IPSec legacy zu new

Started by FWStarter, July 12, 2025, 09:52:43 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
July 12, 2025, 09:52:43 AM
Hallo zusammen,
nutze mehrere OPNsense FW mit IPSec site-2-site Tunnel im Legacy modus. Mit der anstehenden OPNsense Version 26.x soll der Legacy Mode endgültig Geschichte sein. Sah mir gestern den neuen Modus an und muss gestehen, ich kapiere es nicht wie es in der OPNsense Doku beschrieben ist.
Kennt jemand eine Seite die die Konfiguration ausführlichst beschreibt/erklärt?
July 13, 2025, 04:16:26 PM #1
Ich habe eins zu eins die gleiche Frage und leider keine logische Anleitung gefunden.
Händisch das umzusetzten hat kein Ergebnis gebracht.
Vielleicht gibt es hier einen Profi der das gut erklären kann.
(Hoffe das ich mich hier anhängen kann....)
July 13, 2025, 04:51:12 PM #2
Ich habe inzwischen mehrere Tunnel exakt nach der Anleitung in der OPNsense-Doku migriert. Könnt ihr etwas genauer beschreiben, *wo* es hakt?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 13, 2025, 06:17:40 PM #3 Last Edit: July 13, 2025, 06:46:34 PM by WallE
Ich scheitere derzeit schon an dem Punkt bei Phase 1 was bei Local und Remote rein muss. Das jeweilige Netzwerk oder der DNS Name?


NACHTRAG: Habs herausgefunden, der DNS Name, bzw. die "extrerne IP".

Ich werde morgen auch Screenshots einstellen inkl. meiner (etwas neutral) Konfiguration.
Es geht eigentlich doch ganz einfach wenn man es gecheckt hat. Anscheinend bin ich da voll auf der Leitung gesessen. Muss auch gestehen, die Anleitungen bei OPNsense sind auf den ersten Blick mit ihren Beispieladressen und dazu noch ohne Screenshot verwirrend.
July 13, 2025, 06:36:43 PM #4
Die IP Adresse oder der FQDN der Gegenstelle natürlich. Die Tunnel-Netze sind doch Phase 2 ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 13, 2025, 08:57:27 PM #5
Quote from: Patrick M. Hausen on July 13, 2025, 06:36:43 PMDie IP Adresse oder der FQDN der Gegenstelle natürlich. Die Tunnel-Netze sind doch Phase 2 ...

Ja, die Oberfläche ist das verwirrende daran und die Bezeichnung ,,Adresses" bei diesen Feldern.
Jetzt ist zumindest bei mir der Knoten geplatzt...
Danke für die Screenshots
July 15, 2025, 05:03:55 PM #6
Hallo zusammen,
habs inzwischen ebenfalls geschnallt und erfolgreich umgesetzt. Die Menüstrukturierung ist etwas gewühnungsbedürftig... aber so häufig sind Änderungen am VPN Tunnel nicht.
Vermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut. Die OPNsense ist bei mir der Initiator.
Zweiter negativer Punkt, beim aktivieren des IPSec Option wird keine default FW-Regel für ISAKMP angelegt. Dadurch scheitert logischerweise IKE Phase-1. Kann das jemand bestätigen oder war es nur bei meiner Installation so?
July 15, 2025, 05:28:11 PM #7
Quote from: FWStarter on July 15, 2025, 05:03:55 PMVermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut.
Hallo,
hast mal riskiert, den "Advanced Mode" zu aktivieren?

Da tauchen dann zusätzliche Settings auf, unter anderem "DPD delay (s)" und "DPD timeout (s)".
Da sollte das Gesuchte dabei sein.

Aber ich stimme zu, die neue Oberfläche trifft auch meinen Geschmack nicht.
Auch hätte man für grundsätzlich benötigte Optionen typische Standartwerte setzen können.
July 15, 2025, 05:30:22 PM #8
Das ist so, das war aber ein Feature-Request schon für die alte Version - weniger Magie, mehr explizite Konfiguration. Ich finde es ebenfalls besser, die Firewall-Regeln für ISAKMP und IPsec manuell anzulegen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 15, 2025, 07:11:57 PM #9
@Patrick M. Hausen,
bin voll bei dir. Allerdings wird bei mir eine ESP Regel für Port 4500 automatisch angelegt und die für ISAKMP ist manuell anzulegen. Dieser Mix ist Mist und mMn. sollte das System entweder beides oder keines anlegen.
July 15, 2025, 07:22:08 PM #10
Noch eine blöde Frage. Wenn bei IKE1 das Textfeld für "local Addresses" leer bleibt, setzt OPNsense %all ein. Da meine OPNsensen immer hinter einem DSL Router sitzen, wäre es für mich vorteilhafter das WAN Interface zu verwenden. Das blöde hierbei ist, jeder DSL-Router hat einen anderen IP Adressbereich. Gibt es anstatt %all auch eine Variable für WAN?
July 15, 2025, 07:24:28 PM #11
In Firewall-Regeln gibt es den definierten Alias "WAN address", aber ob der beim VPN greift, weiß ich nicht.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 20, 2025, 10:21:38 AM #12
Leider komme ich auch nicht ganz zurecht damit. Ich hatte es mal vor 1 Jahr eingerichtet aber dann immer Abbrüche gehabt.

