OPNsense & Sophos / 2x IPsec / 1x immer Fehler

Started by srieder.SweetCity, October 21, 2025, 10:27:48 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 21, 2025, 10:27:48 AM
Hallo zusammen,

ich versuche nun bereits seit geraumer Zeit einem Problem Herr zu werden.
Aber mir gehen die Ideen aus. :-(

Meine Umgebung (angepasste IP's) sieht wie folgt aus....
- 1x OPNsense, App (54.62.208.173)
- 1x Sophos, Bare Metal (54.62.208.166)
- 2x IPsec zwischen den beiden (1x mit 3 Subnetzen, 1x mit 1 Subnetz)

Mein Problem...
2x IPsec zwischen den beiden Endpunkten, Tunnel 1 (3x Subnet) ist immer OK, Tunnel 2 (1x Subnet) trennt sich immer wieder.
Wenn ich beide Verbindungen in einen Tunnel zusammenführe, dann hat dieser Tunnel das Problem von beiden zusammen.
Trenne ich die Subnetze wieder in 2 Tunnel (1x 3 und 1x 1) auf, dann wandert das Problem wieder mit in Tunnel 2.
Den Unterschied scheint eines der Subnetze an der OPNsense zu machen, aber warum bekomme ich dann Fehler zur Authentifizierung, und mal klappt es, dann wieder nicht?!?

Hat jemand eine Idee???
Ich bin inzwsichen für jeden "Strohhalm" dankbar! :-)

October 21, 2025, 10:59:10 AM #1
Hi,

Quote from: srieder.SweetCity on October 21, 2025, 10:27:48 AM- 2x IPsec zwischen den beiden (1x mit 3 Subnetzen, 1x mit 1 Subnetz)

was genau heißt 2x IPsec zwischen den beiden: 2x ein IPsec Tunnel mit exakt gleichen Daten? Warum? Oder was genau ist damit gemeint?

Zu den Logs: bei der OPNsense ist das etwas wenig Log, da sind keine genaueren Infos drin. Zumindest sieht man da IMHO keinen Fehler. Könnte man das Logging erhöhen, aber ich wäre erst einmal an Info zur ersten Frage interessiert. Es gehen nämlich eigentlich keine 2 Tunnel (P1 mit identischen Daten) zwischen den gleichen Endpunkten. Da können die Geräte schlicht nicht zwischen unterscheiden. Darum ist es eigentlich nicht erlaubt. Verstehe auch den Grund nicht ganz, wahrscheinlich wegen dem einen Subnetz, das sich nicht verbinden will? Das ist dann aber das Problem dieser einen Phase 2 und nicht eines, wofür man einen komplett neuen Tunnel baut?

Cheers,
\jegr
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
October 21, 2025, 11:41:27 AM #2
Das kurze Log ist von der Sophos; und die sagt in diesem Fall leider auch nicht mehr, obwohl ich direkt auf ihr angemeldet bin.
Das lange Log ist von der OPNsense.

Zu Deiner frage warum 2 Tunnel,...
Um das Problem (Subnet 172.16.126.2/26 an der OPNsense, mit Verbindung via IPsec, zu 172.19.184.3/24 auf Sophos) zu defineren, und um die Config mit Sophos einfacher zu halten.
Denn wenn ich alles in einen Tunnel mache, dann benötige ich mindestens 3 Einträge mehr; wegen den Subnetzen, die Sophos ansonsten nicht "getrennt" betrachten kann im Routing.
Und wie gesagt, wenn ich nur einen Tunnel mache (mit mehr Einträgen), dann wandert das Problem mit.

Die beiden Tunnel sollten sich momentan beim Aufbau unterscheiden können.
Zumindest funktioniert es ja, da es verschidene Daten (IDs und Kennworter) zur Authentifizierung gibt.

Konnte ich Deine Frage etwas klären?
October 21, 2025, 11:53:10 AM #3
Quote from: srieder.SweetCity on October 21, 2025, 11:41:27 AMUm das Problem (Subnet 172.16.126.2/26 an der OPNsense, mit Verbindung via IPsec, zu 172.19.184.3/24 auf Sophos) zu defineren, und um die Config mit Sophos einfacher zu halten.
Denn wenn ich alles in einen Tunnel mache, dann benötige ich mindestens 3 Einträge mehr; wegen den Subnetzen, die Sophos ansonsten nicht "getrennt" betrachten kann im Routing.
Und wie gesagt, wenn ich nur einen Tunnel mache (mit mehr Einträgen), dann wandert das Problem mit.

Dann sag ichs nochmal: IPsec mit EXAKT IDENTISCHER Phase 1 darf es nicht 2x geben. Du kannst das nicht trennen, weil das kaputt ist. Nur weil sich was aufbaut, heißt nicht, dass das funktioniert. Dass es nicht funktioniert siehst du ja bereits.

Ein Tunnel zwischen 2 Geräten über die exakt gleichen IPs darf nur einmal aufgebaut sein. 2x wäre nur sinnvoll, wenn der 2. bspw. an einer Seite über eine andere Schnittstelle geht (bspw. WAN1<->WAN und WAN2<->WAN auf den Geräten). Aber die gleiche P1 darf es nicht geben, sonst ist das ein Duplikat und je nachdem welcher Hersteller das ist, hüpft der dir im Quadrat und killt die Verbindung.

Die Sophos im Log sagt ein Auth Problem, die OPNsense sagt dir "decrypt" Problem im Log, weil die Pakete in der falschen Phase ankommen (encrypted vom ersten Tunnel, kommen aber nach dem Aufbau von Tunnel 2 im falschen Tunnel an weil die IDs überlagern).

Das macht keinen Sinn, das gehört alles in die gleiche P1 zwischen den gleichen Geräten. Dass die Sophos dann das Problem hat, dass das mit den "3 Einträgen mehr" dann doof gelöst ist -> willkommen bei IPsec und jeder implementiert es anders. Das ist eben leider so. Manche Spieler können Multi-Netze in einer Single Phase 2 abbilden, andere nicht, da muss man jede P2 einzeln definieren und aufbauen. Und AFAIR ist Sophos letzteres und kann das nicht, ergo muss man eben jede Source<->Destination Konstellation in P2 gießen.

Darum auch der Hinweis bei Fragen zu Netzplanung, Design, VLAN etc. immer das Netz so zu planen, dass ichs bspw. bei VPNs als eine große Einheit greifen kann um die Anzahl an P2s (IPsec) oder Routen (OVPN/WG) simpel zu halten.

Cheers :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions