gelöst OPNsense IPSec Site2Site funktioniert nicht

Mitglied: support-it

support-it (Level 1) - Jetzt verbinden

09.10.2020 um 22:36 Uhr, 743 Aufrufe, 14 Kommentare, 4 Danke

Guten Tag zusammen,
ich versuche gerade in meiner Testumgebung eine Site2Site mit der OPNsense über IPSec einzurichten und ich kriege es nicht hin und brauche einmal Hilfe

Beide OPNsense sind komplett mit Werkseinstellung neu eingerichtet worden, nach der Anleitung: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html
Vorweg, die Anleitung ist meiner Meinung nach nicht korrekt. Beim Remote "Netzwerk" steht "Gateway-IP /24" des anderen Netzwerkes drin. Das ist doch falsch? Hier habe ich die Remote "Netz-Adresse /24" eingetragen.

Hm, soweit mal, folgender Aufbau:

1x OPNsense Firewall / 2 interne Netzwerkports opn und opn1
WAN opn: 172.16.0.1 /24, Gateway 172.16.0.254 (geht ins Nirgendwo)
LAN opn1: 192.168.1.0 /24, Gateway 192.168.1.1

1x OPNsense Firewall / 2 interne Netzwerkports opn und opn2
WAN opn: 172.16.0.2 /24, Gateway 172.16.0.254 (geht ins Nirgendwo)
LAN opn2: 192.168.2.0 /24, Gateway 192.168.2.1

Die ganzen Firewall-Regeln sind gesetzt, die Einstellung für Phase 1 und Phase 2 sind identisch (bis auf remote Gateway und remote net natürlich).

Es kommt jedenfalls keine IPSec Verbindung zu stande.

Das ist z.B. ein Log von der 1. OPNsense:
Host ist down? Beide Firewalls sind an und haben firewallmäßig Zugriff (denke ich, Regeln laut Anleitung gesetzt).

Erschwerend kommt hinzu, dass ich beide Sample-Configs laut der Anleitung direkt bei meinen beiden OPNsense wiederhergestellt habe und trotzdem keine IPSec Verbindung zu stande kam (und andere Einstellungen konfiguriert waren als in der Anleitung..fail).

Kann mir jemand helfen? Ich vermute, dass ich WAN-seitig Probleme habe, weil ich hier keine verschiedenen Subnetze laut Anleitung habe und ich Subnetting eigentlich nicht wirklich verstehe...hust. (und hiermit besser verstehen will)

Vielen Dank schonmal!

MfG
Mitglied: tikayevent
09.10.2020 um 23:04 Uhr
Ich vermute, dass ich WAN-seitig Probleme habe, weil ich hier keine verschiedenen Subnetze laut Anleitung habe und ich Subnetting eigentlich nicht wirklich verstehe...hust. (und hiermit besser verstehen will)
Das ist egal, im sogenannten Back-to-Back-Betrieb funktioniert es genauso wie im Internet.

Hast du einfach mal den dööfsten Test von allen gemacht und von der einen Firewall die WAN-IP der anderen angepingt?

Aber mach dir nichts draus: Ich finde pfSense/OPNsense für den Einsatz mit VPN höchst unschön. Da gibt es andere Lösungen, mit denen man schneller zum Ziel kommt.
Bitte warten ..
Mitglied: support-it
09.10.2020 um 23:31 Uhr
Zitat von tikayevent:

Hast du einfach mal den dööfsten Test von allen gemacht und von der einen Firewall die WAN-IP der anderen angepingt?

Aber mach dir nichts draus: Ich finde pfSense/OPNsense für den Einsatz mit VPN höchst unschön. Da gibt es andere Lösungen, mit denen man schneller zum Ziel kommt.

Ping von der 1. OPNsense
Ich sehe aber auch im IPSec Status Overview, dass die S2S nicht steht.
Ich finde die OPNsense eigentlich höchst angenehm, nur die Dokumentation ist absolut bescheiden.
Bitte warten ..
Mitglied: the-buccaneer
10.10.2020 um 02:38 Uhr
Moin!

