Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wie manual SPD entries wieder entfernen?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Wie manual SPD entries wieder entfernen? (Read 3900 times)
richardd
Newbie
Posts: 21
Karma: 1
Wie manual SPD entries wieder entfernen?
«
on:
May 17, 2021, 08:39:56 am »
Hallo,
habe IPSEC mit NAT konfiguriert und übersehen, dass das nur bei Tunnel mit einem Phase2 Entry unterstützt ist. Testweise alle phas 2 entries bis auf einen wieder gelöscht, aber ich sehe nach wie vor in der security policy database die händisch erstellten SPD entries. Wie werde ich die wieder los?
Versions OPNsense 21.1.3-amd64
FreeBSD 12.1-RELEASE-p14-HBSD
OpenSSL 1.1.1j 16 Feb 2021
Danke
mfG Richard
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wie manual SPD entries wieder entfernen?
«
Reply #1 on:
May 17, 2021, 08:57:53 am »
Das ist eine alte Info, mittlerweile geht das unlimitiert.
Momentan hilft beim Flush leider nur ein reboot oder "setkey -FP" und dann IPsec mit "Save" neu laden.
ACHTUNG: mach das nicht wenn du per IPsec die Firewall verwaltest.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
richardd
Newbie
Posts: 21
Karma: 1
Re: Wie manual SPD entries wieder entfernen?
«
Reply #2 on:
May 17, 2021, 11:03:17 am »
Danke für die rasche Info, aber jetzt ist meine Hoffnung geschwunden, weil ich nicht mehr weiß was ich falsch mache, aber ich bin ja nicht das erste Mal über Begrifflichkeiten in der Doku gestolpert.
DMZ mit 10.103.0.0/16 (bei Cisco sag ich in Sachen NAT inside) und daraus soll ein Host mit BINAT über einen IPSEC Tunnel erreichbar sein D.h. 10.103.0.10 <-> 10.249.96.1 genattet
remote subnet 10.160.4.6/32
Interface IPSEC
Type BINAT
External network 10.249.96.1/32
Source / Invert
Source 10.103.0.10/32
Destination / Invert
Destination 10.160.4.6/32
Category
Description
NAT reflection Disable
bei manual spd entry habe ich schon 10.103.0.10/32 oder auch 10.103.0.0/16 probiert
ich sehe die Packete mit einem packet trace im IPSEC ankommen, aber nie am DMZ Interface rausgehen. Lösche ich das NAT raus und route (Probeweise ein Loopback am Router in der DMZ mit 10.249.96.1 konfiguirert) läuft alles, was mir sagt, dass IPSEC und rules passen
Bin ratlos, weil mir auch nicht bekannt ist wo und wie ich das debuggen könnte.
Über einen INput wäre ich dankbar
mfG Richard
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wie manual SPD entries wieder entfernen?
«
Reply #3 on:
May 17, 2021, 12:58:17 pm »
Screenshot von P2 bitte
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
puldi
Newbie
Posts: 32
Karma: 2
Re: Wie manual SPD entries wieder entfernen?
«
Reply #4 on:
May 17, 2021, 05:25:12 pm »
Offtopic:
Quote from: mimugmail on May 17, 2021, 08:57:53 am
Das ist eine alte Info, mittlerweile geht das unlimitiert.
Das ist eine super Info! Seit wann geht das denn und ist die Konfig irgendwo beschrieben? Oder kann ich einfach alle SPD anlegen (also je Phase2 Eintrag die entsprechenden SPD), dazu wie bisher die binat Regeln in der Firewall und fertig? Vor grad mal 2 Wochen habe ich einem Kunden noch gesagt, wir müssten für einen zweiten Phase2 Eintrag mit NAT einen kompletten neuen IPSEC VPN einrichten.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wie manual SPD entries wieder entfernen?
«
Reply #5 on:
May 17, 2021, 07:03:51 pm »
Das geht seit 21.1, das Feature wurde von meinem Arbeitgeber gesponsert, steht auch in den Releasenotes. Einfach beliebig SPD in die SA, geht alles automatisch
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
puldi
Newbie
Posts: 32
Karma: 2
Re: Wie manual SPD entries wieder entfernen?
«
Reply #6 on:
May 17, 2021, 07:14:34 pm »
Gepriesen sei dein Arbeitgeber!
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wie manual SPD entries wieder entfernen?
«
Reply #7 on:
May 18, 2021, 05:45:16 am »
In 2021 sollte so ein Feature auch zum Standard gehören
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
richardd
Newbie
Posts: 21
Karma: 1
Re: Wie manual SPD entries wieder entfernen?
«
Reply #8 on:
May 18, 2021, 12:46:16 pm »
Hallo, anbei die Phase2 als screenshot. 10.103.0.51 ist es und nicht wie ursprünglich fälschlich.10 geschrieben.
Danke
mfG Richard
«
Last Edit: May 18, 2021, 02:06:33 pm by richardd
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wie manual SPD entries wieder entfernen?
«
Reply #9 on:
May 18, 2021, 09:23:02 pm »
Das sieht dann aber gut aus. Screenshot vom Nat bitte
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
richardd
Newbie
Posts: 21
Karma: 1
Re: Wie manual SPD entries wieder entfernen?
«
Reply #10 on:
May 19, 2021, 09:17:39 am »
Hallo,
danke fürs drüber schauen. Anbei die NAT config.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wie manual SPD entries wieder entfernen?
«
Reply #11 on:
May 19, 2021, 01:25:04 pm »
Kannst du die Firewall mal rebooten?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
richardd
Newbie
Posts: 21
Karma: 1
Re: Wie manual SPD entries wieder entfernen?
«
Reply #12 on:
May 19, 2021, 06:38:59 pm »
Ich habe den reboot gleich für ein upgrade auf 21.1.5 genutzt. Jetzt funktioniert es. Zumindest weiß ich, dass ich es richtig konfiguriert habe
Ich bedanke mich für dein engagiertes Helfen
mfG Richard
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wie manual SPD entries wieder entfernen?