Grundsatzfrage mehrere IPsec S2S Verbindungen

[greby]

Gude, Moin, Servus und Hallo zusammen,

ich muss mehrere S2S Verbindungen über IPsec zur Zentrale einrichten. In der Zentrale ist eine OPNSense an den anderen Standorten Lancom oder Fritzboxen. Bedeutet ja, dass ich auch mehrere IPsec Phase1 und 2 einrichten muss. Wie gehe ich den am besten in der Zentrale jeweils in der Phase2 mit der lokalen Adresse vor? Nehme ich für jede Verbindung ein neues lokales Netz "Host oder Netzwerk" (Tunnel1 192.168.1.0/24, Tunnel2 192.168.2.0/24....) oder benutze ich für alle Tunnel das gleiche lokale Netzwerk? Oder macht es Sinn, ein oder mehrere VLANs für die Gegenstellen zu konfigurieren und diese als Schnittstelle(n) in der Phase2 auszuwählen?

Hoffe ich konnte einigermaßen erklären, um was es mir geht.

Viele Grüße aus dem schönen Rheingau

Andreas

[micneu]

- bitte mal das ganze skizzieren
- von denn ausstenstellen nur zum hauptstandort (bitte mit pfeilen in die zeichnung)
- von welcher bandbreite sprechen wir (bitte mit in die zeichnung für jeden standort)?
- warum nicht alle standorte mit opnsense, sollte doch für eine firma kein problem sein?

[greby]

Anbei eine Grobübersicht, im Moment keine neuen Investitionen dank Corona. Muss also mit dem bestehenden arbeiten

[micneu]

- die fritzboxen kannst du mit dem AVM IPSec verbinden (habe ich hier am laufen)
- bei dem LANCom musst du die suche bemühen, da habe ich keine erfahrung.
- ich würde für jeden standort eine ipsec verbindung einrichten

[greby]

Danke für Deine Antwort. Allerdings war das jetzt nicht ganz meine Frage. Lancom ist am laufen und die Fritzboxen machen noch ein Problem mit dem Importieren der CFG Datei. Den Fehler finde ich bestimmt auch noch. Ich wollte nur wissen, ob es Sinn macht, jedem der Tunnel auf der OPNSense Seite einen eigenen Bereich für das lokale Netz zuzuweisen oder alle in einem Netzwerk zusammen zu fassen. Also wie im angefügten Bild die 192.168.205.0/24 für Niederlassung 1, die 192.168.206.0/24 für Niederlassung 2 usw.

Oder macht es Sinn bei allen 3 Niederlassungen den gleichen Bereich 192.168.205.0/24 anzugeben.

Alternativ ist mir noch die Idee gekommen, weitere VLANs auf der LAN Schnittstelle der OPNSense anzulegen (z.B. VLAN_IPSEC oder VLAN_IPSec_NL1 .... NL2 .... NL3 und diese dann wie im zweiten Bild als Typ auszuwählen.

Macht sowas Sinn, um evtl. besser mit Firewall Regeln den Zugriff aus den Niederlassungen auf die Ressourcen der Zentrale händeln zu können? Sorry wenn ich so dumm fragen muss, ich bin mit OPNSense noch ziemlich am Anfang

[Gauss23]

Das kommt darauf an, was du mit den VPN Verbindungen erreichen willst.

Üblicherweise legt man je verknüpftem Netzwerk eine Phase2 an.
Also Site A mit 192.168.1.0/24 und Site B mit 192.168.2.0/24 wären ein Phase2.

Welche Clients aus welchem Netz sollen denn miteinander sprechen? Diese Netze musst du dann über die Phase2 Einträge routebar machen. Über die Firewall Regeln machst du dann die Feinjustage, welcher Client auf welchen Dienst zugreifen darf.

[micneu]

du brauchst für die fritzboxen (wenn sie die aktuelle firmware draufhaben) nicht mehr die .cfg datei
das hatte ich hier im forum auch mal behandelt und ich glaube auch eine anleitung gepostet

[greby]

Noch einmal Danke für Eure Antworten.

