VPN von Client hinter OPNsense zu Fritzbox

[chriscom]

Hallo,

ich versuche schon seit längerem eine VPN-Verbindung zu einer Fritzbox aus dem Client-Netz hinter meiner OPNsense herzustellen. Dazu nutze ich den Shrew VPN Client. Wenn ich im Netz meiner OPNsense bin, schlägt der Versuch immer fehl.
Shrew sagt:

Code Select Expand

config loaded for site 'XXXX'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Sobald ich aber mein Netz der OPNsense verlasse, in ein Mobilfunknetz gehe oder mich in ein anderes WLAN hänge, funktioniert alles und der Tunnel baut sich auf. Kennt jemand dieses Problem?
Als Festnetz-Provider nutze ich die Telefon, wobei das ja keine Rolle spielen sollte...

Das gleiche Problem habe ich auch bei der Verbindung zu anderen Fritzboxen...

Vielen Dank.

VG, Chris

[lidynia.sven]

Ich poliere gerade mal meine Glaskugel, kann aber darin nichts sehen.

Spaß bei Seite, die Frage die sich stellt ist wie du die Firewall / opnsense konfiguriert hast.

Wie sind deine Firewalleinstellungen?

Gruß

Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

[chriscom]

Ja das mit der Glaskugel ist so eine Sache... :D

Ich habe an sich alles auf Standard belassen. Nur im WAN eingehend meine Regeln für WireGuard und ansonsten die automatisch generierten Regeln für die IPSec S2S VPNs. NAT ausgehend ist auf automatisch eingestellt.

IPSec hab ich auch schonmal komplett deaktiviert, mal unter Firewall - Einstellungen - Normalisierung den Schnittstellen-Scrub deaktiviert, leider alles ohne Erfolg.

[lidynia.sven]

Also, ich kann dir sagen das es bei mir funktioniert.

Ich gehe davon aus das die Verbindungsanfrage von dir raus geht, aber die Antwortpakete von der Firewall geschluckt werden aufgrund deiner IPSec Einstellung in der Firewall.

Schau doch mal in den Live log der Firewall wenn du versuchst die Verbindung aufzubauen. Dann siehst du schon mal ob die Firewall die Pakete blockt.

Ansonsten deaktiviere die ipsec Regeln mal und starte die sense neu.

Kannst du dann die Verbindung aufbauen?

Gruß

Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

[micneu]

bitte mal einen netzwerkplan, das hilf mir immer um das problem zu verstehen, mir hilft ein grafischer netzwerkplan

[chriscom]

bitte mal einen netzwerkplan, das hilf mir immer um das problem zu verstehen, mir hilft ein grafischer netzwerkplan

Aber gerne doch:

      .-----+-----.
      |  Mein PC  | <- mit Shrew VPN Client
      '-----+-----'
              |
      .-----+-------.   
      |  OPNsense | 
      '-----+-------'
              |
              |
              | : Einwahl über Draytek Vigor 130 PPPoE
              |
              |
      .-----+--.
      | WAN   |
      '-----+--'
              |
      .-----+-----.
      | Fritzbox   | <- Dort soll die VPN-Einwahl mittels des Shrew VPN Clients erfolgen
      '-----+-----'



Ich habe IPSec auf meiner OPNsense schon mal komplett deaktiviert. Dann habe ich das ganze mal in einem anderen von mir betreuten Netzwerk probiert. Dort funktioniert es komischerweise einwandfrei. Dann habe ich die Konfiguration verglichen. Diese ist ebenfalls gleich...
So richtig weiß ich nicht mehr, woran es liegen soll.

[lidynia.sven]

Hast du mal den Firewall log gecheckt?
Hast du nen Proxy eingerichtet oder sensei?

Gruß

Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

[Gauss23]

Hat es an Deinem Internetanschluss jemals funktioniert?
Welcher Anbieter? Bekommst Du eine öffentliche IPv4 Adresse zugewiesen?

Im Live Log der Firewall siehst Du nichts, was UDP Port 500/4500 angeht?

[opnboi]

Läuft auf der entfernten FritzBox irgendwas mit IPsec VPN?

Ich hatte das gleiche Problem und konnte mich nicht via Shrew Client zur FritzBox verbinden - der alte Site2Site Tunnel auf der FritzBox, welcher dann halt versucht hat sich zur OPNsense zu verbinden, hat gestört...

Nur so eine Idee...

[lidynia.sven]

Läuft auf der entfernten FritzBox irgendwas mit IPsec VPN?

Ich hatte das gleiche Problem und konnte mich nicht via Shrew Client zur FritzBox verbinden - der alte Site2Site Tunnel auf der FritzBox, welcher dann halt versucht hat sich zur OPNsense zu verbinden, hat gestört...

Nur so eine Idee...

Können wir ausschließen, da er aus anderen Netzwerken heraus via VPN auf die Box kommt.

Gesendet von meinem SM-N960F mit Tapatalk pro

[opnboi]

Ich kam auch aus anderen Netzwerken auf die FritzBox;)

Erst als ich die alte Site2Site Verbindung auf der FritzBox entfernt hatte, konnte ich problemlos wieder mit Shrew drauf...

[chriscom]

Hast du mal den Firewall log gecheckt?
Hast du nen Proxy eingerichtet oder sensei?

Gruß

Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

Der Firewall-Log sagt bei allen Paketen "pass", im Livelog sind nur Messages für Port 500 zu sehen, keine für 4500. Aber selbst die für 500 sind alle auf grün...

Proxy ist nicht aktiviert und sensei war mal installiert, aber schon seit einigen OPNsense Releases nicht mehr.

Es hat noch nie in meinem Netzwerk funktioniert, weil ich seit Anfang an mit der OPNsense arbeite. Bisher war es mir aber noch nicht so wichtig, da ich meist andere Wege gefunden habe, ein VPN zu realisieren.

Von der Telekom bekomme ich eine öffentlich erreichbare IPv4.

Die entfernte Fritzbox schließe ich mal als Problemquelle aus, da das VPN ja funktioniert, wenn ich nicht im Netzwerk meinr OPNsense bin.

[lidynia.sven]

Wie sieht es denn aus wenn du die sense mal komplett raus nimmst und über einen anderen Router online gehst. Sagen wir ne Fritte oder Speedport?

Wenn das dann klappen sollte, sind wir sicher das das Problem an deiner sense liegt. Wie gesagt ich nutze die selbe Konfiguration um über VPN in die Fritten der Familie zu kommen.

Auf der sense habe ich auch noch einen VPN Tunnel konfiguriert, deshalb gibt es aus meiner Sicht nur 3 Möglichkeiten.

1. Es liegt an deinem Provider
2. Es liegt an der sense
3. Es ist vielleicht noch eine alte Konfiguration in der Fritte auf die du dich verbinden möchtest wie hier schon mal erwähnt. Ich halte es für ehr unwahrscheinlich aber für möglich.

Mach doch mal bitte Screenshots von den Firewall Einstellungen incl. NAT

Die ip Adressen kannst du ja anonymisieren.

Gesendet von meinem SM-N960F mit Tapatalk pro