Biste sicher, dass die grundlegende Netzwerkkonnektivität in deiner (virtuellen?) Testumgebung steht?
Hier verhau ich mich gerne mal...
VG
Buc
Bitte warten ..
Mitglied: aqui
10.10.2020, aktualisiert um 08:34 Uhr
und von der einen Firewall die WAN-IP der anderen angepingt?
Das wird nicht klappen, denn die Default Regeln auf dem WAN Port verhindern das. ICMP ist dort natürlich geblockt wie es sich für eine Firewall gehört.
Leider fehlen die Screenshots der WAN Regeln. Könnte sein das hier der Fehler ist, denn "Host down" kann bedeuten das die Gegenstelle nicht erreichbar ist.
Wichtig ist dort das die IPsec Ports von "any" auf die WAN IP Adresse freigeben sind.
  • UDP 500
  • UDP 4500
  • ESP Protokoll, IP Nummer 50
Mehr ist eigentlich nicht zu tun vorausgesetzt die Crypto Credentials stimmen auf beiden Seiten.

Ein Testsetup mit einer pfSense Konfig in der gleichen IP Adressierung hat hier auf Anhieb sofort einen Tunnel aufgebaut sowohl mit IKEv1 als auch mit IKEv2.
https://administrator.de/content/detail.php?id=501151&token=508#comm ...
https://administrator.de/content/detail.php?id=539060&token=369#comm ...
Zum Thema Subnetting wie immer lesen und verstehen:
https://de.wikipedia.org/wiki/Netzmaske
https://de.wikipedia.org/wiki/Subnetz
Bitte warten ..
Mitglied: tikayevent
10.10.2020, aktualisiert um 12:33 Uhr
ICMP ist dort natürlich geblockt wie es sich für eine Firewall gehört.
Naja, viele kennen die Eigenheiten von ICMP nicht (bei dir @aqui gehe ich mal davon aus, dass du diese kennst), daher ist diese Konfiguration bescheuert.
Ein nicht erreichbarer Host wird vom vorherigen Router als Host not reachable gemeldet und nicht durch einen Timeout. Ein Timeout zeigt also , dass ein Host da ist, der einfach nicht antworten will oder kann.

Aber zum Glück ist es konfigurierbar.
Bitte warten ..
Mitglied: aqui
10.10.2020, aktualisiert um 13:22 Uhr
Das ICMP inbound geblockt ist an "heißen" Interfaces ist aber übliche Firewall Praxis. Host not reachable kommt ja durch entsprechende ICMP Steuerpakete. Kommen die nicht durch die FW, dann gibts halt einen Timeout.
Deshalb ja die Vermutung das es an falschen oder fehlerhaften FW Regeln des TOs am WAN Port liegt.
Aber warten wir mal sein Feedback ab....
Bitte warten ..
Mitglied: support-it
12.10.2020 um 09:46 Uhr
Zitat von aqui:

Leider fehlen die Screenshots der WAN Regeln. Könnte sein das hier der Fehler ist, denn "Host down" kann bedeuten das die Gegenstelle nicht erreichbar ist.
Wichtig ist dort das die IPsec Ports von "any" auf die WAN IP Adresse freigeben sind.
  • UDP 500
  • UDP 4500
  • ESP Protokoll, IP Nummer 50
Mehr ist eigentlich nicht zu tun vorausgesetzt die Crypto Credentials stimmen auf beiden Seiten.

Ein Testsetup mit einer pfSense Konfig in der gleichen IP Adressierung hat hier auf Anhieb sofort einen Tunnel aufgebaut sowohl mit IKEv1 als auch mit IKEv2.
https://administrator.de/content/detail.php?id=501151&token=508#comm ...
https://administrator.de/content/detail.php?id=539060&token=369#comm ...
Danke für die Links und das Testen.
Ich habe jetzt gerade keine Möglichkeit, Screenshots zu posten, das werde ich heute Abend nachholen. Ich habe mich aber ansonsten an den OPNsense guide gehalten und auch die 4 Firewallregeln gesetzt (UDP 500, UDP 4500, ESP und von Subnet zu Subnet, für den "IPSec"-Anschluss / an beiden OPNsense firewalls)

Es ist doch korrekt, dass beide WANs in das gleiche logische "interne" virtualisierte Netz gehören, oder? Das soll ja das WWW simulieren. Ich nutze VirtualBox für meine Testumgebung und habe als Netzwerktyp "internal" gewählt.

