VPN-IPsec Lancom hinter Opnsense

Guten Tag,

versuche eine IPsec Verbindung mit einem Lancom-Router hinter einer Opnsense Firewall aufzubauen. Folgende Einstellungen habe ich in der Opnsense vorgenommen (siehe Bildanhang):

ipsec_fw

ipsec2_nat

Der Verbindungsaufbau klappt aber leider nicht. Schalte ich die Firewall ab oder gebe ich alle Ports WAN -> LAN frei klappt der Verbindungsaufbau sofort.

Was fehlt bzw. ist falsch konfiguriert?

Danke!

Content-Key: 574971

Url: https://administrator.de/contentid/574971

Ausgedruckt am: 27.01.2022 um 05:01 Uhr

Mitglied: aqui
aqui 27.05.2020 aktualisiert um 13:56:08 Uhr
Goto Top
Port TCP 10000 ist Blödsinn den gibt es im IPsec nicht und solltest du besser entfernen !
Ist das IPsec Native oder L2TP was IPsec als Transport nutzt ? Das wäre noch zu klären. Wenn letzteres fehlt da noch UDP 1701
Ansonsten ist das Firewall Regelwerk komplett falsch. Siehst du ja auch sicher selber wenn du mal genau hinsiehst.
Als Zieladresse ist am WAN Port eine RFC 1918 IP Adresse eingegeben was natürlich völliger Unsinn ist. Diese IP Netze sind im Internet gar nicht routebar können also von eingehenden IP Paketen aus dem Internet niemals als Ziel definiert sein. Das VPN Ziel ist logischerweise in so einer Router Kaskade immer die WAN IP Adresse selber.
Im Firewall Log sollte dir dann auch immer angezeigt werden das die eingehenden IPsec Pakete geblockt werden. Vermutlicvh hast du wie üblich da noch nie reingesehen. :-( face-sad
Erst die Port Weiterleitung definiert das dann auf die lokale IP im Koppelnetz.
Siehe auch hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Passe also die Regel und das Port Forwarding an dann kommt das auch sofort zum Fliegen.

Was der Design Unsinn soll ein VPN hinter der Firewall zu terminieren, die das so oder so besser und performanter selber kann, weiss wohl auch nur der TO selber. Aber egal...
Lesenswert dazu:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...
und weitere Threads zu dem Thema hier im Forum in den weiterführenden Links.
Heiß diskutierte Beiträge
question
Marode Netzwerk-Infrastruktur im kleinen Unternehmen - wo anfangen?StephanXVor 1 TagFrageNetzwerkmanagement48 Kommentare

Guten Abend zusammen, es geht um einen kleinen Betrieb (Kfz-Werkstatt) mit einer recht wirren und planlosen Netzwerkstruktur und Datensicherung, welche ich so langsam mal richten ...

general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic32 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 23 StundenAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 19 StundenAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Vorkehrungen für einen StromausfallahussainVor 9 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 8 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...