12
Seltstames Phänomen: OPNSense - Fritz!Box Lankopplung per IPSEC
Hallo zusammen,
ich habe hier ein seltsames Phänomen mit einer Lan-Kopplung per IPSEC und benötige Eure Schwarmintelligenz.
Zum Hintergrund:
Ich habe zwei Netze der OPNSense per IPSEC mit einer Fritz!Box verbunden. Bei den beiden Netzen handelt es sich um das LAN 192.168.100.0/24 und ein an die OPNSense angebundenes OpenVPN-Netz 10.8.0.0/24. Das Netzwerk der Remote-Seite bzw. Fritz!Box hat den Bereich 192.168.120.0/24.
Der Verbindungsaufbau hat funktioniert und die 3 Netze können grundsätzlich auch miteinander kommunizieren.
Was tut nicht?:
Ich kann aus dem OpnSense-LAN (192.168.100.0/24) nur eingeschränkt (bspw. SSH-Verbindung auf einen Raspberry im Netz der Fritz!Box möglich) auf das per IPSEC angebundene LAN der Fritz!Box (192.168.120./24) zugreifen. Zugriffe auf bspw. Webseiten (Pihole-Adminseite / URL der Fritz!Box 192.168.120.254) oder Nomachine-Verbindung (Port 4000) tun nicht. Bei der Nomachine-Verbindung ist auffälig, dass ein Teil des Verbindungsaufbaus zu funktionieren scheint, da ich nach Zugangsdaten für den Remote-Rechner gefragt werde. Wenn ich die Zugangsdaten eingegeben habe, findet kein weiterer Verbindungsaufbau statt.
Was tut?:
Ich kann aus dem Netz der Fritz!Box (192.168.120.0/24) auf das OPNSense-Netz (192.168.100.0/24) uneingeschränkt zugreifen (quasi die Gegenstrecke zu oben). Außerdem kann ich mittels OpenVPN-Clients, die an die OPNSense angebunden sind, uneingeschränkt auf das LAN der Fritz!Box zugreifen. Soll heißen, die Open-VPN-Clients, haben mehr Zugriffsmöglichkeiten auf das per IPSEC angebundene Remote-Netz als das direkt an den OpenVPN-Server angebundene LAN.
Zusätzliche Info:
Die OPNSense ist mittels Loadbalancing mit der Außenwelt verbunden. Das Problem tritt aber auch ohne Load-Balancing-Konfiguration auf.
Auf der OPNSense läuft auch noch Sensei zur Werbungsfilterung. Das Problem tritt aber auch mit ausgeschaltetem Sensei auf. Ausgeschaltet heißt, dass Sensei in den Überwachungsmodus geschaltet wurde und nichts filtert.
Habt Ihr eine Idee? Ich vermute, dass es irgendwo mit dem Routing des LAN-Netzes zusammenhängt oder ein Optionshäkchen in den Firewalleinstellungen der OPNSense falsch gesetzt ist.
ich habe hier ein seltsames Phänomen mit einer Lan-Kopplung per IPSEC und benötige Eure Schwarmintelligenz.
Zum Hintergrund:
Ich habe zwei Netze der OPNSense per IPSEC mit einer Fritz!Box verbunden. Bei den beiden Netzen handelt es sich um das LAN 192.168.100.0/24 und ein an die OPNSense angebundenes OpenVPN-Netz 10.8.0.0/24. Das Netzwerk der Remote-Seite bzw. Fritz!Box hat den Bereich 192.168.120.0/24.
Der Verbindungsaufbau hat funktioniert und die 3 Netze können grundsätzlich auch miteinander kommunizieren.
Was tut nicht?:
Ich kann aus dem OpnSense-LAN (192.168.100.0/24) nur eingeschränkt (bspw. SSH-Verbindung auf einen Raspberry im Netz der Fritz!Box möglich) auf das per IPSEC angebundene LAN der Fritz!Box (192.168.120./24) zugreifen. Zugriffe auf bspw. Webseiten (Pihole-Adminseite / URL der Fritz!Box 192.168.120.254) oder Nomachine-Verbindung (Port 4000) tun nicht. Bei der Nomachine-Verbindung ist auffälig, dass ein Teil des Verbindungsaufbaus zu funktionieren scheint, da ich nach Zugangsdaten für den Remote-Rechner gefragt werde. Wenn ich die Zugangsdaten eingegeben habe, findet kein weiterer Verbindungsaufbau statt.
