simbea
Goto Top

Ipsec eines LAN-Hosts durch Opnsense leiten

In meinem LAN hängt ein Konnektor (Kocobox) und ein Kartenlesegerät für die Telematik Infrastruktur (Arztpraxis) unter 192.168.1.80 und .81
Dieser Konnektor baut eine IPSEC Verbindung ins Wan auf.

Das Ganze funktionierte mit einer Zywall Firewall mit folgenden Regeln einwandfrei:

LAN-WAN:

Source: 192.168.1.80+192.168.1.81, Destination Adress: any, Service type: TCP/UDP:8443+TCP/UDP:3128+IPSEC_Tunnel ESP:0+IPSEC_TRANSPORT/TUNNEL AH:0+TCP/UDP:53
+UDP:500+TCP/UDP4500+TCP:80+TCP443 (zur Erklärung: bei Zywall lassen sich diese Ports und Protokolle in einer Regel eintragen)

Jetzt versuche ich, da ich die Zywall durch die OPNSENSE ausgetauscht habe die Regel auf die OPNSENSE zu übertragen und scheitere.

Ich habe unter Alias 2 Hosts (192.168.1.80+192.168.1.81) als "_Kocobox" und die Ports 8843, 3128, 53, 80, 443, 500, 4500 als "_telematik zusammengefasst und folgende Regeln erstellt:

1. Protocol IPv4 TCP/UDP, Source _kocobox, port any, destination any, port _telematik
2. Protocol IPv4 ESP , Source _kocobox, port any, destination any, port any
3. Protocol IPv4 AH , Source _kocobox, port any, destination any, port any

Funktioniert leider nicht, den Logs der Kocobox ist zu entnehmen, dass die VPN Verbindung nicht zustande kommt und dummerweise bekomme ich in den Logs der OPNSENSE nicht einen einzigen Eintrag für beide Hosts.

Was mache ich hier falsch?

Content-ID: 490928

Url: https://administrator.de/forum/ipsec-eines-lan-hosts-durch-opnsense-leiten-490928.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 01.09.2019 um 20:09:01 Uhr
Goto Top
Moin,

auch bei der Opensense muss das logging mit, bzw in, einer Regel aktiviert werden.

Gruß
Spirit
Pjordorf
Pjordorf 01.09.2019 um 20:37:11 Uhr
Goto Top
Hallo,

Zitat von @Spirit-of-Eli:
auch bei der Opensense muss das logging mit, bzw in, einer Regel aktiviert werden.
Manche wollen aber keine Logs weil die dann nicht wissen müssen das etwas nicht so ist wie es sollte. Ohne Log-einträge gibts auch keine Fehlerface-smile

Gruß,
Peter
simbea
simbea 01.09.2019 um 23:33:59 Uhr
Goto Top
Nur um Missverständnisse zu vermeiden: Mir gehts hier nicht ums Logging, sondern um die korrekten Firewallregeln, um dem im LAN hängenden Host VPN ins WAN durch die OPNSENSE hindurch zu ermöglichen (siehe Beschreibung im ersten Post)! Im übrigen bekomme ich auch keine Logging Einträge, wenn ich das Logging für die 3 Regeln aktiviere!
simbea
simbea 01.09.2019 um 23:37:57 Uhr
Goto Top
Wenn ich hier im Forum nach VPN suche, finde ich immer nur VPN von Router zu Router, hier gehts aber um einen Host im LAN, der selbstständig das VPN nach draußen aufbaut und derzeit leider von den Regeln der OPNSENSE davon abgehalten wird.
ChriBo
ChriBo 02.09.2019 um 08:05:15 Uhr
Goto Top
Hi,
Im übrigen bekomme ich auch keine Logging Einträge, wenn ich das Logging für die 3 Regeln aktiviere!
Dann stimmt was im allgemeinen bei deinem Setup nicht.
-
Meine Empfehlung für die Firewall Regeln (TCP/UDP war früher bei pfSense fehlerhaft):
1. Pass, IPv4 TCP, Source _kokobox, port any, destination any, port 8843,443,80,3128, log
2. Pass, IPv4 UDP, Source _kokobox, port any, destination any, port 53,500,4500, log
3. Pass, IPv4 ESP , Source _kocobox, port any, destination any, port any, log
4. Pass, IPv4 AH , Source _kocobox, port any, destination any, port any, log ; (wird wahrscheinlich nicht benötigt !)
5. Block IPv4 any, Source _kocobox, port any, destination any, port any, log
..
Letzte Regel. Block IPv4 any, Source any, port any, destination any, port any, log