MfG
Bitte warten ..
Mitglied: aqui
12.10.2020, aktualisiert um 09:58 Uhr
Vermutlich dann ein Bug in der OPNsense Firmware. Ist bei OPNsense nicht selten.
Hast du es testweise mal mit einem pfSense Image versucht ??
Es ist doch korrekt, dass beide WANs in das gleiche logische "interne" virtualisierte Netz gehören, oder?
Keine Ahnung was du mit dem wirren logisch, "intern" und virtualisiert... meinst ?? Das ist völlig unverständlich.
Korrekt ist nur das bei dir in einem sog. "Back to Back" Testaufbau die beiden direkt verbundenen WAN Interface in einem gleichen IP Netzwerk liegen müssen. Das hast du mit dem 172.16.0.0 /24er Netz wo die Firewalls jeweils die .1 und .2 haben auch genau richtig gemacht.
Statt der nicht vorhandenen Gateway IP Adresse hättest du hier besser immer die der gegenüberligenden Firewall genommen aber das ist eher nur kosmetisch. Ansonsten ist alles richtig.
Wie bereits oben schon gesagt hat ein Testaufbau mit 2 pfSense Firewalls mit exakt deinem IP Setup hier sofort einen funktionierenden VPN Tunnel aufgebaut sowohl mit IKEv1 als auch mit IKEv2.
Einen stimmigeren Beiweis dafür das deine IP Adressierung damit richtig ist kann es doch dann nicht geben, oder ?!
Ich nutze VirtualBox für meine Testumgebung und habe als Netzwerktyp "internal" gewählt.
Wenn beide WAN Ports in diesem "internal" Segment liegen ist das OK und richtig.
Du kannst ja, um ganz sicher zu gehen, am WAN Port eine Source: ANY Regel auf die Destination: WAN_IP_address einrichten so das jeglicher Traffic auf die WAN IP Adresse erlaubt ist.
Ist erstmal dann ein unsicheres "Scheunentor" aber zum testen ja erstmal OK und damit sind die WAN IPs über das Diagnostics Menü und der dortigen Ping Funktion gegenseitig pingbar und so kannst du die gegenseitige Connectivity wasserdicht checken.
Bitte warten ..
Mitglied: support-it
12.10.2020, aktualisiert 13.10.2020
Hm, ich verstehs nicht, wo das Problem ist (vermutlich vorm Bildschirm *hust*).

Wenn ich die WAN Ports für any öffne, kann ich die jeweils andere OPNsense auch anpingen.

Hier noch die versprochenen Screens:
Opnsense 1:

o1_fiirewall - Klicke auf das Bild, um es zu vergrößern
o1_tunnelsettings - Klicke auf das Bild, um es zu vergrößern

Opnsense 2:
o2_fiirewall - Klicke auf das Bild, um es zu vergrößern
o2_tunnelsetting - Klicke auf das Bild, um es zu vergrößern

Ich werde in den nächsten Tagen mal pfsense testen. Danke!

MfG
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.10.2020, aktualisiert um 08:59 Uhr
Hier noch die versprochenen Screens:
Wenn du die "+" Zeichen beim Einbinden der Bilder auch an die richtige Stelle klicken würdest, dann würden wir hier deine Screenshots auch im richtigen Kontext zur Beschreibung sehen können !
FAQs lesen hilft wirklich !
P.S.:
Kann man übrigens immer nachträglich mit dem "Bearbeiten" Knopf (rechts unter "Mehr") noch korrigieren.

Deinen Fehler sieht man übrigens sofort und auf dem ersten Blick. Völlig unverständlich warum du sowas übersehen kannst...?! Mit deiner Vermutung "...das Problem ist (vermutlich vorm Bildschirm *hust*)." hast du das schon sehr gut erkannt.
Deine Filter Regeln sind natürlich völliger Quatsch. Sieh dir den Unsinn doch selber mal an.
Das IPsec Interface ist das interne VPN Netz ! Es ist doch völlig sinnfrei dort die Ports für aus dem Internet eingehende IPsec Frames zu konfigurieren !
Wenn, dann gehören diese Regeln auf den WAN Port !! Von dort kommen doch die IPsec Frames zur Firewall rein, folglich müssen dort doch die Regeln hin.
Auf den IPsec Port kann erstmal eine any zu any Regel zum Testen.
Vermutlich hast du das an der 2ten Firewall auch falsch gemacht und musst es dort auch anpassen ?!
Ändere das, dann klappt das auch sofort.
Bitte warten ..
Mitglied: support-it
13.10.2020 um 09:20 Uhr
Hi
Zitat von aqui:

Wenn du die "+" Zeichen beim Einbinden der Bilder auch an die richtige Stelle klicken würdest, dann würden wir hier deine Screenshots auch im richtigen Kontext zur Beschreibung sehen können !
FAQs lesen hilft wirklich !
Das erste Forum, wo man tatsächlich die FAQs lesen muss. Habs bearbeitet.