Was tut?:
Ich kann aus dem Netz der Fritz!Box (192.168.120.0/24) auf das OPNSense-Netz (192.168.100.0/24) uneingeschränkt zugreifen (quasi die Gegenstrecke zu oben). Außerdem kann ich mittels OpenVPN-Clients, die an die OPNSense angebunden sind, uneingeschränkt auf das LAN der Fritz!Box zugreifen. Soll heißen, die Open-VPN-Clients, haben mehr Zugriffsmöglichkeiten auf das per IPSEC angebundene Remote-Netz als das direkt an den OpenVPN-Server angebundene LAN.
Zusätzliche Info:
Die OPNSense ist mittels Loadbalancing mit der Außenwelt verbunden. Das Problem tritt aber auch ohne Load-Balancing-Konfiguration auf.
Auf der OPNSense läuft auch noch Sensei zur Werbungsfilterung. Das Problem tritt aber auch mit ausgeschaltetem Sensei auf. Ausgeschaltet heißt, dass Sensei in den Überwachungsmodus geschaltet wurde und nichts filtert.
Habt Ihr eine Idee? Ich vermute, dass es irgendwo mit dem Routing des LAN-Netzes zusammenhängt oder ein Optionshäkchen in den Firewalleinstellungen der OPNSense falsch gesetzt ist.
VPN-Konfiguration der Fritz-Box
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN inkl. OpenVPN"; // NAME der Verbindung
always_renew = yes; // Verbindung immer herstellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 123.456.789.012; // Feste oeffentliche IP der pfSense Firewall
remote_virtualip = 0.0.0.0;
localid {
fqdn = "1234567890.spdns.de"; // dyndns name der FritzBox
}
remoteid {
ipaddr = 123.456.789.012; // Feste oeffentliche IP der pfSense Firewall
}
mode = phase1_mode_idp; //Original phase1_mode_aggressive
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "124567890"; // Der gleiche wie in der pfSense Phase 1
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.120.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0; // Das interne Netzwerk LAN hinter der pfSense
mask = 255.255.255.0; // inklusive Subnetmask
}
ipnet {
ipaddr = 10.8.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0","permit ip any 10.8.0.0 255.255.255.0"; // Firewall Einstellungen für pfSense Subnetz
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1160497114
Url: https://administrator.de/contentid/1160497114
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Ein paar entsprechende Threads zu dieser Thematik hast du gelesen ??
Fritzbox 7590 x opnsense
PFSense mit Fritzboxen verbinden
Sehr wahrscheinlich ist es bei dir der fehlende 2te Phase 2 Eintrag wenn du 2 oder mehr lokale IP Netze über den Tunnel bringen willst.
Bei der FritzBox geht das nur wenn man die IPsec Konfig Datei manuel anpasst. Will man mit der Standard Konfig arbeiten geht das nur über die Erweiterung der Phase 2 Subnetzmaske die dann ein beide oder mehrere kleiner maskierte lokale IP netze inkludieren muss.
Das setzt natürlich ein etwas intelligentes lokales Subnetting Konzept voraus. 😉
Fritzbox 7590 x opnsense
PFSense mit Fritzboxen verbinden
Sehr wahrscheinlich ist es bei dir der fehlende 2te Phase 2 Eintrag wenn du 2 oder mehr lokale IP Netze über den Tunnel bringen willst.
Bei der FritzBox geht das nur wenn man die IPsec Konfig Datei manuel anpasst. Will man mit der Standard Konfig arbeiten geht das nur über die Erweiterung der Phase 2 Subnetzmaske die dann ein beide oder mehrere kleiner maskierte lokale IP netze inkludieren muss.
Das setzt natürlich ein etwas intelligentes lokales Subnetting Konzept voraus. 😉
Hallo aqui,
vielen Dank für Deinen Hinweis, über den ich mich sehr freue.
Ich denke, die Phases kann ich ausschließen. Ich habe sowohl in der OPNSense als in der Fritz!Box (siehe Code) Einträge für die 2 Netze gemacht. In der OPNSense sehe ich im Verbinungssatus, dass die beiden Netze erfolgreich eine geroutete Verbindung hergestellt haben.
