16
OPNsense mit Azure verbinden IPsec
Hey Zusammen, ich kämpfe aktuell damit, dass ich ein Azure VNET per IPsec an unser lokales Netz anbinden möchte.
Doch ich sehe aktuell vor einigen Problemen, denn aktuell geht leider noch garnix.
Infrastruktur:
Fritzbox hägt am WAN Port des Modems. Portweiterleitung (Port 500&4500)auf die OPNsense ins WAN interface.
Dort ist die IPsec Verbindung eingerichtet nach folgender Anleitung :
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route-azure.html
Ich weiß jetzt leider nicht, woran es noch liegen kann. Hab die algorithmen auch divers angepasst, doch kein Erfolg.
Azure jammert davon:
(siehe Anhang)
Ich weiß mittlerweile nicht weiter und die Anleitungen im Azure sind auch nicht wirklich Hilfreich.
Hat das vielleicht von euch schon jemand mal gemacht? Evtl bekannte Probleme?
Danke schonmal!
Freu mich auch eure Antworten
Doch ich sehe aktuell vor einigen Problemen, denn aktuell geht leider noch garnix.
Infrastruktur:
Fritzbox hägt am WAN Port des Modems. Portweiterleitung (Port 500&4500)auf die OPNsense ins WAN interface.
Dort ist die IPsec Verbindung eingerichtet nach folgender Anleitung :
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route-azure.html
Ich weiß jetzt leider nicht, woran es noch liegen kann. Hab die algorithmen auch divers angepasst, doch kein Erfolg.
Azure jammert davon:
(siehe Anhang)
Ich weiß mittlerweile nicht weiter und die Anleitungen im Azure sind auch nicht wirklich Hilfreich.
Hat das vielleicht von euch schon jemand mal gemacht? Evtl bekannte Probleme?
Danke schonmal!
Freu mich auch eure Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669129
Url: https://administrator.de/contentid/669129
Ausgedruckt am: 21.11.2024 um 08:11 Uhr
16 Kommentare
Neuester Kommentar
Moin,
hast du sämtliche IPsec Konfigs von der Fritte entfernt? Ansonsten funktioniert ESP leider nicht.
Gruß
Spirit
hast du sämtliche IPsec Konfigs von der Fritte entfernt? Ansonsten funktioniert ESP leider nicht.
Gruß
Spirit
wie meinst du?
Hast du auf deiner Fritzbox mal eine IPsec Verbindung konfiguriert? Wenn dort IPsec VPN aktiviert wurde, dann bleibt der Verbindungsaufbau hier hängen anstatt die Verbindung weiter zu leiten.
Des weiteren kann es natürlich daran liegen, dass der Azure Tunnel vielleicht kein NAT-Traversal kann. Das weiß ich gerade nicht.
Im besten Fall schmeißt du deine Fritte in dem Scenario raus.
Des weiteren kann es natürlich daran liegen, dass der Azure Tunnel vielleicht kein NAT-Traversal kann. Das weiß ich gerade nicht.
Im besten Fall schmeißt du deine Fritte in dem Scenario raus.
Ok, das check ich mal.
NAT-Traversal hab ich bei der OPNsense IPsec-config deaktiviert.
Denke mal das passt so.
Aber Danke schonmal für den Tipp.
Ich melde mich wenn ich neues weiß.
Gruß
Dominik
NAT-Traversal hab ich bei der OPNsense IPsec-config deaktiviert.
Denke mal das passt so.
Aber Danke schonmal für den Tipp.
Ich melde mich wenn ich neues weiß.
Gruß
Dominik
Du brauchst ja unbedingt NAT-Traversal. Ansonsten kann es nicht funktionieren!
Deine Fritte macht ja schon NAT ;)
Deine Fritte macht ja schon NAT ;)
Ah ok, aber das kann ja nicht so kimplziert sein, eine einfache IPsec verbindung von einem Netz zum anderen herzustellen oder? oder weißt du nen anderen client außer opnsense der das einfacher kann?
