Mein eigentliches Problem ist gar nicht mal die Fritzbox selber. Surven, Streamen von Amazon Prime Video, Youtube etc. läuft auch mit der Fritzbox super.Ich habe aber das Problem, dass ich mich nicht meinem Arbeitsplatz-Notebook in unser VPN verbinden kann (siehe https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418)...Dies wiederum scheint am Doppel-NAT zu liegen (siehe Reply 1 und Reply 5 in dem Thread). Daher bin ich zur Zeit viel am überlegen, die Fritzbox komplett rauszunehmen und ein ordentliches Setup mit OPNSense zu fahren.[...]
Der Checkpoint Mobile verwendet IPSec als Protokoll. Wenn es wirklich nur über NAT klemmt, dann sind Server und Client vermutlich nicht für NAT-T konfiguriert und verwenden natives IPSec. In einem solchen Fall muss jede NAT-Instanz selbst „IPSec-Passthrough“ unterstützen. Je nach Implementierung funktioniert dies auch nur mit einer gleichzeitigen Verbindung zu demselben Ziel.Am besten ist es, den IPSec-Handshake einmal mit Wireshark aufzuzeichnen.
Hallo also das Thema ist recht einfach. Habe es selber am laufen, Modem besorgen, bei Vodafon anrufen die MAC von dem Modem freischalten lassen, das Gerät anstecken, irgendeine Seite Aufrufen. Man wird dann auf die Rgistrierung für das Modem geleitet gibt nochmal die MAC ein und den Freischaltcodeden man irgendwann mal bekommen hat oder lässt sich einen neuen schicken... und dann ist man drin. Was du dann an das Modem hängt ist dir überlassen. Das Gerät nsch dem Modem bekommt die öffentliche IP. Ich hab die Sense dran. Wichtig nur, in der Konfiguration den Zugriff nur über LAN einstellen. Sonst geht das auch von außen. Ich hab meine sense mit normal lan und gast konfiguriert. Sogar der wireguard geht super. Bild im Anhang. Die FB dient aktuell nur als WLAN AP.
Danke dir für die ausführliche Rückmeldung. Wireshark wird leider bei mir ein Problem werden, weil ich auf dem FIrmen-Notebook zwar Admin-Rechte habe und somit Wireshark instalieren könnte, allerdings vermutlich die IT-Securoty Abteilung nicht so begeistern davon wäre (arbeite bei ner VW-Konzern-Tochter)......
Ich hatte schon den Diensleister - welcher für die Checkpoint Mobile Sachen zuständig ist - kontaktiert, da wir zur Zeit auf ZScaler Client VPN migrieren und angefragt, ob es damit vielleicht weniger Probleme gibt. Leider konnte man mir da nicht sagen, ob mein Problem damit eher behoben wird.
Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.
Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?
Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.
Das wäre natürlich sehr sehr cool 😍
Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:TCP/443UDP/443
BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 angesehen. Dort scheint einiges nicht ganz richtig zu sein:Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurückFalls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier weitere Infos zur Diagnose