Testweise habe ich jetzt mal eine neue Phase 1 mit dazugehöriger Phase 2 nur für das LAN 192.168.100.120 angelegt und erfolgreich verbunden, aber das Verhalten tritt noch immer auf. Soll heißen, ich komme vom Remote-Netz ins LAN der OPNSense, aber umgekehrt nur eingeschränkt. Was mich wundert, ist dass bspw. SSH und PINGS funktionieren, aber kein HTTP.
vielen Dank für Deinen Hinweis, über den ich mich sehr freue.
Ich denke, die Phases kann ich ausschließen. Ich habe sowohl in der OPNSense als in der Fritz!Box (siehe Code) Einträge für die 2 Netze gemacht. In der OPNSense sehe ich im Verbinungssatus, dass die beiden Netze erfolgreich eine geroutete Verbindung hergestellt haben.
Testweise habe ich jetzt mal eine neue Phase 1 mit dazugehöriger Phase 2 nur für das LAN 192.168.100.120 angelegt und erfolgreich verbunden, aber das Verhalten tritt noch immer auf. Soll heißen, ich komme vom Remote-Netz ins LAN der OPNSense, aber umgekehrt nur eingeschränkt. Was mich wundert, ist dass bspw. SSH und PINGS funktionieren, aber kein HTTP.
aber das Verhalten tritt noch immer auf.
OK, das bedeutet dann das es nicht mehr das VPN sein kann. Dann bleibt eigentlich nur eine falsche oder fehlerhafte Regel auf der Firewall die diesen Traffic blockt. Entweder am lokalen LAN Port oder dem IPsec Tunnelport.Da man soche Filter auf der FB nicht definieren kann ist die also auch raus und es belibt eigentlich nur die Firewall als böser Buhmann... Das nicht symetrische Zugriffsverhalten mit SSH und ICMP (Ping) spricht ebenfalls verstärkt dafür.
Nochmals vielen Dank für die Untertstützung aqui. Ich bin mir gerade nicht mal sicher, ob da nicht irgendwo ein Bug durch ein Update kam.
Witzigerweise hat meine Konfig noch bis vor kurzem funktioniert. Ich hatte aber noch diverse Änderungen in der OPNSense vorgenommen (weiteres VLAN für VoIP und Load-Balancing eingerichtet), sodass ich dachte der Fehler kommt dort irgendwo her. Nun habe ich testweise ein ältere Konfiguration zurückgelesen und der Fehler tritt jetzt auch dort genauso auf (ich kann nicht hunderprozentig ausschließen, dass ein Fehler von mir auch im Backup enthalten ist, bin mir aber recht sicher, dass nicht. Außerdem kommt mir das Problem deshalb ungewöhnlich vor, da der vermeintlich kompliziertere Zugriff per OpenVPN-Client -- OPNSense -- Remote LAN funktioniert, der "einfache" Zugriff direkt aus dem LAN jedoch nicht.
We will see
Witzigerweise hat meine Konfig noch bis vor kurzem funktioniert. Ich hatte aber noch diverse Änderungen in der OPNSense vorgenommen (weiteres VLAN für VoIP und Load-Balancing eingerichtet), sodass ich dachte der Fehler kommt dort irgendwo her. Nun habe ich testweise ein ältere Konfiguration zurückgelesen und der Fehler tritt jetzt auch dort genauso auf (ich kann nicht hunderprozentig ausschließen, dass ein Fehler von mir auch im Backup enthalten ist, bin mir aber recht sicher, dass nicht. Außerdem kommt mir das Problem deshalb ungewöhnlich vor, da der vermeintlich kompliziertere Zugriff per OpenVPN-Client -- OPNSense -- Remote LAN funktioniert, der "einfache" Zugriff direkt aus dem LAN jedoch nicht.
We will see
Das sieht aber dann doch eher nach einem Regelfehler aus. Hab gerade mal mit aktueller OPNsense auf eine aktuelle FritzBox getestet mit 2 lokalen IP Netzen und erweiterter Phase 2 Maske. Das klappt fehlerlos. Verwendetes Grundsetup von hier. Routing der IPsec Netze in ein parallel auf der OPNsense laufendem OpenVPN Clientnetz lief ebenso fehlerfrei. Am VPN per se kann es also nicht liegen....
Vielen lieben Dank fürs Testen. Dann muss ich doch nochmals einen tieferen Blick auf die Firewall-Regeln werfen.