Jetzt habe ich das neu konfiguriert und bekomme zu mindest eine Connection. Aber es fließt kein Datenverkehr. Log sagt dazu

establishing IKE_SA failed, peer not responding

Jemand eine Idee eventuell?

Noch zur Info. Ich habe beide Methoden noch aktiv und schalte dann immer die eine Alte Verbindung ab bevor ich die Neue Teste.

Also Legacy Verbindung 1 disable und Neue Verbindung 1 enable
July 20, 2025, 12:04:22 PM #13
Quote from: CoolTux on July 20, 2025, 10:21:38 AMLeider komme ich auch nicht ganz zurecht damit. Ich hatte es mal vor 1 Jahr eingerichtet aber dann immer Abbrüche gehabt.

Jetzt habe ich das neu konfiguriert und bekomme zu mindest eine Connection. Aber es fließt kein Datenverkehr. Log sagt dazu

establishing IKE_SA failed, peer not responding

Jemand eine Idee eventuell?

Noch zur Info. Ich habe beide Methoden noch aktiv und schalte dann immer die eine Alte Verbindung ab bevor ich die Neue Teste.

Also Legacy Verbindung 1 disable und Neue Verbindung 1 enable

Code Select
2025-07-20T11:59:42    Informational    charon    04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> establishing IKE_SA failed, peer not responding   
2025-07-20T11:59:42    Informational    charon    04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> giving up after 5 retransmits   
2025-07-20T11:58:27    Informational    charon    16[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:58:27    Informational    charon    16[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 5 of request message ID 0, seq 1   
2025-07-20T11:57:45    Informational    charon    07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:57:45    Informational    charon    07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 4 of request message ID 0, seq 1   
2025-07-20T11:57:21    Informational    charon    07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:57:21    Informational    charon    07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 3 of request message ID 0, seq 1   
2025-07-20T11:57:09    Informational    charon    07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:57:09    Informational    charon    07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 2 of request message ID 0, seq 1   
2025-07-20T11:57:01    Informational    charon    04[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:57:01    Informational    charon    04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending retransmit 1 of request message ID 0, seq 1   
2025-07-20T11:56:57    Informational    charon    04[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:56:57    Informational    charon    04[ENC] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]   
2025-07-20T11:56:57    Informational    charon    04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|4> initiating Aggressive Mode IKE_SA 7cb1f566-93ac-4c99-abb8-1c3da9ae6952[4] to 41.8.234.34   
2025-07-20T11:56:57    Informational    charon    04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> destroying IKE_SA in state CONNECTING without notification   
2025-07-20T11:56:57    Informational    charon    04[CFG] updated vici connection: 7cb1f566-93ac-4c99-abb8-1c3da9ae6952   
2025-07-20T11:56:38    Informational    charon    05[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:56:38    Informational    charon    05[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 5 of request message ID 0, seq 1   
2025-07-20T11:55:56    Informational    charon    07[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:55:56    Informational    charon    07[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 4 of request message ID 0, seq 1   
2025-07-20T11:55:32    Informational    charon    04[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:55:32    Informational    charon    04[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 3 of request message ID 0, seq 1   
2025-07-20T11:55:19    Informational    charon    11[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:55:19    Informational    charon    11[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 2 of request message ID 0, seq 1   
2025-07-20T11:55:12    Informational    charon    13[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:55:12    Informational    charon    13[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending retransmit 1 of request message ID 0, seq 1   
2025-07-20T11:55:08    Informational    charon    12[NET] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> sending packet: from 65.108.239.174[500] to 41.8.234.34[500] (331 bytes)   
2025-07-20T11:55:08    Informational    charon    12[ENC] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]   
2025-07-20T11:55:08    Informational    charon    12[IKE] <7cb1f566-93ac-4c99-abb8-1c3da9ae6952|1> initiating Aggressive Mode IKE_SA 7cb1f566-93ac-4c99-abb8-1c3da9ae6952[1] to 41.8.234.34   
2025-07-20T11:55:08    Informational    charon    12[CFG] added vici connection: 7cb1f566-93ac-4c99-abb8-1c3da9ae6952

Hier mal ein Log. Anscheinend klappt die Phase2 nicht
July 20, 2025, 02:07:04 PM #14
Hier klappt doch nicht die IKE_SA, also Phase1.
Hardware:
DEC740
Print
Go Up Pages1 2
User actions