Wie manual SPD entries wieder entfernen?

Started by richardd, May 17, 2021, 08:39:56 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 17, 2021, 08:39:56 AM
Hallo,
habe IPSEC mit NAT konfiguriert und übersehen, dass das nur bei Tunnel mit einem Phase2 Entry unterstützt ist. Testweise alle phas 2 entries bis auf einen wieder gelöscht, aber ich sehe nach wie vor in der security policy database die händisch erstellten SPD entries. Wie werde ich die wieder los?

Versions    OPNsense 21.1.3-amd64
FreeBSD 12.1-RELEASE-p14-HBSD
OpenSSL 1.1.1j 16 Feb 2021

Danke
mfG Richard
May 17, 2021, 08:57:53 AM #1
Das ist eine alte Info, mittlerweile geht das unlimitiert.
Momentan hilft beim Flush leider nur ein reboot oder "setkey -FP" und dann IPsec mit "Save" neu laden.
ACHTUNG: mach das nicht wenn du per IPsec die Firewall verwaltest.
May 17, 2021, 11:03:17 AM #2
Danke für die rasche Info, aber jetzt ist meine Hoffnung geschwunden, weil ich nicht mehr weiß was ich falsch mache, aber ich bin ja nicht das erste Mal über Begrifflichkeiten in der Doku gestolpert.

DMZ mit 10.103.0.0/16 (bei Cisco sag ich in Sachen NAT inside) und daraus soll ein Host mit BINAT über einen IPSEC Tunnel erreichbar sein D.h. 10.103.0.10 <-> 10.249.96.1 genattet
remote subnet 10.160.4.6/32

Interface    IPSEC
Type    BINAT
External network 10.249.96.1/32   
Source / Invert    
Source    10.103.0.10/32
Destination / Invert    
Destination    10.160.4.6/32
Category    

Description    
NAT reflection    Disable

bei manual spd entry habe ich schon 10.103.0.10/32 oder auch 10.103.0.0/16 probiert

ich sehe die Packete mit einem packet trace im IPSEC ankommen, aber nie am DMZ Interface rausgehen. Lösche ich das NAT raus und route (Probeweise ein Loopback am Router in der DMZ mit 10.249.96.1 konfiguirert) läuft alles, was mir sagt, dass IPSEC und rules passen
Bin ratlos, weil mir auch nicht bekannt ist wo und wie ich das debuggen könnte.
Über einen INput wäre ich dankbar
mfG Richard
May 17, 2021, 12:58:17 PM #3
Screenshot von P2 bitte
May 17, 2021, 05:25:12 PM #4
Offtopic:

Quote from: mimugmail on May 17, 2021, 08:57:53 AM
Das ist eine alte Info, mittlerweile geht das unlimitiert.
:D Das ist eine super Info! Seit wann geht das denn und ist die Konfig irgendwo beschrieben? Oder kann ich einfach alle SPD anlegen (also je Phase2 Eintrag die entsprechenden SPD), dazu wie bisher die binat Regeln in der Firewall und fertig? Vor grad mal 2 Wochen habe ich einem Kunden noch gesagt, wir müssten für einen zweiten Phase2 Eintrag mit NAT einen kompletten neuen IPSEC VPN einrichten.  :-[
May 17, 2021, 07:03:51 PM #5
Das geht seit 21.1, das Feature wurde von meinem Arbeitgeber gesponsert, steht auch in den Releasenotes. Einfach beliebig SPD in die SA, geht alles automatisch
May 17, 2021, 07:14:34 PM #6
Gepriesen sei dein Arbeitgeber!  ;D
May 18, 2021, 05:45:16 AM #7
In 2021 sollte so ein Feature auch zum Standard gehören :)
May 18, 2021, 12:46:16 PM #8 Last Edit: May 18, 2021, 02:06:33 PM by richardd
Hallo, anbei die Phase2 als screenshot. 10.103.0.51 ist es und nicht wie ursprünglich fälschlich.10 geschrieben.
Danke
mfG Richard
May 18, 2021, 09:23:02 PM #9
Das sieht dann aber gut aus. Screenshot vom Nat bitte
May 19, 2021, 09:17:39 AM #10
Hallo,
danke fürs drüber schauen. Anbei die NAT config.
May 19, 2021, 01:25:04 PM #11
Kannst du die Firewall mal rebooten?
May 19, 2021, 06:38:59 PM #12
Ich habe den reboot gleich für ein upgrade auf 21.1.5 genutzt. Jetzt funktioniert es. Zumindest weiß ich, dass ich es richtig konfiguriert habe :)
Ich bedanke mich für dein engagiertes Helfen
mfG Richard
Print
Go Up Pages1
User actions