Pakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Komisch Bei mir ist halt wegen Route-Based noch disable_policy=0 aber sonst auch genau wie bei dir. Ich hab jetzt mal testweise damit ich wieder arbeiten ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Seltsam Ich hab auch n Debian 12. Der IPSec isn IKEv2. Kannst du mir evtl. deine sysctl für die betreffenden Interfaces zukommen lassen? Ich vermute, ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Da hab ich testweise auch ne any Regel gebaut. Es scheitert ja schon daran, dass der Traffic Richtung Wireguard (OPNSense) das entsprechende Interface aufm Debian ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Die nftables FOTWARD chain sieht aktuell testweise so aus (daran sollte also also auch definitiv nicht liegen): ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Jap, is defintiv aus. Jap, die relevanten Einträge hier: Global: BGP: Default MTU 1500 abzüglich PPPoE abzüglich IPv6 abzüglich Wireguard gibt 1412, deshalb 1412, weil ...
27
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Also zur Auflösung: Mit folgendem script funktioniert es jetzt: In der swanctl ist für jeden Tunnel eine connection konfiguriert, die children sind mit konfiguriert, Transfernetz ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Sorry, dachte das wurde klar. Dann versteh ichs noch nicht so ganz was du genau meinst. Genau diese IP-Änderung muss ich auf dem Tunnel Interface ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Ok dann gabs da wohl n Missverständnis. Der Strongswan ist der Responder, die Fortis mit dyn. IPs sind die Initiatoren. Sobald die Verbindung aufgebaut wird ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Yep, FRR läuft eh schon für die ganzen wireguard Tunnel (das kann Forti ja leider nicht). Ab dem zweiten Tunnel hab ich dann nur das ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Hab ich mir fast gedacht. Danke trotzdem! Dann wirds wohl ein Tunnel pro Remote-Site. Jap, das funktioniert so mit der Forti tatsächlich nicht, die lässt ...
13
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 28.07.2024
So und jetzt die Auflösung: Ich hab das Ganze noch nicht produktiv eingesetzt sondern erstmal hinter meiner alten OPNsense, welche das dann logischerweise geblockt hat. ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 28.07.2024
Also auch mit der ESP Regel auf der Forti geht’s nicht. Ich Probier jetzt mal noch aus, was passiert wenn ich in Strongswan als remote_addrs ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Haha ja so scheint das wohl zu sein. :-D Das automatisieren bei der Forti geht nicht so einfach haha, besser gesagt gar nicht. aber ich ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Is ja auch behindert, dass man das für v6 extra aktivieren muss. Für v4 macht sies von selbst ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Das wars auch bei mir. Ein "Problem" hab ich noch: Wenn der Tunnel rum-idled und ich versuche vom strongswan in Richtung Forti zu Pingen macht ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Jupp das meinte ich mit der gleichen Config, hab local_addrs auf die v6 Adresse angepasst sowie in Phase 2 local_ts und remote_ts. Ich krieg jetzt ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Ah und noch ne frage: Wie würde das Ganze für IPv6 aussehen? Hab das mal exakt mit der gleichen Config nachgestellt, Tunnel steht auch hier ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Danke, stimmt! Ich korrigiere: automatisieren ;-) Läuft derzeit auf ner Debian-Kiste, /etc/network/interfaces und so xD ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Ja so läuft das jetzt auch bei mir. Ich hab keine Ahnung woran es genau lag. Entweder an reqid oder an den sysctl Dingern. Jetzt ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Mit der 10.58.0.1 (die die auch aufm Interface konfiguriert ist) auf die 10.58.0.2 (die die auf der Forti konfiguriert ist). Die Pakete sieht man auch ...
22
KommentareFehlender Internetverbindung verlangsamt UAC
Erstellt am 01.02.2024
Ja das stimmt auch wieder. Ist mir bei meinen Überlegungen auch gekommen, dann soll doch der Server wissen, dass er nicht darf. Mein Server is ...
6
KommentareFehlender Internetverbindung verlangsamt UAC
Erstellt am 01.02.2024
Danke schonmal für die Antworten! Als Info noch (hatte ich vergessen): Die Server laufen auf Windows Server 2022, 2019 und 2016, die Clients auf Win ...
6
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 03.05.2023
Leider nicht. Werde wohl damit vorlieb nehmen, dass das Zertifikat nicht geprüft wird Nicht geil aber geht halt aktuell nicht anders. Danke trotzdem an euch ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Ah hat sich gerade erledigt, hab die Zertifikate durcheinander gebracht. Jetzt sagt er mir "nur" noch: ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Ja, habs nochmal geprüft, die CRL via http kann man vom Debian aus herunterladen. Achso, ja das war die Vorlage von der Windows PKI. Was ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Guter Punkt. Im Zertifkat gibt es zwei Sperrlisten-Verteilungspunkte: http und LDAP. Auf die Sperrliste, die über HTTP erreichbar ist, kann jeder im Netzwerk zugreifen, auf ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Bei mir ist es /etc/ldap, da gibts aber keine Unterverzeichnisse. Aber selbst wenn ich die anlege und die Config dahingehend anpasse ändert es nicht. Was ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Es ist nur das Root-Zertifikat. EDIT: Aber selbst wenn ich die Intermediates dazu packe (egal in welcher Reihenfolge): gleicher Fehler. Syslog spuckt nix dazu aus. ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Ah verstehe, hab auch das mal versucht aber gleicher Fehler. ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Da es ja funktioniert, wenn ich die Config-Option ins die /etc/ldap/ldap.conf reinschreibe, nimmt er die Datei offensichtlich schon für die Config her, nur scheint der ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Du meintest hier vermutlich oder? ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Jop hab ich gesehen, ich meinen auch. ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Leider nicht -> gleicher Fehler. EDIT: Das TLS_CACERT war ja schon korrekt gesetzt in der ldap.conf. Hab auch mal versucht, direkt das Root-CA-Zertifkat anzugeben, ohne ...