Mmit diesen Regeln mußt du jegwelche Kommunikation die von der Kokobox aufgebaut wird in den Logs sehen.
ggf. den Unterstrich am Anfang der Aliase entfernen.

CH
aqui
aqui 02.09.2019 um 09:17:38 Uhr
Goto Top
Hier ist alles beschrieben was du zu dem Thema wissen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Du musst bei IPsec immer die folgenden Ports in den Firewall Regeln freigeben:
  • UDP 500 (IKE)
  • UDP 4500 (NAT Traversal)
  • ESP Protokoll (IP Protokoll Nummer 50. Achtung kein TCP oder UDP ! ESP ist ein eigenes IP Protokoll !)
  • (Optional UDP 1701 wenn L2TP mit IPsec)
simbea
simbea 03.09.2019 um 13:40:51 Uhr
Goto Top
Da stehen zwar viele Szenarien beschrieben, aber keines mit einem Rechner im LAN, der das VPN ins WAN selbst aufbaut. Alles nur Router zu Router über VPN oder vom Internet Zugriff über VPN auf den Router.

Meine Kette sieht so aus LAN-Switch-OPNSENSE-Draytec Vigor. Also keine Router Kaskade, wie in den Beispielen beschrieben!
Pjordorf
Pjordorf 03.09.2019 aktualisiert um 13:58:09 Uhr
Goto Top
Hallo,

Zitat von @simbea:
Da stehen zwar viele Szenarien beschrieben, aber keines mit einem Rechner im LAN, der das VPN ins WAN selbst aufbaut. Alles nur Router zu Router über VPN oder vom Internet Zugriff über VPN auf den Router.
Aber du tauscht deine Zywall gegen eine OPNSense, danach tut es etwas NICHT mehr. Fehler in der OPNSense. Es kann aber auch sein das die Kocobox nur bestimmte Macs zulässt. WEnn deine OPNSense nichts, aber auch gar nichts protokolliert, wird die auch nicht verwendet.
https://forum.opnsense.org/index.php?topic=7566.0
https://forum.opnsense.org/index.php?topic=10836.0
https://docs.opnsense.org/manual/logging_firewall.html

Also keine Router Kaskade, wie in den Beispielen beschrieben!
Also hat deine Kocobox sowohl einen LAN Port undeinen WAN Port und beide sind in Benutzung und somit hast du vor Ort 2 getrennte Internet (DSL, aDSL, xDSL whatsoever) zugänge.

Gruß,
Peter
aqui
aqui 03.09.2019 um 16:49:14 Uhr
Goto Top
aber keines mit einem Rechner im LAN, der das VPN ins WAN selbst aufbaut.
Na ja das ist ja dann auch Kinderkram, weil du dort dann lediglich das VPN Protokoll des VPN Clients im LAN identifizieren musst um zu wissen welche Ports und Protokolle das nutzt und was du dann letztlich auf der Firewall freigeben musst.
Das war durch deine Beschreibung nicht klar, sorry. Es hörte sich nach einem klassichen Kaskaden Szenario an.
Die relevanten Ports findest du ja auch im o.a. Tutorial in der Beziehung war es ja nicht ganz umsonst.
Natürlich sofern du das verwendete VPN Protokoll identifiziert hast. Im Zweifel ist da immer der Wireshark dein bester Freund ! face-wink