IPsec OPNsense und Lancom hinter einer Fbox

[antiager]

Hallo  opnsensler!

Ich beiße mir gerade die Zähne aus an einer Site to Site Verbindung zwischen einer OPNsense und einem Lancom Router hinter einer Fritzbox.

Ich bin kein IPsec Profi, habe mir aber durch beharrliches Lesen im Forum und mit Hilfe von Mama Google einige funktionierende SITE to SITE Verbindungen zu anderen OPNsenses und Lancom Routern gebaut.

Allerdings scheitere ich an og. Problemstellung OPNsense und Lancom Router hinter einer Fbox - also doppeltes NAT.

Der besagte Lancom kann VPns zu anderen Lancoms etc aufbauen - deshalb denke ich diese Konfiguration der Gegenseite prinzipiell korrekt.

Meine OPNsense hat mehrere Tunnel laufen, sodaß ich denke auch diese Konfig ist prinzipiell in Ordnung.

Og. Verbindung scheitert schon in Phase 1 ich denke es liegt an den Identitäten ohne das genau sagen zu können.

Jetz fragt jeder der das liest was sagt das Log?

Da ist mein nächstes Problem ich kann offensichtlich nicht richtig mit dem IPSEC Log der OPNsense umgehen oder das Log funktioniert nicht richtig.

Stelle ich das Log auf Informational erhalte ich jede Menge Ausgaben aber nichts was auf den Fehler hinweist. Stelle ich beispielsweise auf Error dauert es geraume Zeit und dann erscheint "keine einträge gefunden" stelle ich auf Debug finde ich auch nichts was auf mein Problen hinweist. Alle anderen Optionen des Logs ergeben keine Ausgabe.

Habt Ihr Tipps für mich?

Das wrürde mich sehr freuen!

[uneu]

Du hast eine Weiterleitung der notwendigen Ports in der FB konfiguriert?
Achtung: FB macht selbst IPsec, daher solltest du eingehend (FB) auf andere Ports hören.

Bei doppeltem NAT sollte die Verbindung vom Lancom aufgebaut werden.

Mit Lancom habe ich keine Erfahrung.

[antiager]

Da ich erfolgreich mehrere IP sec Tunnel betreibe gehe ich davon aus, das meine Konfig grundsätzlich korrekt (inkl. Portforwardings) ist.

Ich habe nur das Problem mit dem Lancom hinter der Fbox und eben mit dem Logfile.

[micneu]

1. warum nutz du dann den Lancom nicht ohne die Fritzbox (bin der meinung das die Modelle 178x meist ein VDSL Modem eingebaut haben)
2. Warum hast du vor dem Lancom noch eine Fritzbox?

[antiager]

Auf die Konfiguratoin der Gegenseite habe ich nur bedingt Einfluss.

Der dort befindliche Lancom Router hat kein Modem.

Davon abgesehen findet man diese Konfiguration recht häufig.

Deshalb hätte ich da auch gerne eine Lösung.

[schnipp]

Hast Du IPsec auf der Fritzbox deaktiviert und die Ports UDP/500 und UDP/4500 an den Lancom-Router weitergeleitet? Auf der Opnsense und im Lancom bitte zusätzlich NAT-T aktivieren.

Falls es dann nicht läuft, bitte zunächst prüfen, ob die UDP-Pakete der o.g. Ports auch beim Lancom-Router ankommen

[antiager]

Der Lancom ist Exposed Host der  Fbox also sollte Portforwarding ok sein.

Der Lancom kann Ipsec Tunnel zu anderen Lancoms aufbauen - also funkt die Fbox offensichtlich nicht dazwischen.

Nattraversal ist auf beiden Seiten OPNsense und Lancom aktiv.

Laut Doku der OPNsense ist man IKE2 verwendet Nat-T standardmäßig  immer aktiv.

Der Fehler muss woanders liegen.

[dmark]

Ist das verwendete IPSEC-Protokoll auf beiden Seiten identisch (IKEv1 oder IKEv2)?
Die Verschlüsselung (Algo, Schlüssellänge, DH-Gruppe, HMAC, Aggressive oder Main Mode, ...) müssen auf beiden Seiten matchen.
Die Richtung des Verbindungsaufbaus sollte aufeinander abgestimmt sein. Einer sollte auf die eingehende Verbindung warten, der andere sollte sie initiieren. Beim Lancom ist das die Haltezeit der Verbindung: 0 Sekunden = Warten auf eingehende Verbindung, 9999 Sekunden = Verbindung wird vom Lancom aufgebaut.
Hast du feste oder dynamische IPs? Oder eine Seite fest und die andere dynamisch?

[antiager]

Auf beiden Seiten Ike2. Die Parameter müssten stimmen, ich habe das 2000 mal überprüft. Die Werte sind aus einem anderen Tunnel wo erfolgreich ein ne Verbindung zu einem LANCOM hergestellt wird übernommen.

Der Unterschied ist, das der LANCOM bei dem es nicht funktioniert hinter einer Fbox steht. Also die externe Ipadresse des Lancoms ist eine private Ip aus dem Netz der Fbox 192.168.178.2. Die Fbox stellt die Inetverbindung her und hat die eigentliche externe Ipadresse.

Ich denke hier liegt der ,,Hund begraben".

[Patrick M. Hausen]

Was hat der Lancom für eine ID für Phase 1? Hier muss dann die externe IP-Adresse rein.

[antiager]

Welche Ip die vom LANCOM oder die von der Fbox?

[Patrick M. Hausen]

Die externe von der Fritzbox, die du auf der anderen Seite als Peer angegeben hast.

[schnipp]

Der Lancom ist Exposed Host der  Fbox also sollte Portforwarding ok sein.

Sollte auf der Fritzbox der IPsec-Dienst aktiv sein, wird die Fritzbox den UDP-Port 500 (und ggf. 4500) terminieren und nicht an den exposed Host weiterleiten. Dann wäre eine Initiierung des IKE-Handshake nur ausgehend möglich.

Der Lancom kann Ipsec Tunnel zu anderen Lancoms aufbauen - also funkt die Fbox offensichtlich nicht dazwischen.

Siehe oben.

Nattraversal ist auf beiden Seiten OPNsense und Lancom aktiv.

Laut Doku der OPNsense ist man IKE2 verwendet Nat-T standardmäßig  immer aktiv.

Nein. Die Erkennung für NAT-T ist bei IKEv2 standardmäßig aktiv. Damit NAT-T funktioniert, müssen es beide Endpunkte jedoch im IKE-Handshake signalisieren und eine Kommunikation über UDP-Port 4500 möglich sein.

Am einfachsten ist es, ein Netzwerkdiagramm und die Konfiguration bereitzustellen. Weiterhin kann eine Überprüfung der IKE-Kommunikation mittels Wireshark hilfreich sein. Ohne detaillierte Informationen ist eine Hilfe schwierig.

[antiager]

ok!

Danke für die Infos!

Ich werde nochmal "Hand an Fritzbox anlegen!".

[dmark]

IKEv2 zwischen Lancom und OPNsense funktioniert prinzipiell, das hatte ich schon einmal am Laufen. Bei deiner Situation "Lancom hinter Fritzbox" würde ich den Lancom die Verbindung aufbauen lassen. Also Haltezeit der Verbindung = 9999.

Den Verbindungsaufbau am Lancom kann man per SSH tracen: "trace # vpn-status" schaltet das Tracen ein und auch (bei erneuter Eingabe) wieder aus. Der VPN-Log in der Sense für die andere Seite dürfte klar sein?