Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
« previous
next »
Print
Pages: [
1
]
Author
Topic: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW (Read 1261 times)
ma91it
Newbie
Posts: 4
Karma: 0
Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
«
on:
December 01, 2022, 10:26:45 am »
Hallo Zusammen,
ich habe aktuell folgendes Problem mit der OpnSense-FW (OPNsense 22.7.3_2/HA-Setup):
Wenn ich aus einem WLAN-Netz (sep. VLAN auf LACP; Sophos Central-managed APs) ein Client-IPSec in Richtung eines BinTec-Routers aufbauen möchte, bekomme ich mit div. Geräten (iPad-natives Cisco-VPN; Shrewsoft-Client auf Win10) einen Timeout.
Im Wireshark-Trace erhält man NO-PROPOSAL-CHOSEN.
Hier noch ein paar Eckdaten:
IPSEC-Client-Settings
NAT-T und IKE-Frag. mit 540 Bytes aktiv (auch deak. der Frag. brachte nichts)
PSK-Auth
OpnSense
WLAN-Netz darf "any" ins Internet
S2S-IPSEC aktiv (verwendet prim. WAN-IP) -
mein erster Gedanke war hier, dass diese Komponente zwischenfunkt
SNAT der ausgehenden Client-IPSEC-Verbindung auf sec. WAN-IP: getestet mit oder ohne static Port
beteiligtes WLAN-Netz, sowie Public-Quell-IP und Dest-IP (Bintec) sicherheitshalber in den Pass-Through-Netzwerk des S2S-IPSEC hinterlegt
Interface-Scrub testweise mal deaktiviert
Wenn sich die entsprechenden Clients z.B. per Handy-Hotspot mit dem Internet verbinden, lässt sich das Client-IPSec problemlos aufbauen.
In meinem Test-Setup über eine andere OpnSense (egal ob S2S-IPSEC aktiv oder nicht) stößt man leider auf das gleiche Phänomen.
Hättet ihr ggf. eine Idee, wie ich das Client-VPN gangbar bekomme bzw. welche Settings ich noch testen kann?
Vielen Dank im Voraus
Gruß Marco
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
«
Reply #1 on:
December 01, 2022, 10:41:44 am »
Im Firewall-Live-Log der Sense anschauen, was da blockiert wird?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
ma91it
Newbie
Posts: 4
Karma: 0
Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
«
Reply #2 on:
December 01, 2022, 12:06:01 pm »
Quote from: pmhausen on December 01, 2022, 10:41:44 am
Im Firewall-Live-Log der Sense anschauen, was da blockiert wird?
Danke für deine Antwort, aber das WLAN-Netz darf alles nach extern.
Habe schon via tcpdump geschaut und sehe entsprechend die Anfragen und Replies (No Proposal Chosen kommt dann von der Gegenseite, vermeintlich weil "Infos" fehlen bzw. irgendwas "hineinspuckt"
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
«
Reply #3 on:
December 01, 2022, 12:58:39 pm »
Wie sehen die NAT-Regeln aus?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
ma91it
Newbie
Posts: 4
Karma: 0
Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
«
Reply #4 on:
December 01, 2022, 02:15:49 pm »
Manual outbound NAT rule generation
(no automatic rules are being generated)
1. NAT-Rule:
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
WAN WLAN_xyz net * Bintec_Router * X.X.X.X (second. WAN) * YES
Wie beschrieben, Static Port hatte ich schon an und aus, das machte keinen Unterscheid.
Gruß Marco
Logged
ma91it
Newbie
Posts: 4
Karma: 0
Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
«
Reply #5 on:
December 06, 2022, 12:10:59 pm »
Hallo Zusammen,
hättet ihr noch Ansätze, wie man das Problem beheben könnte?
Danke
Gruß Marco
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW
«
Reply #6 on:
December 06, 2022, 12:56:56 pm »
tcpdump anwerfen und gucken, was da passiert.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Verbindungsprobleme mit Client-IPsec zu Bintec via OpnSense-FW