VG
Stephan
Logged
mimugmail
Hero Member
Posts: 6767
Karma: 494
Re: IPsec Road-Warroior
«
Reply #8 on:
March 26, 2020, 05:23:07 pm »
Veralteter Link, nimm das hier:
https://wiki.opnsense.org/manual/how-tos/ipsec-rw.html
Da haste dann auch gscheide Anleitungen für Client
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec Road-Warroior