Fällt Dir noch was Wichtiges in Bezug auf IPSEC und das Load-Balancing ein?
Konkret habe ich das noch in Foren dazu gefunden:
In den LAN-Regeln der Firewall muss analog zu der Regel für das Routing aller Netzwerkkommunikation über das Load-Balancing-Gateway eine Regel für das IPSEC-Remote-Netzwerk angelegt werden, in der das Standardgateway anstelle des LB-Gateways eingetragen ist.
Das habe ich so umgesetzt.
In den Einstellungen für die Einzeln Gateways muss das Gateway, über den der IPSEC-Traffic läuft, die höchste Priorität haben.
Das habe ich so ebenfalls umgesetzt.
Fällt Dir noch was Wichtiges in Bezug auf IPSEC und das Load-Balancing ein?
Konkret habe ich das noch in Foren dazu gefunden:
In den LAN-Regeln der Firewall muss analog zu der Regel für das Routing aller Netzwerkkommunikation über das Load-Balancing-Gateway eine Regel für das IPSEC-Remote-Netzwerk angelegt werden, in der das Standardgateway anstelle des LB-Gateways eingetragen ist.
Das habe ich so umgesetzt.
In den Einstellungen für die Einzeln Gateways muss das Gateway, über den der IPSEC-Traffic läuft, die höchste Priorität haben.
Das habe ich so ebenfalls umgesetzt.
Load Balancing geht immer nur Session basiert ! Zudem hängt es immer ab von der konfigurierten Balancing Policy und ob du den IPsec Tunnel mit dynamischen oder dedizierten Tunnel IP Adressen betreibst. Dedizierte IP Tunnel Endpunkte erzwingen natürlich dann immer einen festen WAN Port. Leider machst du dazu keinerlei Angaben so das man diese Frage im Detail nicht beantworten kann ohne in die Kristallkugel sehen zu müssen. 
Hallo zusammen,
ich denke, ich habe den Fehler dank aquis Unterstützung gefunden.
Ich vermute, dass das Problem mit der aktuellen Firmware 07.28 der Fritz!Box 7590 zusammenhängt, die bei mir am 13.08. automatisch installiert wurde.
Hierfür spricht Folgendes:
1. Obwohl die Verbindung in der Vergangenheit schon einwandfrei funktioniert hat, hat der Netzwerkzugriff auch nach dem Wiederherstellen eines älteren OPNSense-Backups nicht mehr funktioniert.
2. Ich bin der o.g. Anleitung von aqui gefolgt und konnte ebenfalls nicht auf das Netz der Fritz!Box aus meinem LAN zugreifen. Dann habe ich testweise auf die gleiche Art in einer Fritz!Box 6490 Cable mit dem gleichen LAN-IP-Bereich die Verbindung eingerichtet und hier funktionierte es auf Anhieb. Dieses Verhalten ist reproduzierbar.
ich denke, ich habe den Fehler dank aquis Unterstützung gefunden.
Ich vermute, dass das Problem mit der aktuellen Firmware 07.28 der Fritz!Box 7590 zusammenhängt, die bei mir am 13.08. automatisch installiert wurde.
Hierfür spricht Folgendes:
1. Obwohl die Verbindung in der Vergangenheit schon einwandfrei funktioniert hat, hat der Netzwerkzugriff auch nach dem Wiederherstellen eines älteren OPNSense-Backups nicht mehr funktioniert.
2. Ich bin der o.g. Anleitung von aqui gefolgt und konnte ebenfalls nicht auf das Netz der Fritz!Box aus meinem LAN zugreifen. Dann habe ich testweise auf die gleiche Art in einer Fritz!Box 6490 Cable mit dem gleichen LAN-IP-Bereich die Verbindung eingerichtet und hier funktionierte es auf Anhieb. Dieses Verhalten ist reproduzierbar.
Bug in der FritzBox Firmware. Solltest du ggf. an AVM melden !
Schon erledigt.
👍
Antwort von AVM lautet: Dass nur Verbindungen zwischen zwei Fritz!Boxen supportet werden. Hier ist kein Bug bekannt.
Eventuell hilft die Info bzw. Erfahrung dennoch anderen weiter.
Eventuell hilft die Info bzw. Erfahrung dennoch anderen weiter.
