IPsec Verbindung Funktioniert nicht wie gedacht

[Steffen123]

Hallo, ich bin Anfänger in dem Umgang mit Opnsense und habe mir IPsec eingerichtet und möchte gerne von Außerhalb in mein Netzwerk. Die Verbindung Funktioniert auch aber ich kann nur mit der IP von meiner Opnsense im Internet surfen, an den Proxmox Host bzw. die VM’s kann ich mich nicht verbinden. Was muss man einstellen damit das geht?
In den Lease Status wird meiner Verbindung angezeigt das mein Handy die IP 192.168.3.1 hat.

Meine Einstellungen für die VPN Verbindung:

VPN: IPsec: Mobile Clients

Enable                     X

Backend for authentication        Local Database

Virtual IPv4 Address Pool       X 192.168.3.1 / 24

Network List                X


VPN: IPsec: Tunnel Settings

Phase 1 Entry:

Connection method          default

Key Exchange version          V2

Internet Protocol             IPv4

Interface                WAN

Phase 1 proposal (Authentication)   Mutual PSK

My identifier                Distungished name „MY DOMAIN“

Phase 1 proposal (Algorithms)

Encryption algorithm          256 bit AES-GCM with 128 bit ICV

Hash algorithm             SHA256, SHA512, AES-XCBC

DH Key group               2, 14, 16

Lifetime                   28800

Advanced Options

Install policy                X


Phase 2 entry:

Mode                  Tunnel IPv4
Local Network

Type                  LanLaptop subnet

Phase 2 proposal (SA/Key Exchange)   ESP

Encryption algorithms          AES, aes256gcm16

Hash algorithms             SHA1, SHA512


VPN: IPsec: Pre-Shared Keys

Identifier                „MY DOMAIN“

Pre-Shared Key             „XXXXXXXXXX“

TYPE                  PSK

Diagram:

      Internet
           |
           |
+-------+------------------------------------------------------------------------------------+
|     PPPoE                                                                                                      |
|      WAN  VPN                          OPNsense 21.7.4-amd64                              |
|                                                                                                                     |
|                              Opnsense Router                                                            |
|                                                                                                                     |
|                                                                                                                     |
|                                                                                                                     |
|  Homatic Lan     Accespoint     LAN PC        LAN Laptop     Proxmox Lan       |
|                           (fritzbox)                                                                            |
|  10.11.12.1      192.168.1.1    192.168.2.1   192.168.0.1    10.11.11.1       |
+---------------------------------------------------------------------------------------------+

[bimbar]

Für dial in VPNs rate ich von IPSec ab. OpenVPN oder Wireguard sind da weit besser geeignet. Tatsächlich ist für praktisch alle Zwecke alles andere besser geeignet als IPSec.

[Steffen123]

Danke für die Anregung aber ich hatte den Gedanken die Native Android VPN Funktion zu nutzen.

[JeGr]

Den Gedanken haben viele. Selbst im Firmenumfeld mit Apple/iOS Kisten höre ich das immer wieder. Dann werden 2-3 Fragen gestellt, ob man dies, das, Ananas umsetzen kann und am Ende installiert doch jeder ohne Murren einfach den OVPN Client, weil es einfach funktioniert. Kann ich ebenfalls nur zu raten.

Ansonsten kannst du nur mal kontrollieren ob du auf dem IPsec Interface Firewall Regeln hast die alles erlauben, dann mal Logging dort anmachen und schauen was passiert wenn du auf interne IPs zugreifen willst. Ggf. mit tcpdump mal mitloggen ob und wie der Traffic überhaupt auf der Sense ankommt.

Cheers

[bimbar]

Das IPSec Problem ist, dass es so kompliziert einzurichten ist, dass es in der Praxis, wenn möglich, niemand benutzt.
Ich mache sowas für Geld und garantiere den Kunden nie, dass es in ihrer spezifischen Kombination von Endpunkten am Ende wirklich funktionieren kann.
Und dabei geht es nicht einmal um dynamische Endpunkte, wie bei dir.

Meine Tips wären Wireguard, oder vielleicht noch besser ZeroTier.

[JeGr]

ZeroTier bei einem Client->Server RAS? Irgendeine Cloud Lösung für VPN - nee.

Es geht ja u.a. auch ums Einrichten. Klar ist Wireguard Hip. Aber mal ehrlich. OpenVPN Wizard anwerfen. Durchgehen. Client Config exportieren, Handy/Laptop/whatever nehmen und Config importieren, done. Das bekommt aktuell auch noch kein WG hin. Und auf das bisschen mehr/weniger Performance kommts bei mobilen Geräten meist eh nicht an.

Aber ja, OpenVPN oder WG wären IMHO für RAS-style VPN definitiv zu bevorzugen. Schon allein weil IPSec zu unflexibel ist.