S2S ipsec VPN

Started by sansch, March 28, 2025, 03:05:03 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 28, 2025, 03:05:03 PM
Ich versuche einen ipsec S2S VPN Tunnel zwischen einer OPNsense (bei mir) und einer Cisco zu erstellen. Derzeit läuft hier eine Sophos XG, die dringend ersetzt werden muss.
Den Tunnel habe ich mit Connections erstellt, er stet auch stabil, jedoch bekomme ich keine Pakete durch den Tunnel. Ich habe vom Dienstleister ein detailliertes VPN Worksheet, habe dies mehrfach durchgearbeitet jedoch finde ich nicht wo das Problem liegt.

Code Select
ipsec statusall
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Status of IKE charon daemon (strongSwan 5.9.14, FreeBSD 14.2-RELEASE-p2, amd64):
  uptime: 93 seconds, since Mar 28 14:59:23 2025
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
  loaded plugins: charon aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 pgp dnskey sshkey pem openssl pkcs8 fips-prf curve25519 xcbc cmac hmac kdf gcm drbg curl attr kernel-pfkey kernel-pfroute resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam whitelist addrblock counters
Listening IP addresses:
  192.168.178.22
  172.19.43.193
Connections:
db136cab-b2fe-4ef8-84c6-8fefda905ce4:  192.168.178.22...80.250.128.36  IKEv2, dpddelay=30s
db136cab-b2fe-4ef8-84c6-8fefda905ce4:   local:  [80.152.236.214] uses pre-shared key authentication
db136cab-b2fe-4ef8-84c6-8fefda905ce4:   remote: [80.250.128.36] uses pre-shared key authentication
73fac2e0-5883-4426-9797-abb7d1d08568:   child:  172.19.219.48/28 === 80.250.136.0/22 TUNNEL, dpdaction=none
879dd632-211c-49b6-bc44-7a1c88f74cb2:   child:  172.19.219.48/28 === 80.250.130.0/23 TUNNEL, dpdaction=none
Security Associations (1 up, 0 connecting):
db136cab-b2fe-4ef8-84c6-8fefda905ce4[1]: ESTABLISHED 92 seconds ago, 192.168.178.22[80.152.236.214]...80.250.128.36[80.250.128.36]
db136cab-b2fe-4ef8-84c6-8fefda905ce4[1]: IKEv2 SPIs: 073dd4f9678f661e_i* 4eed406892ae2d59_r, rekeying in 3 hours
db136cab-b2fe-4ef8-84c6-8fefda905ce4[1]: IKE proposal: AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_4096
73fac2e0-5883-4426-9797-abb7d1d08568{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cc4ee06e_i c893c64e_o
73fac2e0-5883-4426-9797-abb7d1d08568{1}:  AES_CBC_256/HMAC_SHA2_384_192, 0 bytes_i (0 pkts, 92s ago), 0 bytes_o (0 pkts, 92s ago), rekeying in 52 minutes
73fac2e0-5883-4426-9797-abb7d1d08568{1}:   172.19.219.48/28 === 80.250.136.0/22
879dd632-211c-49b6-bc44-7a1c88f74cb2{2}:  INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c5e2a538_i 375adc09_o
879dd632-211c-49b6-bc44-7a1c88f74cb2{2}:  AES_CBC_256/HMAC_SHA2_384_192/MODP_3072, 0 bytes_i (0 pkts, 87s ago), 0 bytes_o (0 pkts, 87s ago), rekeying in 52 minutes
879dd632-211c-49b6-bc44-7a1c88f74cb2{2}:   172.19.219.48/28 === 80.250.130.0/23

der ipsec status sieht für mich ok aus, vermutlich liegt das Problem im NAT, wie kann ich am besten vorgehen?
March 28, 2025, 04:25:18 PM #1
Quote from: sansch on March 28, 2025, 03:05:03 PMder ipsec status sieht für mich ok aus
Dann solltest du vielleicht mal mit dem Dienstleister diesbezüglich Kontakt aufnehmen. Der kennt zumindest die Anforderungen, wir nicht.

Vom Log her könnte ich es mir ausmalen. Ja, sieht soweit okay aus. Auch aufs NAT würde ich das Problem nicht schieben. Deine externe IP hast du ja vermutlich als Identifier im Pre-Shared-Key angegeben, nachdem sie im Log auftaucht. Mehr sollte es nicht brauchen. IKEv2 sollte das automatisch regeln, und der Tunnel steht ja.

Eventuell fehlen auf der Gegenseite Regeln.
Ja, ich weiß, ist ein großer Anbieter, den man für unfehlbar halten möchte. Aber auch mit solchen hatte ich schon meine negativen Erfahrungen gemacht, besonders mit solchen.
March 28, 2025, 04:50:54 PM #2
Hey, danke für die Antwort. Es ist leider nicht so einfach mit dem Anbieter, der lässt sich extrem ungern in die Karten schauen. Das hatte ich damals schon beim erstellen des VPN für die Sophos durch. Nach mehreren Wochen kam ein unscheinbares Schaubild mit einem kleinen Verweis auf eine kleine IP  Adresse zurück. Danach lief der Tunnel...
Für das Theater habe ich diesmal keine Zeit, zumal der Tunnel ja mit der Sophos noch läuft
March 28, 2025, 05:16:42 PM #3
Wenn es mit denselben Einstellungen auf der Sohpos läuft, sollte es natürlich auf OPNsene auch funktionieren.
Aber in dem Log kann ich keinen Fehler erkennen.
March 28, 2025, 05:30:44 PM #4
Wenn du eine Idee hast, was ich dir noch an Daten liefern kann, dann gerne raus damit ;)
March 28, 2025, 05:51:41 PM #5
Wenn das Log nicht mehr hergibt, kannst du auch nicht mehr liefern.
Nach dem werden zwei Tunnel zur Gegenstelle für verschiedene Subnetze aufgebaut. Sieht alles in Ordnung aus.

Das Problem etwas eingrenzen kannst du vielleicht noch, indem du den Traffic auf IPSec anschaust.
Wenn sich da Paket, die an die Remotenetze adressiert sind, zeigen, würde ich das Problem auf der anderen Seite vermuten.
Wenn da nichts ist, könnte es an der IPSec Kongiuration oder am Routing oder an einer Firewall davor liegen.
April 08, 2025, 08:55:12 AM #6
Ich komme einfach nicht weiter mit der VPN Verbindung.
Wie finde ich am besten einen Profi, der sich das mit mir mal gemeinsam anschaut, natürlich gegen Rechnung?
Print
Go Up Pages1
User actions