Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich (Read 3091 times)
knroftz23
Newbie
Posts: 10
Karma: 0
IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
on:
January 14, 2022, 01:13:09 pm »
Hallo,
ich habe eine IPsec Tunnel zwischen einer OPNsense und einem Lancom Router gebaut. Die IPsec Verbindung kommt hoch.
Wenn ich einen Ping absetzte von einem PC hinter der OPNsense, kommt das ICMP Paket am LAN Interface an und wird über das IPsec Interface versendet. Dann kommt das Paket am Zielsystem an. Der Replay kommt bis zum LANcom Router und auf der Strecke zw. Lancom Router und OPNsense verschwindet das Paket.
Ich habe nach der Anleitung gearbeitet (
https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html
).
Unter VPN > IPsec > Statusübersicht sehe ich ausgehende Bytes aber keinen eingehenden. Was ich mich jetzt frage ist, muss ich ein IPsec Interface manuell anlegen? Ich sehe das leider nur im Log, es ist aber nirgends angelegt. Ich habe den Eindruck, dass ich ein IPsec Interface brauche, um den Traffic zu terminieren. Bin ich mit der Idee falsch? Ich bräuchte mal einen Tipp.
Gruß,
Thomas
Logged
knroftz23
Newbie
Posts: 10
Karma: 0
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #1 on:
January 14, 2022, 01:20:15 pm »
------+------... (Clients/Servers)
|
.-----+--------.
| LANcom |
'-----+--------'
|
|
|
.-----+----------.
| OPNsense |
'-----+----------'
|
...-----+------... (Clients/Servers)
Logged
atom
Full Member
Posts: 207
Karma: 4
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #2 on:
January 14, 2022, 02:16:06 pm »
Was meldet denn ein 'ipsec status con1' ? (con1 durch den echten Verbindungsnamen ersetzen)
Logged
knroftz23
Newbie
Posts: 10
Karma: 0
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #3 on:
January 14, 2022, 02:52:03 pm »
ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: ROUTED, TUNNEL, reqid 1
con1{1}: 10.19.215.0/24 === 172.19.2.0/24 172.19.29.0/24 192.168.50.0/24
Security Associations (0 up, 0 connecting):
no match
bzw.:
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: ROUTED, TUNNEL, reqid 1
con1{1}: 10.19.215.0/24 === 172.19.2.0/24 172.19.29.0/24 192.168.50.0/24
Security Associations (1 up, 0 connecting):
con1[1]: ESTABLISHED 3 seconds ago, 193.xxx.xxx.xxx[max@muster.de]...80.xxx.xxx.xxx[max@muster.de]
con1{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: cee852e5_i 1a8fd65b_o
con1{2}: 10.19.215.0/24 === 192.168.50.0/24
Sieht für mich erstmal gut aus.
Eigentlich sieht mein Netz so aus:
|
LAN | 172.19.2.0 /172.19.29.0
|
.-----+------.
| FW01
'-----+------'
|
LAN 192.168.50.0
|
.-----+-----.
| Lancom |
'-----+-----'
|
WAN / Internet
|
.-----+------.
| OPNsense
'-----+------'
|
LAN | 10.19.215.0
|
Logged
atom
Full Member
Posts: 207
Karma: 4
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #4 on:
January 14, 2022, 03:35:10 pm »
Kann es sein, dass der Haken bei 'Install policy' nicht gesetzt ist ?
Logged
knroftz23
Newbie
Posts: 10
Karma: 0
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #5 on:
January 14, 2022, 09:20:22 pm »
Du meinst den Haken "Richtline Installieren" (Meine Spracheinstellung ist Deutsch)? Ist drin.
