IPSec Site2Site (Connections) mit 2x OPNsense

[cklahn]

Hallo Forum,

in der Dokumentation und in Youtube findet man nur Beispiele, wo beide Seiten eine feste IP haben müssen. Damals unter den Legacy-Einstellungen konnte man auch wählen, welche OPNsense den Verbindungsversuch startet. Damit war es möglich an einem Anschluss, der keine feste öffentliche IP hatte dieser Box zu sagen, dass sie den Verbindungsaufbau initiieren sollte.

Wie kann ich es mit den Connections realisieren?

[Monviech (Cedrik)]

In den einzelnen Children die Start Action auf "None" setzen.

[cklahn]

Ich habe die Einstellungen auf beiden Seiten nochmal neu gemacht und auf der Seite, die keine feste öffentliche IP hat, den Parameter auf "Start" gestellt und auf der anderen Seite mit der öffentlichen IP auf "None".

Der Tunnel kommt ca. für 30s zustande, bricht dann aber wieder ab. Firewall-Regeln sind gesetzt.

Woran könnte es noch haken?

[cklahn]

Kurze Ergänzung:
- die aufbauende OPNsense hängt hinter einer FritzBox, also WAN im FritzBox-Netz
- Im Log der aufbauenden OPNsense steht: "error writing to socket: Can't assign requested address"
- Im LAN-Netz der aufbauenden OPNsense kann ich im Internet surfen, jedoch nicht die feste IP der anderen Seite anpingen

[cklahn]

Ping geht nun, da ich eine FW-Regel auf der WAN-Schnittstelle gesetzt habe, dass ICMP-Requests durchgelassen werden.Das Problem des Tunnels ist aber immer noch da.
Wenn ich google, dann wird gesagt, dass irgendwo nicht die feste IP eingetragen werden muss, sondern die WAN-IP der aufbauenden OPNsense. Habe aber nicht durchdrungen wo. Wäre das ein Ansatz?