Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSec Route nicht vorhanden nach WAN DHCP Renew
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPSec Route nicht vorhanden nach WAN DHCP Renew (Read 2308 times)
HamburgerJungeJr
Newbie
Posts: 4
Karma: 0
IPSec Route nicht vorhanden nach WAN DHCP Renew
«
on:
October 05, 2021, 11:55:02 am »
Hallo,
ich habe ein Problem mit meiner Opnsense (21.7.2_1)
Wir haben einen Kabelanschluss bei Vodafone (Ja ich weiß, selbst Schuld
. Bei uns gibt es aber nichts anderes
) und müssen daher öfter mal das Modem neu starten. Daraufhin erhalten wir per DHCP eine neue WAN-IP. Bis hierhin ist auch alles gut.
Nun haben wir einen IPSec-Tunnel in unser Firmen-RZ als Routed VPN, sodass die Opnsense DNS-Anfragen an den Firmen-DNS weiterleiten kann. Ich habe ein Gateway für das VPN erstellt und eine Route ins Firmen-RZ-Netz mit diesem Gateway angelegt. Es funktioniert auch alles, ich kann aufs RZ zugreifen und aus dem RZ auch auf unser Heimnetz.
Jetzt kommt aber das Problem, die Route funktioniert nach dem Erneuern der WAN-IP nicht mehr und ich kann nicht mehr aufs RZ zugreifen. Wenn ich die Route manuell deaktiviere / Re-Aktiviere (den Haken <<disabled>> in System->Routes->Configuration setzen -> Apply -> Haken wieder entfernen -> Apply) läuft der Tunnel wieder, ohne dass ich in die IPSec Einstellungen rein muss. Es scheint also nur ein Problem mit der Route zu sein.
Ich habe leider beim letzten Mal vergessen drauf zu achten, ich meine aber, dass die Route in System->Routes->Status nicht vorhanden ist, obwohl sie unter System->Routes->Configuration als Enabled gilt.
Viele Grüße aus dem Norden
HamburgerJungeJr
Logged
User123
Newbie
Posts: 16
Karma: 0
Re: IPSec Route nicht vorhanden nach WAN DHCP Renew
«
Reply #1 on:
October 05, 2021, 12:27:45 pm »
Hallo,
welches Modem bzw. Router hast du von Vodafone?
Ist das Modem im bridged Mode, d.h. hast du an der opnsense die öffentliche WAN IP oder bekommst du vom Modem / Router eine lokale IP zugewiesen?
Ich hatte mit der Fritzbox Cable von Vodafone und NAT ein ähnliches Problem mit IPsec. Nach einem Wechsel auf eine eigene, gekaufte Fritzbox Cable ohne Vodafone Branding hatte ich die Möglichkeit, den LAN1(?) Port der Fritzbox in den Bridgemode zu schalten und bekomme somit an der OPNsense die öffentliche IP am WAN Port.
Seitdem sind die Probleme mit den abbrechenden IPsec Verbindungen weg.
Schöne Grüße
Logged
HamburgerJungeJr
Newbie
Posts: 4
Karma: 0
Re: IPSec Route nicht vorhanden nach WAN DHCP Renew
«
Reply #2 on:
October 05, 2021, 12:33:49 pm »
Stimmt. Hätte ich vielleicht dazu schreiben sollen. Ich habe ein TC4400-Modem (Modem, keine Router-Modem-Kombi).
Sprich die Opnsense handelt die WAN-IP mit Vodafone aus.
Die IPSec Verbindung bricht auch nicht ab, es scheitert meiner Ansicht nach nur an der Route.
PS. Eine Fritzbox als "Modem" hat bei mir mit IPSec richtig Probleme gemacht, bzw. war total lahm. <10Mbit mit der Fritzbox über IPSec >60Mbit mit dem TC4400. Die Fritzbox scheint das nicht wirklich hinzubekommen, einem exposed Host alles an Traffic durch zu leiten.
Logged
User123
Newbie
Posts: 16
Karma: 0
Re: IPSec Route nicht vorhanden nach WAN DHCP Renew
«
Reply #3 on:
October 05, 2021, 12:47:50 pm »
Bei mir war die IPSec Verbindung ebenfalls vorhanden, ich konnte merkwürdigerweise nur manche IP-Adressen im Remote-Netzwerk nicht erreichen, obwohl ich im Firewall Log sehen konnte, dass alles durchgelassen wird, aber an der Gegenseite nichts ankam.