Logged
knroftz23
Newbie
Posts: 10
Karma: 0
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #6 on:
January 14, 2022, 09:37:19 pm »
Ich sollte mein Bild nochmal anpassen:
|
LAN | 172.19.2.0 /172.19.29.0
|
.-----+------.
| FW01
'-----+------'
|
LAN 192.168.50.0
|
.-----+-----.
| Lancom | LTE Richtung Internet
'-----+-----'
| 80.xxx.xxx.xxx
WAN / Internet
| 193.xxx.xxx.xxx
.-----+------.
| OPNsense
'-----+------'
|
LAN | 10.19.215.0
|
Das kommt bei:
tcpdump -i re0 -n -s0 -vv host 80.xxx.xxx.xxx
21:27:17.567771 IP (tos 0x0, ttl 64, id 37833, offset 0, flags [none], proto UDP (17), length 164)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [no cksum] UDP-encap: ESP(spi=0xebc008ae,seq=0xbc), length 136
21:27:18.572762 IP (tos 0x0, ttl 64, id 59131, offset 0, flags [none], proto UDP (17), length 164)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [no cksum] UDP-encap: ESP(spi=0xebc008ae,seq=0xbd), length 136
21:27:19.573161 IP (tos 0x0, ttl 64, id 56015, offset 0, flags [none], proto UDP (17), length 164)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [no cksum] UDP-encap: ESP(spi=0xebc008ae,seq=0xbe), length 136
21:27:23.727564 IP (tos 0x0, ttl 64, id 7628, offset 0, flags [none], proto UDP (17), length 29)
193.xxx.xxx.xxx.4500 > 80.xxx.xxx.xxx.4500: [udp sum ok] isakmp-nat-keep-alive
Ich habe so den Eindruck, dass meine Pakete auf dem Weg zwischen dem Lancom Router und der OPNsense verschwinden. Könnte am LTE liegen.
Hat jemand da Erfahrungen oder kann jemand meinen Eindruck bestätigen? Wäre schön. Danke.
Logged
atom
Full Member
Posts: 207
Karma: 4
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #7 on:
January 15, 2022, 07:51:02 am »
Was steht denn bei "Mode" in Phase 2 ? (vermutlich Modus in deutsch)
Logged
knroftz23
Newbie
Posts: 10
Karma: 0
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #8 on:
January 16, 2022, 03:04:08 pm »
Tunnel IPv4.
Logged
atom
Full Member
Posts: 207
Karma: 4
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #9 on:
January 16, 2022, 06:46:58 pm »
Es sieht so aus, als ob Du auch noch einen Route-Based-Tunnel mit den identischen Netzen konfiguriert hast.
Logged
knroftz23
Newbie
Posts: 10
Karma: 0
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #10 on:
January 16, 2022, 09:01:35 pm »
Das ist nicht der Fall. Alle drei IP Netze sind als "Tunnel IPv4" eingetragen.
Aber das würde doch auch nicht erklären, warum ich im tcpdump keine IP Pakete von der Gegenseite sehe, oder doch?
Logged
atom
Full Member
Posts: 207
Karma: 4
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #11 on:
January 17, 2022, 08:25:16 pm »
Beim ‚ipsec status con1‘ waren die ersten Zeilen für einen Route-Based-Tunnel:
ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: ROUTED, TUNNEL, reqid 1
con1{1}: 10.19.215.0/24 === 172.19.2.0/24 172.19.29.0/24 192.168.50.0/24
Security Associations (0 up, 0 connecting):
no match
Überreste von früheren Versuchen ?
«
Last Edit: January 17, 2022, 08:27:23 pm by atom
»
Logged
Rolly82
Newbie
Posts: 37
Karma: 0
Re: IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich
«
Reply #12 on:
January 20, 2022, 07:37:11 am »
Hallo knroftz23,
ich kenne mich mit zwar nicht mit OPNsense dafür aber mit Lancom aus,
Wie sieht den der IP-Router-Trace (tr # ip-r) im LAncom aus?
Werden die Antwortpakete wieder in den VPN-Tunnel geroutet?
Stimmen die Routern im Lancom? Wenn hier die Regelerzeugung auf mauell steht, haben diese nichts mit den Routen zu tun.
Wenn das ganze mit dem aktuellen Assistenten des LANconfig eingerichtet wurde, ist im lanvom eine ANY<->ANY Regel, auch wird über den Assi nur 1 Route angelegt, alle weitern müssen manuell angelegt werden.
MfG
Roland
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec zw. LANCom Router und OPNsense - VPN steht aber der Rücktraffic kommt nich