Opnsense per IPSec an SwyxonCloud

[vpx23]

OK, dann ist das doch in Ordnung. Aber den Fehler TS_UNACCEPTABLE dürftest du ja jetzt nicht mehr bekommen?

Das TS steht ja einfach für target selector, also Zielauswahl für die lokalen Netze, die haben vorher nicht übereingestimmt.

Funktioniert es jetzt oder gibt es einen neuen Fehler?

[magicas]

Hallo Leute!
Da ich nach wie vor nicht weiterkomme dachte ich ich zäum das Pferd von der anderen Seite auf.

Der Grund Gedanke war ja einen "alten" Lancom Router auszumustern da dieser nicht mehr supportet wird.
 
Ich habe mal ein PDF zusammengestellt wie auf dem Lancom der Tunnel aussieht und auch funktioniert.

Daher mein Gedanke es kann doch nicht sein das ein alter Lancom Router es hinbekommt und eine Opnsense nicht.

Bitte helft mir mit euren Gedanken und/oder Hilfestellungen um dieses Problem zu lösen.

Die Telekom sagt zwar sie sind offen für Kundenlösungen und gibt die Tunneleinstellungen vor (die auf der Telekom/Swyx Seite nicht änderbar sind) aber gibt dazu keinerlei weirtere Hilfestellung.

[Patrick M. Hausen]

Ich hab doch gesagt, komm Freitag Nachmittag zum Online-Stammtisch und wir flicken das remote ...

Das sind einfach zu viel Schrauben auf einmal, um das mit dauernd Hin und Her im Forum aufzudröseln. Ich mach seit 25 Jahren IPsec-VPNs, ich gehe davon aus, dass ich das hin kriege.

[magicas]

kannst du mir den Termin und nen Link schicken ?

[Patrick M. Hausen]

Hatte ich auch schon - alle Infos hier:
https://forum.opnsense.org/index.php?topic=18183.0

Diesen Freitag, 17:00

[Patrick M. Hausen]

Ich bin ziemlich sicher, dass die Installation nach heute Abend in allen Kern-Parametern stimmt. Ich würde jetzt zuerst einmal bei der Telekom nachfragen, ob sie Verbindungsaufbau sehen und weshalb ihr Gateway nicht antwortet.

Wenn da eine Antwort kommt, dann gerne weiter hier

[magicas]

Hallo Leute!
nachdem wir im "Stammtisch" meinen Tunnel gebaut hatten habe ich das ganze getestet.
wieder ohne Erfolg. Hab mich dann mit der Telekom angelegt und denen anhand von Logs und Protokollen nachgewiesen das etwas in deren Konfiguration nicht stimmt.
Dort wurde als erstes die Swyx-Instance (virtuell) neu gestartet, ohne Erfolg die Swyx-Instance neu aufgesetzt wieder ohne Erfolg dann wurde das "office" (so heisst das bei denen) neu aufgesetzt mit der Folge das es einen neuen Tunnel mit anderen Daten gibt erstellt.
Ich habe nun in der Sense den Ipsec komplett gelöscht und ipsec auf off gestellt.
Dann habe ich den neuen Tunnel eingetragen Ipsec eingeschaltet und siehe da ich habe von anfang an einen stehenden Tunnel über den auch Traffic läuft.
ABER:
Die Telefone Vor-Ort verbinden sich wieder mit der Swyx und halten diese Verbindung und ich bekomme  ein Amt, und interne Telefonie funktioniert.
aber das war auch schon ads ganze gute was funktioniert, von aussen kommt " Diese Nummer ist zur Zeit nicht erreichbar" und wenn ich raustelefonieren möchte bricht es nach eingabe von 2-3 Zahlen ab und/oder es kommt "keine Leitung verfügbar"
der Tunnel wurde ohne weitere massnahmen in der Firewall angelegt.
Für mich hört sich das so an als wenn noch irgendwas geblockt oder nicht (weiter)geroutet wird.

Dazu irgendwelche Ideen ?

[opn-stb]

Hallo,

Wer registriert die Rufnummern?
War das vorher der Lancom oder werden die Rufnummern direkt in der Swyx registriert?