21
KommentareTLS für LDAPs auf Debian 11 streikt
Erstellt am 01.05.2023
Gern: Ketanest ...
21
KommentareNeues LAPS CSP GPO nicht konfigurierbar
Erstellt am 18.04.2023
Danke! @icer Dann bin ich doch nicht ganz verblödet :-D Gruß Ketanest ...
12
KommentareNeues LAPS CSP GPO nicht konfigurierbar
Erstellt am 18.04.2023
Bei mir eben nicht Leider Auch hier lag nix Grüße Ketanest ...
12
KommentareNeues LAPS CSP GPO nicht konfigurierbar
Erstellt am 17.04.2023
Gut, fließender Übergang verstehe ich. Gibts irgendwo eine ordentliche Dokumentation zu den Powershell-Befehlen? Also mit Parametern, etc. Weil hier sind nur die Befehle aufgelistet ...
12
KommentareNeues LAPS CSP GPO nicht konfigurierbar
Erstellt am 17.04.2023
Naja zumindest für das beschriebene Problem, dass man LAPS Legacy NACH der Installation des April-CUs nochmal installiert war das ein Lösungsansatz (unter anderem hier:. ...
12
KommentareNeues LAPS CSP GPO nicht konfigurierbar
Erstellt am 17.04.2023
=> Genau da liegt der Fauxpas. Einerseits sollte das nicht passieren, LAPS Legacy gibt's ja nicht erst seit gestern, das hätte MS eigentlich berücksichtigen ...
12
KommentareWindows CA: Template für Issuing CA neu angelegt
Erstellt am 17.08.2022
Zitat von @Dani: Moin, >> Joar ich probiere mal. Die "kaputte" SubCA (ja ich weiß eigentlich ist sie technisch nicht kaputt) muss halt bis ...
7
KommentareWindows CA: Template für Issuing CA neu angelegt
Erstellt am 15.08.2022
Zitat von @Dani: Moin, >> Ggf. stell ich das mal in einer Testumgebung nach. Zertifikat neu ausstellen für ne SubCA geht ja dann eigentlich ...
7
KommentareWindows CA: Template für Issuing CA neu angelegt
Erstellt am 15.08.2022
Zitat von @Dani: Moin, >> Ich nehme mal an, dass durch ein Kopieren der Vorlage in den alten Namen, die Ausstellung wieder funktionieren würde. ...
7
KommentareAD Zertifizierungsstelle - Auto Deploy Sub-CA festlegen möglich?
Erstellt am 18.01.2022
Zitat von emeriks: Aber schau mal hier: AD DS Site Awareness for AD CS and PKI Clients Ich habe das nicht komplett gelesen, aber ...
5
KommentareWindows 10 Enterprise LTSC Trial von microsoft.com wie lizenzieren?
Erstellt am 18.01.2022
Bei der Installation der Eval kannst du die Version ja auswählen. Wenn du nachträglich einen Lizenzschlüssel eingibst, wird Windows 10 automatisch zur der Version, ...
2
KommentareUnterschiedliche Domains auf selben vhost in Apache
Erstellt am 18.01.2022
Ja geht. Wenn du ein Wildcard-Zertifikat hast, bräuchtest du eigentlich auch keinen zweiten vhost, sondern musst lediglich die config um einen zweiten ServerAlias erweitern ...
4
KommentareAD Zertifizierungsstelle - Auto Deploy Sub-CA festlegen möglich?
Erstellt am 18.01.2022
Zitat von emeriks: Hi, so, wie ich das verstanden habe, ist das Konzept der Sub-CAs nicht der Lastverteilung (z.B. über Standorte) geschuldet. Hier geht ...
5
KommentareDNSSEC Validation für Windows Server aktivieren
Erstellt am 18.01.2022
Zitat von lcer00: Die Aktivierung der Funktion ist weiter über dnscmd möglich: Danach Neustart des Dienstes. Wieder ausschalten: Danach Neustart des Dienstes. Kurze Anmerkung ...
8
KommentareBind9 löst Adressen teilweise erst nach Neustart wieder auf
Erstellt am 10.01.2022
im Zone-Statement hilft enorm ...
1
KommentarOPNSense - IPv6-TCP-Verbindungen auf die Firewall schlagen fehl
Erstellt am 19.10.2021
Ah jetzt^^ Naja sonst hab ich da nie rumgespielt, bin nur durch den Thread im OPN-Forum darauf aufmerksam geworden und hab das halt mal ...
10
KommentareOPNSense - IPv6-TCP-Verbindungen auf die Firewall schlagen fehl
Erstellt am 19.10.2021
> Benötigst du ja auch in einem Standard Regelwerk NICHT, oder nur in sehr seltenen Ausnahmen. Wenn du dir in den AOs sowas verfummelst ...
10
Kommentare