Opnsense per IPSec an SwyxonCloud

Started by magicas, April 17, 2023, 04:59:38 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
April 17, 2023, 04:59:38 PM
Ich habe von der Telekom die Vorgaben (VPN12.pdf) bekommen.

dann habe ich folgende Konfiguration eingestellt (VPN345.pdf)
Der tunnel wird kurzfristig aufgebaut die identitäten werden gegeinander geprüft und für gut befunden und dann kommt der Abbruch.
Kann mir jemand helfen was mach ich falsch?

auszug aus dem log
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> failed to establish CHILD_SA, keeping IKE_SA   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> received TS_UNACCEPTABLE notify, no CHILD_SA built   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> maximum IKE_SA lifetime 14828s   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> scheduling rekeying in 13388s   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> IKE_SA con1[1] established between 80.152.253.227[office4569@k2710087912.de]...89.184.168.109[tunnel@swyxon.com]   
2023-04-17T16:57:00   Informational   charon   05[IKE] <con1|1> authentication of 'tunnel@swyxon.com' with pre-shared key successful
April 17, 2023, 05:00:29 PM #1
wegen zu grosser Datei ein 2 ter Post
April 19, 2023, 05:57:39 PM #2

Keiner eine Idee ??? einen Ansatz für eine Lösung ???
July 10, 2023, 04:37:13 PM #3
Wirklich kein IPSEC profi unter euch der mir da helfen könnte ???
July 10, 2023, 04:47:42 PM #4
Laut der Doku von denen ist das Remote Network 100.70.5.84/32 oder lese ich das falsch?
Und für dein LAN Subnet musst du 192.168.0.0/24 nehmen. Steht auch in deren Doku.

Wenn ich das Dokument falsch interpretiere, brauchts mehr Info.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2023, 09:43:15 AM #5
Hallo pmhausen.

das siehst du richtig.
aber die VPN Gegenstelle soll anscheinend über die URL 6rnoachj1p43.vpn.swyxon.com (89.184.168.109) angesprochen werden. steht auch in der Doku
July 11, 2023, 10:20:42 AM #6
Das ist der Remote Gateway, nicht das Remote Network. In deiner OPNsense Konfiguration müssen beim Local und Remote Network die beiden Netze stehen, die ich aus der Doku zitiert habe. Und nur die. Sobald die beiden Seiten einer IPsec Verbindung hier nicht konsistent sind, kommt kein Tunnel zustande.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2023, 11:20:46 AM #7
ich stell mich vielleicht doof an.
könntest du die Konfig einmal testweise eingeben und mir posten?
July 11, 2023, 12:32:23 PM #8
Siehe Screenshot. Die Daten, die in dem PDF von denen drin standen musst du bei deiner OPNsense eintragen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2023, 03:46:17 PM #9
Ich habe das so eingestellt aber keinen Erfolg.
siehe Bild im Anhang
July 11, 2023, 03:59:49 PM #10
Und was sagt deren Support?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2023, 04:08:37 PM #11
Das ist die Telekom die sich bei Swyx eingemietet hat.
Da kommt als Auskunft nur an dem Cisco auf Swyx Seite kann nichts verändert werden.
July 11, 2023, 04:14:54 PM #12
Aber die müssten ja bei sich was sehen, weshalb die Aushandlung fehlschlägt. Sonst besorg dir einen Dienstleister, das ist mir zu unübersixhtlich für mal eben übers Forum. Oder komm am Freitag in die User Group, dann schauen wir mal ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2023, 07:01:14 PM #13
Ich denke etwas stimmt nicht mit der Lifetime in Phase 1, was hast du da angegeben, sieht man nicht in deinem PDF.
July 12, 2023, 04:01:09 PM #14
lifetime 86400
Print
Go Up Pages1 2
User actions