Kannst du die IP-Adressen z.B. anpingen? Ich meine, dass das bei mir funktionierte, das Aufrufen vom Webinterface eines Geräts z.B. ging aber nicht.
Mit meiner jetzigen Fritzbox 7591 läuft es jetzt super und ohne Abbrüche. Ich habe die Opnsense aber nicht als exposed Host eingetragen, sondern nutze die Funktion, einen LAN-Port der Box als Modem zu nutzen. D.h. ich habe an der Fritzbox selbst ein eigenes Netz mit öffentlicher IP und an der OPNsense selbst auch eine zusätzliche WAN IP. Mit einem Switch an diesem Port gehen auch weitere öffentliche IP's, da ich von Vodafone MaxCPE 10 provisioniert bekommen habe.
Die Konfigurationsmöglichkeit ist allerdings in der Fritzbox nicht standardmäßg sichtbar im Webinterface.
Logged
HamburgerJungeJr
Newbie
Posts: 4
Karma: 0
Re: IPSec Route nicht vorhanden nach WAN DHCP Renew
«
Reply #4 on:
October 05, 2021, 12:58:03 pm »
Ich meine es ging auch keine Ping mehr durch. Das ist eigentlich das erste, was ich teste, wenn ich keine Weboberfläche, RDP etc erreichen kann.
Eine 7591 ist doch eine DSL-Box und keine Kabel-Box.
Vieles mit Bridge-Modus etc. geht auch nur im Ex-UnityMedia-Bereich und nicht im Ex-KabelDeutschland-Gebiet. Daher haben wir das TC4400, denn das ist ein Modem ohne Routing-Funktion, also auch ohne öffentliche IP.
Logged
User123
Newbie
Posts: 16
Karma: 0
Re: IPSec Route nicht vorhanden nach WAN DHCP Renew
«
Reply #5 on:
October 05, 2021, 01:15:12 pm »
Vielleicht liegt bei dir die Ursache dann woanders. Ich meine, bei mir ging der Ping noch, kann mich hier aber auch täuschen. Ich meine auch, mich zu erinnern, dass die Route (System->Routes->Status) noch vorhanden war. Auf alle Fälle konnte ich im Firewall Livelog sehen, dass das Paket auf der richtigen Schnittstelle (IPSec) durchgelassen wurde. An der Gegenseite kam das Paket aber nicht mehr an, soweit ich es noch richtig im Kopf habe.
Sorry, ich meinte natürlich die 6591 cable.
Ich bin hier auch im ex KabelDeutschland Gebiet, mit der selbst gekauften Fritzbox 6591 und der freigeschalteten Bridgeoption funktioniert es hier mit mehrern WAN IP's. Bekomme aber auch MaxCPE 10 provisioniert, ob das immer der Fall ist, kann ich allerdings nicht sagen. Seit der Umstellung funktioniert auch mein IPsec einwandfrei, hatte vorher die OPNsense als exposedHost im LAN der Fritzbox mit ähnlichem Verhalten wie bei dir.
Logged
HamburgerJungeJr
Newbie
Posts: 4
Karma: 0
Re: IPSec Route nicht vorhanden nach WAN DHCP Renew
«
Reply #6 on:
October 05, 2021, 01:33:27 pm »
Ich habs eben nochmal getestet:
Modem neugestartet, In der Opensense neue WAN-IP geholt.
Folgendes Verhalten:
Route ist in System->Routes->Status nicht vorhanden
Route ist in System->Routes->Configuration als enabled markiert
Kein Zugriff auf Web, RDP etc.
Kein Ping ins RZ-Netz möglich
Firewall-LiveViewLog zeigt icmp auf die angepingte Adresse auf dem IPSec Interface an.
Route deaktiviert wieder aktiviert:
Route ist in System->Routes->Status vorhanden
Zugriff auf Web, RDP etc möglich
Ping ist möglich
Für mich scheint es eindeutig mit der Route zusammenzuhängen, da ich nichts ändere außer der Route und die Verbindung geht wieder.
Die Gegenseite kann ich nicht überprüfen, da ich keinen Zugriff auf die Firewall habe (hat nur der RZ-Betreiber)
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSec Route nicht vorhanden nach WAN DHCP Renew