Site-to-Site VPN (IPSec / IKEv2) zwischen OPNsense (Hetzner) und Sophos (Büro)

Started by csaeum, June 16, 2025, 03:56:22 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 16, 2025, 03:56:22 PM
Hallo zusammen,

ich versuche aktuell eine Site-to-Site VPN-Verbindung per IPSec mit IKEv2 zwischen einer OPNsense-Firewall (bei Hetzner) und einer Sophos-Firewall (bei uns im Büro) herzustellen. Ich arbeite mit der neuesten OPNsense-Version und möchte ausschließlich die neue Oberfläche verwenden – also keine Legacy-Konfiguration, da diese bald entfällt.
Ausgangslage:

    Büro:

        Zwei Internetanschlüsse (DSL)

            Anschluss A

            Anschluss B

        Internes Netzwerk: 192.168.239.0/24

        Sophos-Firewall mit 2 IPSec-Verbindungen (für Redundanz)

    Hetzner (VServer):

        OPNsense-Firewall mit 2 nachgelagerten Servern:

            TA-Proxy

            TA-Master

        LAN-Netz: 10.0.0.0/32

    Geplante Tunnel-Interfaces:

Verbindung   Hetzner IP   Büro IP
PBX Default Tunnel   10.100.1.2/30   10.100.1.1/30
PBX Backup Tunnel   10.100.2.2/30   10.100.2.1/30
Ziel:

Die OPNsense bei Hetzner soll zwei Site-2-Site-Verbindungen zum Büro aufbauen – je eine pro Internetleitung (A und B). Damit soll im Fehlerfall automatisch umgeschaltet werden können.
ASCII-Netzwerkdiagramm:

                     +--------------------+
                     |     Büro           |
                     +---------+----------+
                               |
         +---------------------+---------------------+
         |                                           |
  [DSL Leitung A]                              [DSL Leitung B]
         |                                           |
+--------+--------+                        +--------+--------+
|     Sophos FW   |                        |     Sophos FW   |
|   (Büroseite)    |                        |   (Büroseite)    |
|  192.168.239.x   |                        |  192.168.239.x   |
+--------+--------+                        +--------+--------+
         |                                           |
         |            Site-to-Site VPN               |
         |       (IKEv2 / IPSec jeweils 1 Tunnel)    |
         |                                           |
+--------v--------+                        +--------v--------+
| PBX Default     |                        | PBX Backup      |
| 10.100.1.1/30   |                        | 10.100.2.1/30    |
+-----------------+                        +-----------------+

        <================ Internet (Failover) ================>

+-----------------+                        +-----------------+
| PBX Default     |                        | PBX Backup      |
| 10.100.1.2/30   |                        | 10.100.2.2/30    |
|     OPNsense    | <---- Hetzner VServer ----> OPNsense     |
|     Firewall    |                        |   (gleiche FW)   |
+--------+--------+                        +--------+--------+
         |               

                       Hetzner Internes LAN
    +----v----+                                 +----v----+
    | TA Proxy|---------------------------------| TA Master|
    +---------+                                 +----------+
       LAN: 10.0.0.0/32 (Hinter OPNsense)

Problemstellung:

Unser Dienstleister ist mit OPNsense (v.a. der neuen GUI) nicht vertraut.
Daher suchen wir jemanden, der uns beim korrekten Aufbau der Tunnel-Konfiguration auf OPNsense-Seite unterstützen kann – speziell:

    IPSec mit IKEv2 – modern und GUI-basiert

    Zwei Tunnel mit identischer Phase 1, aber unterschiedlichem Gateway

    Korrekte Einrichtung der Phase 2 (für z.B. 192.168.239.0/24 <=> 10.0.0.0/32)

    Optional: Hinweise zur Failover-Steuerung auf OPNsense-Seite (z. B. Routing-Prio oder Monitoring via Gateway-Group)

Frage:

Wer kann mir helfen, die OPNsense-seitigen Einstellungen korrekt aufzusetzen?
Sobald die Tunnel stehen, bekomme ich gemeinsam mit dem Dienstleister das Routing geregelt.

Vielen Dank vorab für eure Unterstützung! 🙏
June 17, 2025, 04:23:10 PM #1
Quote from: csaeum on June 16, 2025, 03:56:22 PMZwei Tunnel mit identischer Phase 1, aber unterschiedlichem Gateway

Kurze Rückfrage: Was genau ist damit gemeint? Identische P1 aber unterschiedlichem GW? Also selbes Gerät über zwei unterschiedliche IPs?

Wäre es da statt classic P2 VPNs nicht einfacher zwei VTI (routed IPSEC) anzulegen und dann auf der Sense da nen Failover Gateway drüber zu packen? Oder kann das die Sophos nicht?

Ansonsten wir das bei IPsec ohne Hilfsmittel m.E. ziemlich bastelig. Automatisch geht da meine ich wenig - oder was stellt die Sophos da für Werkzeuge zur Verfügung, dass sie automagisch einen IPsec Tunnel auf einen anderen umschaltet? Da stecke ich in der Sophos zu wenig drin.

Cheers
 \jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 23, 2025, 09:18:14 AM #2
Ja so sagte es mir der Dienstleister.

wir haben eine gleiche Verschlüsselung aber 2 Gateways die vom Büro ins Internet und somit zur OpnSense gehen.

Oder reden wir gerade aneinander vorbei, das ich deine Frage nicht richtig verstehe.
June 23, 2025, 07:26:01 PM #3
Hallo csaeum,

warum so kompliziert?
Ich habe verstanden du möchtes nur einen Failover haben, falls eine deiner DSL-Leitungen ausfällt. Du hast 1-VServer bei Hetzner und 1 Sophos die erkennt wenn eine DSL-Leitung aufgefallen ist.
Warum  baust du nicht von der Sophos den Tunnel zur Opensens auf? Wenn die Master-DSL-Leitung down ist, dann kann die So. automatisch auf die Backup-DSL-Leitung gehen.
Das  der vServer bei Hetzner nicht erreichbar ist, das ist unwarscheinlicher als ein DSL-Ausfall.
Evt.  bis  du mit einem andern  VPN-Protokoll besser dran, aber da weiß ich nicht was die Sophos unterstüzt.
June 23, 2025, 09:03:40 PM #4 Last Edit: June 24, 2025, 07:08:07 PM by Patrick M. Hausen
Ich hab mit einer geschäftskritischen Installation für einen Kunden, also wirklich Arbeit reingesteckt ohne Ende, übrigens keinen stabilen Tunnel zwischen einer Sophos und der OPNsense hingekriegt. Nach jedem Phase 2 Rekey war der Tunnel weg. Neustart von Phase 1 auf der Sophos war das einzige, was half.

Wir haben dann im internen Netz beim Kunden eine OPNsense VM mit nur einem Interface aufgesetzt und Wireguard eingerichtet.

Just saying ... 🙂
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 24, 2025, 06:33:08 PM #5
Hallo Patrick M.  Hausen,

das mit der Sophos hört sich so an als wenn diese das gleich Problem wie Windows hat. Das einzige was bei Windows geholfen hat, war die Zeiten so einzustellen das das Rekeying immer von Windows aus gestartet wird. -> Siehe auch Eintrag in der StronSwan-Doku im Netz.
Print
Go Up Pages1
User actions