IPv6 IPSec VPN OPNsense 23.7.7_3

Started by SvL, October 31, 2023, 01:26:50 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 31, 2023, 01:26:50 PM
Hallo zusammen,

ich habe wegen DS-lite IPv6 am WAN (DHCPv6) und im LAN (DHCPv6 und RA) aktiviert. Das funktioniert soweit. Ich möchte gerne über VPN über meinen Internetzugang surfen können, primär wegen Pi-Hole im LAN und schlechter Adblocker-Auswahl auf iOS. Mein Netzwerk sieht wie folgt aus:

Internet -> OPNsense -> Clients

Ich habe IPSec nach dieser Anleitung konfiguriert:

https://administrator.de/forum/opnsense-vpn-ikev2-laeuft-einfach-nicht-5190139942.html#comment-5198246557

und auf IPv6 umgebogen. Am WAN sind die Regeln:

Code Select

Protocol Source Port Destination Port Gateway Schedule
IPv6 ESP * *       WAN address * * *         IPSec ESP
IPv6 TCP/UDP * * WAN address 500 (ISAKMP) * * IPSec ISAKMP
IPv6 TCP/UDP * * WAN address 4500 (IPsec NAT-T) * * ÎPSec NAT-T


und bei IPSec

Code Select

IPv6 * * * LAN net * * *


automatisch hinzugefügt worden.

In der IPSec Mobile Client Konfiguration übergebe ich ein v6 Subnetz und die v6 IP des Pi-hole. Wenn die VPN-Verbindung aufgebaut ist, und ich z.B. wieistmeineip.de/ipv6-test/ aufrufe, wird jedoch die IPv6 und IPv4 LTE IP-Adresse angezeigt. Die Seite internet.nl zeigt beim Test an, das die LTE Nameserver meines Providers genutzt werden.

In iOS (BNordmittel VPN) kann ich jedoch sehen, das die VPN VErbindung zu meiner v6 WAN IP aufgebaut und eine v6 IP aus dem zugewiesenen Pool vergeben wurde.

Im eigentlichen Artikel zum VPN steht folgender Hinweis:

https://administrator.de/tutorial/ipsec-ikev2-vpn-fuer-mobile-benutzer-auf-der-pfsense-oder-opnsense-firewall-einrichten-337198.html

QuoteWer so unter Windows den gesamten Datenverkehr in den Tunnel routet muss, wie oben bereits beschrieben, zusätzlich in der Phase 2 IPsec Konfiguration unter Local network "Network" wählen und eine Wildcard Route mit 0.0.0.0 /0 dort eintragen !
Damit werden dann auch für andere Clients (Apple, Smartphone, etc.) alles in den VPN Tunnel gesendet.
Der Thread Hinweis des Kollegen @justas unten in den weiterführenden Links hat weitere Infos dazu.

Wenn ich das konfiguriere sehe ich im Firewall Live-Log, das die IPsec Default deny / state violation rule getriggert wird und nichts im LAN ankommt.

Wo liegt hier mein Fehler?

Vielen Dank schonmal.
October 31, 2023, 02:16:05 PM #1
Hast du auch die Firewall Regel für IPsec auf Destination Any geändert?
October 31, 2023, 02:56:44 PM #2 Last Edit: October 31, 2023, 03:00:04 PM by Monviech
Hardware:
DEC740
October 31, 2023, 04:37:12 PM #3
Okay, schade. Das wird ja sicher zeitnah kommen, dann teste ich mal Wireguard.

Besten Dank.
Print
Go Up Pages1
User actions