IPSEC Rätsel

Started by SEi, February 11, 2017, 05:27:43 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 11, 2017, 05:27:43 PM
Hallo zusammen,

ich habe seit gestern OPNsense 17.1.1 amd64 auf einer Black Dwarf laufen. Die Installation hat super funktioniert und ich bin mit allem glücklich. Tolle Arbeit! :)
Eine Sache gibt mir allerdings Rätsel auf. Vielleicht habe ich aber auch nur etwas triviales vergessen.
Ich bekomme keine Pakete über meinen IPSec-Tunnel.
Szenario: OPNsense WAN PPPoE, LAN privates Netz, Remote VPS mit fester IP-Adresse.
IPsec-VPN zwischen OPNsense und dem VPS auf Basis IKEv2 mit Zertifikat-Authentifizierung.
Der Tunnel wird aufgebaut, ipsec statusall sagt auf beiden Rechnern (FW und VPS) ESTABLISHED... INSTALLED ... lokale IP === Remote
Ich bekomme allerdings keinen Ping oder SSH durch den Tunnel, weder von der Firewall noch vom LAN.
Mit tcpdump sehe ich ipsec-Pakete jeweils in beide Richtungen.
In den Firewall-Logs steht nichts.
Ich bin mit meinem Latein am Ende  ???
Das gleiche Setup hat mit pfSense funktioniert.
Es funktioniert auch, wenn ich den Tunnel über einen Linux-Server mit strongswan im LAN hinter der Firewall über Port-Forwards aufbaue. Allerdings hätte ich den Tunnel lieber über die Firewall laufen, das macht das Routing einfacher.
Ich bin für jede Idee dankbar.

Viele Grüße
Sven
February 11, 2017, 05:47:51 PM #1
Hey hey,

ich kann dir zum IPsec leider nicht viel sagen, aber....

Quote
[...]In den Firewall-Logs steht nichts. [...]

Hattest du versucht an das Ende deines Regelwerks mal eine "DENY ANY ANY" Regel einzufügen?
Beim erstellen dieser Regel, dann darauf achten das Häkchen zum Loggen zu aktivieren.
Wenn du dann in den Firewall Logs schaust siehst du, welche Pakete abgeblockt werden.
Wenn da nichts ist, kann man zu mindestens das Regelwerk als Fehlerquelle ausschließen.
Oder anders, mal eine ALLOW ANY ANY Regel zum Test einfügen und schauen ob es funktioniert.
Fällt dir da irgendwas seltsames auf? :)

Schöne Grüße
Oxy
February 11, 2017, 05:58:15 PM #2
Danke für die schnelle Antwort, hilft mir allerdings nicht wirklich weiter.

Es existiert doch für jedes Interface eine implizite "Default deny rule" und Log-Einträge davon sehe, wenn ich die entsprechende Logging-Option setze.
allow log LAN to VPS ICMP loggt mir entsprechende Ping-Versuche ausgehend. Aber der VPS scheint das ipsec-Paket nicht zu wollen.
February 11, 2017, 08:10:37 PM #3
..einer der Gründe, warum ich IPsec irgendwann gegen openVPN getauscht habe... Manchmal musste auch ein neuer Tunnel ein paar Stunden laufen, bevor Pakete befördert wurden. :-/

Mal auf beiden Seiten rebooten und etwas warten. Route für den Tunnel stehtauf beiden Seiten? (Wirklich in der Liste?)
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
February 12, 2017, 05:43:53 PM #4
Ich verweise mal auf

https://forum.opnsense.org/index.php?topic=4385.msg17112#new

ich hab aktuell auch kein funktionierendes IPSec
February 12, 2017, 06:51:54 PM #5
Es sollte in den Firewallregeln einen Tab IPsec geben, wie sehen die Regeln aus?
February 13, 2017, 11:19:10 AM #6
Aktuell ist das Buggy (Siehe https://forum.opnsense.org/index.php?topic=4313.0)

Zumindest der dort beschriebene WorkArround funktioniert
February 13, 2017, 02:36:31 PM #7
Danke für die Antworten!
Mittlerweile bin ich auf OpenVPN umgestiegen.
February 13, 2017, 05:38:18 PM #8
Hallo zusammen,

die 16.7 amd64 lief bei mir ohne Probleme auf meiner apu2...nach einem Upgrade auf 17.1 war auch noch alles in Ordnung...doch mit dem Upgrade auf die 17.1.1 ging es auch bei mir los...
Ping ja...ssh und der Rest war nicht moeglich ???
Sobald ich in der Oberflaeche etwas geaendert habe verschwindet das Interface enc0...egal wo oder was.

Aber es laeuft wieder...ich habe folgendes gemacht...
auf der Konsole das Interface enc0 Haendich wieder hinzugefügt und das Board neu gestartet.
Danach ging ping aber der Rest mal wieder nicht...nach einem /usr/local/etc/rc.reload_interfaces und ein ipsec restart war dann alles wieder in Ordnung  ;D

Der Befehl ipsec restart verwirrt mich etwas  :-\ ich bekomme auf der Konsole folgende Meldung...

Stopping strongSwan IPsec...
Starting weakSwan 5.5.1 IPsec [starter]...

ist das normal :o Ich bin im Bereich FreeBSD ein Neuling kann also mit Fachbegriffen nicht viel anfangen ;D

Ich habe auch den Parameter net.pf.share_forward=0 in die Tunables eingetragen.
Habe jetzt ohne etwas zu aendern mal neu gebootet und das Interface war noch da 8)
Aber ohne ein rc.reload_interfaces und ipsec restart geht da nix :( :(

In der rules.debug fehlen auch die ganzen VPN Rules vor den beiden Aufrufen. :o

Gruß
Print
Go Up Pages1
User actions