VPN: IPsec: Mobile Clients

Started by Acer123, March 30, 2022, 06:15:07 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 30, 2022, 06:15:07 PM Last Edit: March 31, 2022, 12:11:37 PM by Acer123
Hallo zusammen,

ich versuche eine IPsec Verbindung zwischen einem mobilen Router (Teltonika RUT240) und der OPNsense herzustellen.

Leider bricht der Verbindungsaufbau mit dieser Meldung ab:
traffic selectors 10.1.1.0/24 === 10.99.1.0/24 unacceptable

OPNsense liegt im Netzwerk 10.1.1.0/24
Der mobile Teltonika Router 10.99.1.0/24

Die OPNsense hat eine feste IP und der mobile Router nicht.
Früher habe ich das in der "MONOWALL" über IKE1 und den aggressive mode gelöst. Heute ja nicht mehr stand der Technik.


Mir ist bewusst, dass hier niemand eine Glaskugel besitzt. Also nehmt bitte etwas Rücksicht und sagt mir, welche Infos noch benötigt werden.

Lieben Gruß

April 01, 2022, 04:24:25 PM #1
mal doof gefragt: wie sollen sich die beiden denn finden ?

wenn du 10er Netze verwendest, diese werden im öffentlichen Internet ja nicht geroutet...

Hast Du an die Regeln gedacht die Ike etc "erlauben" und auch für den Traffic bzw NAT gesorgt ?

Bei Mobilen Geräten setze ich aktuell auf Wireguard, lightweight und damit wenig Last für die Clients  ;)

Happy Computing
VMW / PMX / PFS / OPS
April 01, 2022, 04:42:22 PM #2
Quote from: Acer123 on March 30, 2022, 06:15:07 PM
Leider bricht der Verbindungsaufbau mit dieser Meldung ab:
traffic selectors 10.1.1.0/24 === 10.99.1.0/24 unacceptable

Laut Deinen Abbildungen hast Du in der Opnsense eine mobile Verbindung (Roadwarrior) konfiguriert, möchtest aber zwei Subnetze verbinden. In diesem Fall musst Du in der Opnsense eine nicht mobile IPSec-Verbindung (Site2Site) konfigurieren.
OPNsense 24.7.11_2-amd64
April 01, 2022, 04:50:42 PM #3 Last Edit: April 01, 2022, 04:54:50 PM by Acer123
Hallo,

erstmal vielen Dank für die Antwort.
Ich habe in der Beschreibung auch heute gesehen, dass eine mobile Verbindung (Roadwarrior) nur in IKEv1 funktioniert. Da ich IKEv2 nutze, klappt das ja nicht ;-)

Die Frage ist, kann ich eine Site2Site Verbindung aufbauen, wenn die andere "Mobile" Seite keine feste IP hat?
So Lösungen wie DynDNS oder so, kommen nicht in frage.

Der Hintergrund ist der, dass ich im weiteren Ausbau nicht nur 20 entfernte Standorte habe, sondern nach erfolgreichem Test mehr als über 200....

Daher muss vorher alles passend sein.

Lieben Gruß.
April 01, 2022, 07:23:49 PM #4
"Mobile" hat nichts damit zu tun, dass die andere Seite eine dynamische IP besitzt. Bei ersterem handelt es sich um Einwahlverbindungen, bei der ein einzelnes Endgerät über IPsec mit einem oder mehreren Netzen der Gegenstelle kommuniziert.

Ohne dynamisches DNS wirst Du es bei einer dynamischen IP-Adresse der Gegenstelle schwer haben, da Du ansonsten immer wieder die Konfiguration anpassen müsstest. Was spricht denn gegen (dynamisches) DNS?

Ich empfehle Dir, dass Du Dir zunächst einige Grundlagen von IPSec anlesen solltest. Bei VPN kann man auch einiges falsch machen und so Sicherheitslücken aufreißen.
OPNsense 24.7.11_2-amd64
Print
Go Up Pages1
User actions