Kann man in der Management-Console der swyx sehen.

MFG

[magicas]

Vielen Dank
Ich denke das war der entscheidende Tip.
werde ich ausprobieren

[magicas]

Hallo Leute!
Heute hatte ich den Techniker der Telekom am Telefon und habe nun endlich nach langem hin und her den Tunnel zu SWYX sauber am laufen.
Das letzte Problem war das bisher der Lancom die Sip-Verbindung registrierte, das wird nun in der Cloud gemacht.

So weit so gut!
Ich habe alles was wichtig war zum laufen gebracht, wenn auch mit Umständen.

Ich würde noch gerne für den Swyx-Client die "Onlineprüfung" auf Local bekommen, gerade läuft das über den remote.

so wie ich es verstanden habe muss ich bestimmte Ports z.B. 9035 vom Lan ins IPSec-VPN umleiten/routen
hat mir da jemand eine Hilfestellung?

[opn-stb]

Hallo,

was heißt denn "Onlineprüfung"?

Normalerweise wird im SwyxIt!/ Netphone-Client in den Servereinstellungen die lokale IP/ DNS-Name und die Remote-IP/ DNS-Name eingetragen.

Auf der Sense sollte eine statische Route reichen.
Alle Anfrage an die IP der Swyx gehen in den VPN-Tunnel. + evtl. Rückroute

Nichts anderes hat der Lancom früher gemacht.

MFG

[magicas]

Hallo opn-stb

Mit " Onlineprüfung" meinte ich im swyx-client wird die Leitung und/oder die Person grün umrandet wenn er/sie/es online ist.
und diese Prüfung bekomme ich zur Zeit nur mit einer remote einstellung hin. daher meine Frage muss ich noch irgendwas routen und/oder ports forwarden?

Wenn das so ist wie du schreibst mit der Route kannst du mir da weiterhelfen?

[opn-stb]

Hallo,


verstehe, der Präsenz-Status.

Eine statische Route hab ich selber noch nicht eingerichtet.

Evtl. helfen die beiden Suchergebnisse:
https://forum.opnsense.org/index.php?topic=22002.0
https://docs.opnsense.org/manual/routes.html

Hier mal die sehr umfangreiche Liste der genutzten Port der Swyx:
https://service.swyx.net/hc/de/articles/4405210773906-Von-SwyxWare-13-verwendete-Ports

Ich würde zuerst bei der Rubrik SwyxIt!/ FaxClient anfangen.

Evtl. hast du aber schon ein Route, da die sich Telefone ja mit der Swyx verbinden.
Vllt. auch mal im Firewall-Log nach der IP der Swyx filtern, da kommt vllt. ein Anhaltspunkt heraus.


MFG

[magicas]

Hallo opn-stb

Die Seite mit den Ports der Swyx hatte ich schon daraus schloss ich das der Port 9035 mein Problem ist.

Ich schreib mal was ich denke.
also ich habe eine FW mit einem Wan (Telekom PPOE) einem Lan (z.B.192.168.0.1/24)
und sage jetzt ich möchte einen s2s VPN-Tunnel dazu. Dieser wird aufgebaut und steht.
da denke ich muss dieser Tunnel doch schon irgendwie von der FW geroutet sein und nach meiner Denke komplett.
sonst könnte ich ja nicht auf die IP-Range auf der anderen Seite zugreifen. das heisst aber auch der Tunnel ist Teil meines Netzes ich sollte im FW-Log also nichts zu der(swyx) sehen. da ja gleiches oder geroutetes Netz.
ABER:
Bei dieser überlegung sollten ja dann auch alle ports rein wie raus da sein.
jetzt kann nur sein das die Ports nicht da ankommen wo sie sollen da ja zwei netze mit unterschiedlichen IP-Ranges verbunden sind.

Wenn ich jetzt irgendwo einen Denkfehler habe/hatte bitte korrigieren.

Meine weitere Überlegung ist per Aliases die Ports zusammenzufassen und per Aliases die IP´s der Telefongeräte zusammenzufassen und da draus eine Regel von Lan --> Vpn-Tunnel zu erstellen