IPSec gegen LTE Router

Started by NDregger, July 13, 2024, 09:10:49 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 13, 2024, 09:10:49 AM
Hallo Freunde der OPNsense,

vermutlich bin ich nur zu doof meine Frage richtig zu formulieren, aber vielleicht könnt ihr mir ja weiterhelfen.

Ich habe ein Problem mit IPsec auf der OPNsense was LTE Router (und wegen Standort geht nichts anders) angeht: Diese haben ja keine öffentliche IP, sprich ich kann sie weder per DynDNS noch Public IP im Setup konfigurieren, nur wie schaffe ich es dann eine eingehende VPN Verbindung einzurichten?

Im Firewall LOG sehe ich von drei IPs eingehende UDP 500 Verbindungen, nur meine Idee einer Einrichtung der Verbindungen mit Dummy DNS Namen und Aktivierung der Option Allow any remote gateway to connect hat bei mir nicht funktioniert.

Wie bekomme ich sowas trotzdem ans laufen? Bei der vorher genutzten Bintec war einfach die Hostadresse der Gegenstelle leer und die Verbindungen wurden efolgreich aufgebaut, nur das erlaubt ja die OPNsense nicht...

Gruß
Norbert
July 13, 2024, 11:10:08 AM #1
QuoteWie bekomme ich sowas trotzdem ans laufen? Bei der vorher genutzten Bintec war einfach die Hostadresse der Gegenstelle leer und die Verbindungen wurden efolgreich aufgebaut, nur das erlaubt ja die OPNsense nicht...
Man kann die Hostadresse auf der OPNsense auf 0.0.0.0 setzen.

Der Verbindungsaufbau sollte dann vom LTE-Router aus in Richtung OPNsense erfolgen.
July 14, 2024, 11:09:14 AM #2
Und wenn ich mehrere dieser Nebenstellen habe? Kann eine Adresse ja nur einmal über alle Tunnel hinweg vergeben (wie ich gerade lernen durfte)


Norbert
July 15, 2024, 02:35:40 PM #3
Das "Ferne Gateway" kann IMHO bei mehreren Verbindungen "0.0.0.0" sein. Die Verbindungen müssen unterschiedliche "Peer Identifier" haben. Die IP-Adresse geht da dann nicht, aber man kann z.B. unterschiedliche E-Mail-Adressen nehmen. Die Mailadresse muss dafür nicht zwingend existieren.
July 31, 2024, 09:43:38 PM #4
Sehe ich das richtig, wird das nur funktionieren wenn wir nicht die klassischen IPsec Verbindungen nehmen sondern auf die neuen Connections wechseln die mit V23.1 eingeführt wurden? Bei den klassischen Verbindungen lässt sich nämliche jede Remote IP nur einmal einrichten...


Gruß
Norbert
Print
Go Up Pages1
User actions