IPSec site2site neues Setup Mehrfachverbindungen.

Started by gfroehlich, Today at 01:34:08 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 01:34:08 PM
Hallo Forum,
hab in meiner Firma 4 Standorte, drei sind mit OPNSense ausgestattet, einer mit einer FritzBox (leider).
Die Standorte sind bisher über IPSec verbunden mit dem alten Legacy Setup (VPN: IPsec: Tunneleinstellungen [veraltet]) mit eine PSK Authentifizierung. Das läuft seit ca. 2 Jahren problemlos.
IPSec würde ich gerne beibehalten, da die Bandbreiten eher schlecht sind und daher der Durchsatz in der FW nicht der Engpass ist.

Mit dem neuen Setup (VPN: IPsec: Verbindungen) hab ich es noch nicht geschafft eine zweite Verbindung zum laufen zu bringen. Mich macht daher der Hinweis, dass das alte Setup bald nicht mehr unterstützt wird, zunehmend nervös. 
Wenn zwei Verbindungen auf einer Box definiert sind, funktioniert immer nur die eine oder die andere, nie beide. Das hängt mit der Zuordnung der PSK's zusammen, eine Gegenstelle zeigt immer einen Authentifizierungsfehler an.
Es scheint als würde nur der Lokale Bezeichner des PSK für die Auswahl herangezogen werden. Die sind aber beides mal gleich, weil es nur eine Public IP (bzw. FQDN) an einem Standort gibt. Der verzweifelte Versuch mit Fake ID's hat klarer Weise auch nicht funktioniert.     

Hab schon einige Varianten von Anleitungen ausprobiert, hat aber noch keine zum Erfolg geführt, bin immer in einer Sackgasse gelandet.

Hat jemand mit dem neuen Setup und der Verbindung von mehr als einem Standort Erfahrung?

Bin für jeden Hinweis dankbar, der mich näher zum Ziel bringt.

Besten Dank im Voraus.   
Today at 03:24:16 PM #1
Hallo,

Quote from: gfroehlich on Today at 01:34:08 PMDer verzweifelte Versuch mit Fake ID's hat klarer Weise auch nicht funktioniert.
Klar ist mir das nicht.
Die ID kann meines Wissens beliebig gewählt werden. Die beiden Seiten müssen sich nur einig sein.
Also deine IP ist bspw. guenter. Dann muss die Remoteseite guenter verifizieren.

Du solltest aber jede Seite auch so einstellen können, dass sie die Remote-ID gar nicht prüft.
Today at 04:36:02 PM #2
das dachte ich eigentlich auch, dass die ID egal ist. Es hat aber nur mit der echten IP bzw. FQDN funktioniert.
Wenn ich die zweite Seite ganz weglassen will, kann ich nur eine PSK anlegen, und müsste die für alle Verbindungen verwenden.

Das hab ich sogar versucht, da war auch immer nur eine Verbindung aktiv.       
Today at 04:45:17 PM #3
Du hast aber die Remote IP und den Remote Identifier für jede Verbindung klar definiert?

Und es sind IKEv2?

Was steht im Log zum Nichtzustandekommen der weiteren Verbindung?
Today at 05:22:29 PM #4
Hallo,
Quote from: viragomann on Today at 03:24:16 PMDu solltest aber jede Seite auch so einstellen können, dass sie die Remote-ID gar nicht prüft.


Hab das noch einmal versucht mit nur einer lokalen und beliebigen ID:
die erste Verbindung funktioniert
die zweite Verbindung scheitert in der Phase 2
    2025-12-05T17:08:24 Informational charon 14[ENC1] <bc3a9532-1130-4c0c-82fc-5b4279feec3a|260> parsed IKE_AUTH response 1 [ IDr AUTH N(TS_UNACCEPT) ]
    ...
    2025-12-05T17:08:24 Informational charon 14[IKE1] <bc3a9532-1130-4c0c-82fc-5b4279feec3a|260> received TS_UNACCEPTABLE notify, no CHILD_SA built
Today at 05:26:07 PM #5
TS sind traffic selectoren. Da stimmen die Netze nicht im Child mit dem was die gegenseite erwartet.
Hardware:
DEC740
Print
Go Up Pages1
User actions