OpenWRT IKEv2 Client mit Strongswan (routing)
Hallo zusammen,
ich habe leider im Forum und google nichts passendens gefunden, somit hier meine Frage zur Konfiguration bzw. Routing.
Ausgangslage:
- Fritzbox als Bridge mit statischer IP
- Mikrotik als Router
- OpenWRT Router hinter dem Mikrotik (als IKEv2 Test) in Standardkonfiguration und strongswan-full
Ziel ist es mit dem OpenWRT Router einen Verbindung als IKEv2 Client zu realisieren.
1. Wenn ich dies einrichte, dann habe ich keinen Zugriff mehr auf den Router und die Clients kommen auch nicht mehr ins Internet.
2. Wenn ich im rightsubnet nicht 0.0.0.0/0 eintrage, dann sehe ich auf der Konsole, dass die Verbindung erfolgreich war, bekomme jedoch keinen Datenverkehr durch den Tunnel
Wie es es möglich, den Tunnel aufzubauen und nur einige Domain über den Tunnel anzusteuern?
Über OpenVPN oder L2TP/IPSec im Mikrotik habe ich je ein Interface gehabt und mittels Iptable Mangel und iproute mir eine Routenregel zurecht gemacht. Das funktioniert hier nicht bzw. ich weiß nicht wie.
Ich hoffe, dass ich mich verständlich ausgedrückt habe.
Gruß - mali
Meine Konfiguration:
ipsec.conf:
strongswan.conf
Firewall im Standard, nur diese Einträge noch für IPSec hinzugefügt.
ich habe leider im Forum und google nichts passendens gefunden, somit hier meine Frage zur Konfiguration bzw. Routing.
Ausgangslage:
- Fritzbox als Bridge mit statischer IP
- Mikrotik als Router
- OpenWRT Router hinter dem Mikrotik (als IKEv2 Test) in Standardkonfiguration und strongswan-full
Ziel ist es mit dem OpenWRT Router einen Verbindung als IKEv2 Client zu realisieren.
1. Wenn ich dies einrichte, dann habe ich keinen Zugriff mehr auf den Router und die Clients kommen auch nicht mehr ins Internet.
2. Wenn ich im rightsubnet nicht 0.0.0.0/0 eintrage, dann sehe ich auf der Konsole, dass die Verbindung erfolgreich war, bekomme jedoch keinen Datenverkehr durch den Tunnel
Wie es es möglich, den Tunnel aufzubauen und nur einige Domain über den Tunnel anzusteuern?
Über OpenVPN oder L2TP/IPSec im Mikrotik habe ich je ein Interface gehabt und mittels Iptable Mangel und iproute mir eine Routenregel zurecht gemacht. Das funktioniert hier nicht bzw. ich weiß nicht wie.
Ich hoffe, dass ich mich verständlich ausgedrückt habe.
Gruß - mali
Meine Konfiguration:
ipsec.conf:
conn test
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
eap_identity=USERNAME
leftauth=eap-mschapv2
leftsourceip=%config
right=ip vom vpn provider
rightauth=pubkey
#rightsubnet=0.0.0.0/0
rightid=%any
type=tunnel
auto=add
strongswan.conf
# Configuration changes should be made in the included files
charon {
load_modular = yes
threads = 16
dns1 = 192.168.1.1
nbns1 = 192.168.1.1
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
Firewall im Standard, nur diese Einträge noch für IPSec hinzugefügt.
config rule
option name 'Allow-IPSec-ESP'
option proto 'esp'
option target 'ACCEPT'
option src 'wan'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-NAT-T'
option src 'wan'
option dest_port '4500'
option proto 'udp'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-AH'
option src 'wan'
option proto 'ah'
option target 'ACCEPT'
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 424665
Url: https://administrator.de/forum/openwrt-ikev2-client-mit-strongswan-routing-424665.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
12 Kommentare
Neuester Kommentar
Hier findest du ein paar Infos zu dem Thema:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gilt zwar für die pfSense (FreeBSD Unterbau) dürfte aber bei OpenWRT identisch sein.