Moin,
was aus deinem post nicht hervorgeht , hast du überhaupt eine öffentlich erreichbare ip, oder hängt das ganze hinter cg-nat ?
was aus deinem post nicht hervorgeht , hast du überhaupt eine öffentlich erreichbare ip, oder hängt das ganze hinter cg-nat ?
Zitat von @DjDomX:
Ah ok, aber das kann ja nicht so kimplziert sein, eine einfache IPsec verbindung von einem Netz zum anderen herzustellen oder? oder weißt du nen anderen client außer opnsense der das einfacher kann?
Ah ok, aber das kann ja nicht so kimplziert sein, eine einfache IPsec verbindung von einem Netz zum anderen herzustellen oder? oder weißt du nen anderen client außer opnsense der das einfacher kann?
IPsec ist ein bisschen zickig. Einfacher wäre Wireguard. Aber das kann Azure nicht.
Die besten Voraussetzungen sind erfüllt wenn du deine Fritzbox aus der Gleichung entfernst und eine direkt Verbindung über öffentliche IPs möglich ist.
Fritzbox hägt am WAN Port des Modems.
Modem?? Wie ist das genau gemeint? Eine reines NUR Modem oder auch ein Router? Wenn Letzteres betreibst du dann eine 3er Kaskade also Router -> Fritte -> OPNsense?Wenn es wirklich ein NUR Modem ist und kein Router dann wäre es deutlich sinnvoller die OPNsense direkt am Modem zu betreiben ohne die Fritte als stromfressender "Durchlauferhitzer" dazwischen. Leider wird der Begriff Modem und Router hier oft laienhaft verwechselt was dann oft zu Missverständnissen im Setup führt.
Portweiterleitung (Port 500&4500)auf die OPNsense ins WAN interface.
Wie leider so oft nur die halbe Miete. 
Siehe Tutorial Router Kaskade.Die weiterführenden Links haben diverse Live Setups. Bedenke das all das nicht funktioniert wenn deine Kaskade mit der OPNsense als VPN Responder (Server) an einem DS-Lite Anschluß klemmt der generell eingehende IPv4 Sessions wegen CGNAT technisch unmöglich macht.
Wenn man alles richtig macht ist IPsec keineswegs zickig sondern immer dein bester (VPN) Freund! 😉
Also, es sollte eine eigenständige öffentlich erreichbare IP sein, aber das klär ich nochmal mit dem anabiert. Ist aber eine Bussiness leitung weil wir im haus selbst hosten usw.
Hab die OPNsense jetzt mal zum exposed host gemacht, aber es geht immer noch ned. es kommen werder verbindung rein noch sonst was
Hab die OPNsense jetzt mal zum exposed host gemacht, aber es geht immer noch ned. es kommen werder verbindung rein noch sonst was
Da brauchst du keinen fragen du vergleichst einfach was dir die fritzbox und icanhazip.com als öffentliche ip anzeigen
es kommen werder verbindung rein noch sonst was
Zeigt klar das dein davorliegendes Port Forwarding nicht funktioniert, dein Regelwerk am WAN Port falsch oder fehlerhaft ist oder das du an einem DS-Lite Anschluss hängst!In jedem Falle solltest du über die Paket Capture Funktion am WAN Port deiner OPNsense eingehende IKEv2 Pakete (UDP 500) "sehen"!
Kommt dort nichts UDP 500 mässiges an ist es immer eine der 3 obigen Fehlerquellen!
ok, ich kann euch nur sagen, wie alles konfiguriert ist. Hab mit IPsec ehrlich gesagt nicht viel am Hut.
IP ist öffentlich. ist auch kein DS-Lite Anschluss, weil wir bereits vor ein paar Wochen eine IPsec Verbindung mit einer anderen OPNsense am laufen hatten. die haben wir jetzt aber auf nen anderen Port verschoben. die steht auch soweit wieder. jetzt check ich nur ned, warum meine neue Verbindung nicht mal ne anfrage bekommt
Kann das evtl. wer nachbauen?
oder gibt es ne andere Möglichkeit die Verbindung zum Azure herzustellen über IPsec?
