Opnsense per IPSec an SwyxonCloud

[magicas]

Ich habe von der Telekom die Vorgaben (VPN12.pdf) bekommen.

dann habe ich folgende Konfiguration eingestellt (VPN345.pdf)
Der tunnel wird kurzfristig aufgebaut die identitäten werden gegeinander geprüft und für gut befunden und dann kommt der Abbruch.
Kann mir jemand helfen was mach ich falsch?

auszug aus dem log
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> failed to establish CHILD_SA, keeping IKE_SA   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> received TS_UNACCEPTABLE notify, no CHILD_SA built   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> maximum IKE_SA lifetime 14828s   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> scheduling rekeying in 13388s   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> IKE_SA con1[1] established between 80.152.253.227[office4569@k2710087912.de]...89.184.168.109[tunnel@swyxon.com]   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> authentication of 'tunnel@swyxon.com' with pre-shared key successful

[magicas]

wegen zu grosser Datei ein 2 ter Post

[magicas]

Keiner eine Idee einen Ansatz für eine Lösung

[magicas]

Wirklich kein IPSEC profi unter euch der mir da helfen könnte

[Patrick M. Hausen]

Laut der Doku von denen ist das Remote Network 100.70.5.84/32 oder lese ich das falsch?
Und für dein LAN Subnet musst du 192.168.0.0/24 nehmen. Steht auch in deren Doku.

Wenn ich das Dokument falsch interpretiere, brauchts mehr Info.

[magicas]

Hallo pmhausen.

das siehst du richtig.
aber die VPN Gegenstelle soll anscheinend über die URL 6rnoachj1p43.vpn.swyxon.com (89.184.168.109) angesprochen werden. steht auch in der Doku

[Patrick M. Hausen]

Das ist der Remote Gateway, nicht das Remote Network. In deiner OPNsense Konfiguration müssen beim Local und Remote Network die beiden Netze stehen, die ich aus der Doku zitiert habe. Und nur die. Sobald die beiden Seiten einer IPsec Verbindung hier nicht konsistent sind, kommt kein Tunnel zustande.

[magicas]

ich stell mich vielleicht doof an.
könntest du die Konfig einmal testweise eingeben und mir posten?

[Patrick M. Hausen]

Siehe Screenshot. Die Daten, die in dem PDF von denen drin standen musst du bei deiner OPNsense eintragen.

[magicas]

Ich habe das so eingestellt aber keinen Erfolg.
siehe Bild im Anhang

[Patrick M. Hausen]

Und was sagt deren Support?

[magicas]

Das ist die Telekom die sich bei Swyx eingemietet hat.
Da kommt als Auskunft nur an dem Cisco auf Swyx Seite kann nichts verändert werden.

[Patrick M. Hausen]

Aber die müssten ja bei sich was sehen, weshalb die Aushandlung fehlschlägt. Sonst besorg dir einen Dienstleister, das ist mir zu unübersixhtlich für mal eben übers Forum. Oder komm am Freitag in die User Group, dann schauen wir mal ...

[vpx23]

Ich denke etwas stimmt nicht mit der Lifetime in Phase 1, was hast du da angegeben, sieht man nicht in deinem PDF.

[magicas]

lifetime 86400