@Gauss23 - Grundsätzlich sollen die Niederlassungen auf die Zentrale zugreifen. Als Admin würde ich mich natürlich darüber freuen, wenn ich innerhalb der Zentrale oder einer Niederlassung überall Zugriff erhalten würde

@micneu - Hast Du eine Idee, wo ich im Forum Deine Anleitung finden könnte? Leider blieb meine Suche bisher erfolglos

[Gauss23]

@Gauss23 - Grundsätzlich sollen die Niederlassungen auf die Zentrale zugreifen. Als Admin würde ich mich natürlich darüber freuen, wenn ich innerhalb der Zentrale oder einer Niederlassung überall Zugriff erhalten würde

Du musst im ersten Schritt die Netze "routebar" machen und dann über die Firewall Regeln einstellen, welcher Traffic stattfinden darf. Im Idealfall würden Niederlassungen wohl je eine VPN Verbindung in die Zentrale aufbauen und in der Zentrale haben dann bestimmte Clients das Recht auf alles in den Niederlassungen zuzugreifen (z.B. alle Clients eines bestimmten VLANs).
Den restlichen Traffic beschränkt man auf das Nötigste. Eine Liste von benötigten Diensten erstellen und sich überlegen wer auf was zugreifen darf. Dann umsetzen.

[micneu]

ok, nach welchen begriffen hast du denn gesucht?
mein gesunder menschen verstand sagt mir ich suche ein thema was mit "fritzbox" zu tun hat und auch "ipsec" also kombiniere ich es zu "fritzbox ipsec". das kannst du doch auch oder?

getestet mit fritzbox 7490 und fritzbox 6591

[greby]

Natürlich habe ich nach Fritzbox und IPsec gesucht. 69 Treffer. Da habe ich mir nur angeschaut, was vom Betreff ungefähr zu meinem Problem gepasst hat. Ich habe auch nach micneu + fritzbox und micneu + ipsec gesucht. Sorry, ich habe nichts gefunden, was mir weitergeholfen hat. Trotzdem Danke für das Bild, das Du angefügt hast. Ich habe nun meine Einstellungen aufgrund dieses Bildes und Deiner Anleitung IPSec_Fritzbox_config.pdf angepasst. Trotzdem bekomme ich keinen Tunnel zwischen Frite und OPNSense hin. Am October 14, 2020, 05:53:22 am hattest Du ja erwähnt, dass eine .cfg Datei nicht mehr notwendig ist. Daraufhin habe ich auf der Fritzbox unter Internet->Freigaben->VPN eine Verbindung manuell hinzugefügt und gehoft, dass das reicht.

Die Sense wirft folgendes aus:

2020-10-17T20:59:19   charon[40008]   06[ENC] <1995> generating INFORMATIONAL_V1 request 2342351190 [ N(AUTH_FAILED) ]
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> no peer config found
2020-10-17T20:59:19   charon[40008]   06[CFG] <1995> looking for pre-shared key peer configs matching <OPNSense>...<Fritzbox>[<DYNDNS_Name>]
2020-10-17T20:59:19   charon[40008]   06[CFG] <1995> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> <Fritzbox> is initiating a Aggressive Mode IKE_SA
2020-10-17T20:59:19   charon[40008]   06[ENC] <1995> received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received NAT-T (RFC 3947) vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received DPD vendor ID
2020-10-17T20:59:19   charon[40008]   06[IKE] <1995> received XAuth vendor ID
2020-10-17T20:59:19   charon[40008]   06[ENC] <1995> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
2020-10-17T20:59:19   charon[40008]   06[NET] <1995> received packet: from <Fritzbox>[500] to <OPNSense>[500] (713 bytes)
2020-10-17T20:59:14   charon[40008]   06[NET] <1994> sending packet: from <OPNSense>[500] to <Fritzbox>[500] (56 bytes)

Auf der Fritzbox gibt es in den Ereignissen nur einen IKE-Error 0x203f was laut FritzBox Hilfe "authentication failed" bedeutet

[micneu]

ohne deine konfig können wir nicht helfen, poste doch mal deine konfiguration von deiner ipsec verbindung.
billde als screenshot. dann kann ich es mit meine vergleichen (und wenn du alles nach der pdf gemacht hast. sollte das gehen oder du hast einen fehler gemacht. wie schon geschrieben die ipsec tunnel laufen länger als 1 jahr bei mir.

[greby]

Moin micneu,

sorry hat etwas länger gedauert. Erste einmal danke für Deinen unermüdlichen Einsatz hier im Forum.

Nur um es einmal erwähnt zu haben, die Versionen von OPNSense und Fritzbox sind folgende:

OPensense:     OPNsense 20.7.3-amd64
Fritzbox 7590: FritzOS 7.12

Anbei noch die Screenshots

[greby]

Gude schon wieder,

es läuft. Ich habe mit der "FritzBox Fernzugang Einrichten" Software eine neue Verbindung zwischen 2 FritzBoxen eingerichtet. In der erstellten VPN Verbindung habe ich dann noch den erzeugten Preshared Key gegen den, den ich zuvor auf der OPNSense eingerichtet habe, ausgetauscht und anschließend in die Fritzbox importiert.

Danke an alle, die mir bei der Lösung geholfen hatten