IKEv2 erfordert ein Zertifikat hast du daran gedacht ?
Sehr hilfreich wären hier auch mal die Logs von beiden Seiten. Leider fehlen diese
Anhand der Log Fehlermeldungen kannst du meistens sofort sehen wo das Problem ist.
Nebenbei: IPsec AH zu accepten ist überflüssig, denn das ist technisch gar nicht per NAT zu übertragen. Das kannst du dir also sparen. Nur ESP funktioniert mit NAT.
Im Zweifel nimmst du 2 Mikrotiks:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Letztlich können die eh mehr als OpenWRT und preislich ists kein Unterschied.
Außerdem erspart es dir deine eigentlich überflüssige und kontraproduktive Router Kaskade !
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gilt zwar für die pfSense (FreeBSD Unterbau) dürfte aber bei OpenWRT identisch sein.
IKEv2 erfordert ein Zertifikat hast du daran gedacht ?
Sehr hilfreich wären hier auch mal die Logs von beiden Seiten. Leider fehlen diese
Anhand der Log Fehlermeldungen kannst du meistens sofort sehen wo das Problem ist.
Nebenbei: IPsec AH zu accepten ist überflüssig, denn das ist technisch gar nicht per NAT zu übertragen. Das kannst du dir also sparen. Nur ESP funktioniert mit NAT.
Im Zweifel nimmst du 2 Mikrotiks:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Letztlich können die eh mehr als OpenWRT und preislich ists kein Unterschied.
Außerdem erspart es dir deine eigentlich überflüssige und kontraproduktive Router Kaskade !
aber nicht die pfsense als Client
Das geht natürlich aber auch ! Ist ja auch ein Standard Szenario.Die Verbindung ist doch hergestellt
Ja, das ist richtig ! Der Tunnel wird fehlerfrei aufgebaut. Entweder stimmt also dei Routing nicht oder du hast eine Firewall Regel aktiv, die Traffic blockiert.- Was sagt die Routing Tabelle ?? Sind dort alle zu routenden Netze zu sehen ?
- Kannst du die direkten Punkt zu Punkt Interfaces pingen ?
Das ist mir auch klar, nur wie???
OpenWRT nutzt ganz sicher auch den StrongSwan IPsec Client (charon) ?!Das wird dann wie hier konfiguriert:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn du einen IKEv2 Client mit StrongSwan machst, dann kannst du doch die o.a. Konfig direkt übernehmen.
OK, kommt ein bischen darauf an WIE dein Dialin Server konfiguriert ist ob du mit PSKs, mit EAP oder nur mit Zertifikaten arbeitest.
IKEv2 erfordert aber in jedem Falle immer ein Server Zertifikat wie du ja an der pfSense Anleitung sehen kannst.
Im Grunde ist die EAP Authentisierung ein simpler Klassiker und einfach aufzusetzen. Kannst du ja an der RasPi Konfig sehen, das sind nur ein paar Zeilen. Der StrongSwan Client macht viel selber und sein Logging helfen.
Man muss aber ein paar Rahmenbedingungen beachten damit es klappt.
OK, kommt ein bischen darauf an WIE dein Dialin Server konfiguriert ist ob du mit PSKs, mit EAP oder nur mit Zertifikaten arbeitest.
IKEv2 erfordert aber in jedem Falle immer ein Server Zertifikat wie du ja an der pfSense Anleitung sehen kannst.
Im Grunde ist die EAP Authentisierung ein simpler Klassiker und einfach aufzusetzen. Kannst du ja an der RasPi Konfig sehen, das sind nur ein paar Zeilen. Der StrongSwan Client macht viel selber und sein Logging helfen.
Man muss aber ein paar Rahmenbedingungen beachten damit es klappt.
Bei mir taucht aber in der Phase 1 nicht das EAP MSCHAPv2 auf
Das Thema hatten wir hier gerade erst....IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Fazit: PEBKAC Problem !
Auch für dich gilt: In Ruhe lesen, genau hinsehen, Schritte genau nach Anleitung ausführen !