Zitat von aqui:
Deinen Fehler sieht man übrigens sofort und auf dem ersten Blick. Völlig unverständlich warum du sowas übersehen kannst...?! Mit deiner Vermutung "...das Problem ist (vermutlich vorm Bildschirm *hust*)." hast du das schon sehr gut erkannt.
Deine Filter Regeln sind natürlich völliger Quatsch. Sieh dir den Unsinn doch selber mal an.
Das IPsec Interface ist das interne VPN Netz ! Es ist doch völlig sinnfrei dort die Ports für aus dem Internet eingehende IPsec Frames zu konfigurieren !
Wenn, dann gehören diese Regeln auf den WAN Port !! Von dort kommen doch die IPsec Frames zur Firewall rein, folglich müssen dort doch die Regeln hin.
Auf den IPsec Port kann erstmal eine any zu any Regel zum Testen.
Vermutlich hast du das an der 2ten Firewall auch falsch gemacht und musst es dort auch anpassen ?!

Ja, die Regeln habe ich tatächlich falsch gesetzt. Ich habe sie gestern noch auf den jeweiligen WAN-Port geklont, hat leider auch nicht zum Erfolg geführt, eine Verbindung kommt trotzdem nicht zu stande :/

Danke
MfG
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.10.2020, aktualisiert um 10:53 Uhr
Das erste Forum, wo man tatsächlich die FAQs lesen muss.
Müssen muss man gar nix !
Es hilft nur anderen beim besseren Verstehen deines Anliegens...
eine Verbindung kommt trotzdem nicht zu stande
Ist ja zu befürchten das du da schon wieder einen Fehler gemacht hast ?! Es wäre also hilfreich die neuen Regeln einmal zu posten ?!
Was zum Troubleshooting immer wichtig ist und du wieder nicht geschickt hast ist das IPsec VPN Log von beiden Seiten ! WAS steht dort wenn ein Tunnelaufbau initiiert wird ???

Hier nochmals für dich als Leitlinie der einfache Test mit 2 mal pfSense

Testsetup:

pftest - Klicke auf das Bild, um es zu vergrößern

Setup pfSense-1:

IPsec Phase 1 und Phase 2:
pf1-2 - Klicke auf das Bild, um es zu vergrößern
FW Regel IPsec Interface (pfSense-2 identisch):
pf1-3 - Klicke auf das Bild, um es zu vergrößern
Tunnel aufgebaut und OK !:
pf1-1 - Klicke auf das Bild, um es zu vergrößern
pf1-4 - Klicke auf das Bild, um es zu vergrößern

Setup pfSense-2:

IPsec Phase 1 und Phase 2:
pf2-3 - Klicke auf das Bild, um es zu vergrößern
FW RegelWAN Interface (pfSense-1 identisch):
pf2-4 - Klicke auf das Bild, um es zu vergrößern
Tunnel aufgebaut und OK !:
pf2-2 - Klicke auf das Bild, um es zu vergrößern
pf2-1 - Klicke auf das Bild, um es zu vergrößern

Ping Check Client 2 auf Client 1:

Fazit:
Works as designed und funktioniert fehlerlos auf Anhieb !!
Bitte warten ..
Mitglied: support-it
23.10.2020, aktualisiert um 19:34 Uhr
Hi aqui
ich melde mich erst jetzt, da ich erst heute dazu gekommen bin.
Vielen Dank für deine Hilfe!

Ich habe nun mit wenigen Schritten erfolgreich die Site2Site aufbauen können...hat sofort funktioniert!
Krass, ich hätte nicht gedacht, dass das so einfach ist. Und ich würg mir da mit OPNsense einen ab.
pfsense_final - Klicke auf das Bild, um es zu vergrößern

Ping hat auch funktioniert:
Ich habe pfSense vor Ewigkeiten zuletzt genutzt und bin dann wegen netgate zu OPNsense gewechselt. Ich muss diesen Schritt nochmal ernsthaft hinterfragen.