Aber vielen Dank schonmal für eure Unterstützung <3
IP ist öffentlich. ist auch kein DS-Lite Anschluss, weil wir bereits vor ein paar Wochen eine IPsec Verbindung mit einer anderen OPNsense am laufen hatten. die haben wir jetzt aber auf nen anderen Port verschoben. die steht auch soweit wieder. jetzt check ich nur ned, warum meine neue Verbindung nicht mal ne anfrage bekommt
Kann das evtl. wer nachbauen?
oder gibt es ne andere Möglichkeit die Verbindung zum Azure herzustellen über IPsec?
Aber vielen Dank schonmal für eure Unterstützung <3
warum meine neue Verbindung nicht mal ne anfrage bekommt
Wie bereits gesagt: Es kann dann ausschliesslich nur an den oben genannten 3 Gründen liegen:- Port Forwarding im davor kaskadierten Router falsch oder fehlerhaft.
- ⚠️ Was hier wichtig ist: Die Fritte ist selber ein aktiver IPsec VPN Router. Sollten hier in ihrer Konfig ein IPsec Setup oder ungenutzte Reste davon vorhanden sein scheitert ein Forwarding der IPsec Protokollports. Das gilt ebenso wenn einzelne Nutzer auf der Fritte konfiguriert sind. Das muss alles entfernt werden damit die Fritte IPsec forwardet andernfalls "denkt" sie eigehender IPsec Traffic ist für sie selber und forwardet diesen Traffic nicht!
- WAN Port Regelwerk für den Zugriff auf die WAN Port IP Adresse falsch oder fehlerhaft.
- ⚠️ Auch hier gilt das global im OPNsense Setup das Blocking der RFC 1918 IP Adressen unbedingt deaktiviert werden muss. Da du ja ein eigentlich unnötiges Router Kaskaden Setup nutzt mit einem RFC1918 Koppelnetz musst du unbedingt den globalen Zugang privater 1918 Netze am WAN erlauben. Siehe dazu auch "WAN Port Regel" HIER!
Kann das evtl. wer nachbauen?
Das kannst du doch auch selber einfach und schnell machen! Du hast dazu 2 einfache Optionen:- Hänge einfach statt der OPNsense temporär einen Wireshark Sniffer PC mit gleicher IP wie die Firewall an die Fritte und checke ob dort eingehende IKE Pakete (UDP 500 und ggf. 4500 (NAT Traversal) wenn OPNsense Initiator) eingehen! Das klappt natürlich nur dann wenn der Azure VPN Router der Initiator ist also der Client der aktiv die Tunnelverbindung aufbaut.
- Alternativ machst du das mit der onboard Paket Capture Funktion der OPNsense.
Bei umgedrehten Rollen von Responder und Initiator benötigst du natürlich weder Port Forwarding noch Regelwerke am WAN Port. Leider hast du bis dato noch nicht gesagt welche Seite hier welche Rolle hat.
1
Ok, vielen Dank für die Hilfe.
Hab es jetzt mit einer Sophos Firewall gemacht, jetzt steht die Verbindung.
Ich weiß echt nicht worans lag. Denke es war die OPNsense.
Bei Sopohs gibts halt ein fertiges Azure Template, dann is das easy
Hab es jetzt mit einer Sophos Firewall gemacht, jetzt steht die Verbindung.
Ich weiß echt nicht worans lag. Denke es war die OPNsense.
Bei Sopohs gibts halt ein fertiges Azure Template, dann is das easy
Denke es war die OPNsense.
Ganz sicher nicht! Zu 99,9% ein Konfig Fehler deinerseits im IPsec!Wenn in der OPNsense schon offiziell eine Anleitung für die Anwendung in der Dokumentation veröffentlicht ist kannst du davon ausgehen das es auch wasserdicht klappt ansonsten würde es weltweit Proteste hageln von den Tausenden Usern die das weltweit erfolgreich nutzen.
Das IPsec Log der OPNsense hätte dir hier, wie immer, die Augen geöffnet und explizit gesagt wo dein Fehler ist und was schief läuft. Leider hats dazu nicht gereicht...
Aber warum einfach machen wenn es teuer und umständlich auch geht...
Case closed!
1Serie: VPN
OPNsense mit Azure verbinden IPsec16