Ich werde die Konfiguration jetzt nochmal exakt so mit der OPNsense nachbauen und dann werde ich sehen, ob es einfach nicht geht oder wie oder was.

Vielen Dank jedenfalls, Problem ist gelöst!

MfG

Edit: Hm, yes. It appears to be working flawlessly.
o_final - Klicke auf das Bild, um es zu vergrößern

Keine Ahnung, was ich da falsch gemacht habe...kann es echt daran liegen, dass ich die FW-Regeln für den IPSec Aufbau sowohl auf dem IPSec Interface als auch dem WAN Interface hatte? Habe im Zuge des "Neuversuchens" natürlich alles sauber konfiguriert und dann hat es ebenfalls einfach funktioniert...
Öhm, ich gehe mal in die Ecke und schaue die Wand an und überlege mir, was ich falsch gemacht habe :D

Danke nochmal.

MfG
Bitte warten ..
Mitglied: aqui
24.10.2020 um 11:49 Uhr
Ich muss diesen Schritt nochmal ernsthaft hinterfragen.
Das solltest du wirklich !!
dass ich die FW-Regeln für den IPSec Aufbau sowohl auf dem IPSec Interface als auch dem WAN Interface hatte?
Das ist sehr gut möglich weil das ja vollkommen falsch ist.
Das IPsec Interface ist quasi sowas wie ein internes Interface das nur den internen Traffic bedient. Also der Tunnel selber. Das WAN Interfaces "sieht" ja nur den IPsec Traffic an sich aber nicht was er intern transportiert, denn das ist ja logischerweise verschlüsselt. Letzteres "sieht" nur das IPsec Interface.
Genau deshalb gibt es diese Trennung das du den internen VPN Traffic ggf. auch mit einem Regelwerk belegen kannst.
Die beiden Regelwerke für die Interface sind aber logischerweise natürlich völlig verschieden !
Hier hast du wohl einen gehörigen Denkfehler begangen... ?!
ich gehe mal in die Ecke und schaue die Wand an und überlege mir, was ich falsch gemacht habe
Musst du nicht ! Sieh es immer positiv: Aus Fehlern lernt man !!
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware24 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu14 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++12 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Ähnliche Inhalte
Netzwerke

IPsec VPN - Port 143 funktioniert nur "halb"

bloodstixFrageNetzwerke5 Kommentare

Hallo zusammen, hab ein ganz komisches Phenomen bei einer VPN-Verbindung. Protokoll ist IPsec. Alles funktioniert ganz normal bis auf ...

LAN, WAN, Wireless

VPN IPSec mit Linksys Router funktioniert nicht

gelöst knubbieFrageLAN, WAN, Wireless5 Kommentare

Hallo Liebes Forum, ich habe ein Netzwerk mit einem Linksys WRV200 Router. Der Router hat die aktuelle Firmware Version. ...

TK-Netze & Geräte

IPSec Mobile to an other network IPSEC

gelöst yazzurFrageTK-Netze & Geräte11 Kommentare

Good morning, sir, Here is the network diagram of my infrastructure: Network 1 = 192.168.26.0/24 Network 2 = 172.16.26.0/24 ...

Router & Routing

Cisco S2S IPSec-VPN funktioniert erst nach Anlegen einer statischen Route

tikayeventFrageRouter & Routing5 Kommentare

Hallo zusammen, momentan beschäftige ich mich vermehrt mit Cisco und bastele gerade im Lab an einer Site-to-Site-VPN-Verbindung über IPSec ...

MikroTik RouterOS

IPSec VPN- Tunnel MikroTik HEX und FritzBox - SMB Zugriff funktioniert nicht

gelöst McBinzFrageMikroTik RouterOS25 Kommentare

Hallo zusammen, ich habe zwei Standorte über einen VPN IPSec Tunnel verbunden. Standort A: lokales Netz 192.168.100.0/24 VPN- Router ...

Windows Server

L2TP over IPSEC

gelöst sardldbFrageWindows Server6 Kommentare

Hallo Zusammen Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT