9
Ipsec eines LAN-Hosts durch Opnsense leiten
In meinem LAN hängt ein Konnektor (Kocobox) und ein Kartenlesegerät für die Telematik Infrastruktur (Arztpraxis) unter 192.168.1.80 und .81
Dieser Konnektor baut eine IPSEC Verbindung ins Wan auf.
Das Ganze funktionierte mit einer Zywall Firewall mit folgenden Regeln einwandfrei:
LAN-WAN:
Source: 192.168.1.80+192.168.1.81, Destination Adress: any, Service type: TCP/UDP:8443+TCP/UDP:3128+IPSEC_Tunnel ESP:0+IPSEC_TRANSPORT/TUNNEL AH:0+TCP/UDP:53
+UDP:500+TCP/UDP4500+TCP:80+TCP443 (zur Erklärung: bei Zywall lassen sich diese Ports und Protokolle in einer Regel eintragen)
Jetzt versuche ich, da ich die Zywall durch die OPNSENSE ausgetauscht habe die Regel auf die OPNSENSE zu übertragen und scheitere.
Ich habe unter Alias 2 Hosts (192.168.1.80+192.168.1.81) als "_Kocobox" und die Ports 8843, 3128, 53, 80, 443, 500, 4500 als "_telematik zusammengefasst und folgende Regeln erstellt:
1. Protocol IPv4 TCP/UDP, Source _kocobox, port any, destination any, port _telematik
2. Protocol IPv4 ESP , Source _kocobox, port any, destination any, port any
3. Protocol IPv4 AH , Source _kocobox, port any, destination any, port any
Funktioniert leider nicht, den Logs der Kocobox ist zu entnehmen, dass die VPN Verbindung nicht zustande kommt und dummerweise bekomme ich in den Logs der OPNSENSE nicht einen einzigen Eintrag für beide Hosts.
Was mache ich hier falsch?
Dieser Konnektor baut eine IPSEC Verbindung ins Wan auf.
Das Ganze funktionierte mit einer Zywall Firewall mit folgenden Regeln einwandfrei:
LAN-WAN:
Source: 192.168.1.80+192.168.1.81, Destination Adress: any, Service type: TCP/UDP:8443+TCP/UDP:3128+IPSEC_Tunnel ESP:0+IPSEC_TRANSPORT/TUNNEL AH:0+TCP/UDP:53
+UDP:500+TCP/UDP4500+TCP:80+TCP443 (zur Erklärung: bei Zywall lassen sich diese Ports und Protokolle in einer Regel eintragen)
Jetzt versuche ich, da ich die Zywall durch die OPNSENSE ausgetauscht habe die Regel auf die OPNSENSE zu übertragen und scheitere.
Ich habe unter Alias 2 Hosts (192.168.1.80+192.168.1.81) als "_Kocobox" und die Ports 8843, 3128, 53, 80, 443, 500, 4500 als "_telematik zusammengefasst und folgende Regeln erstellt:
1. Protocol IPv4 TCP/UDP, Source _kocobox, port any, destination any, port _telematik
2. Protocol IPv4 ESP , Source _kocobox, port any, destination any, port any
3. Protocol IPv4 AH , Source _kocobox, port any, destination any, port any
Funktioniert leider nicht, den Logs der Kocobox ist zu entnehmen, dass die VPN Verbindung nicht zustande kommt und dummerweise bekomme ich in den Logs der OPNSENSE nicht einen einzigen Eintrag für beide Hosts.
Was mache ich hier falsch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 490928
Url: https://administrator.de/contentid/490928
Printed on: April 23, 2024 at 09:04 o'clock
9 Comments
Latest comment
Moin,
auch bei der Opensense muss das logging mit, bzw in, einer Regel aktiviert werden.
Gruß
Spirit
auch bei der Opensense muss das logging mit, bzw in, einer Regel aktiviert werden.
Gruß
Spirit
Hallo,
Gruß,
Peter
Zitat von @Spirit-of-Eli:
auch bei der Opensense muss das logging mit, bzw in, einer Regel aktiviert werden.
Manche wollen aber keine Logs weil die dann nicht wissen müssen das etwas nicht so ist wie es sollte. Ohne Log-einträge gibts auch keine Fehlerauch bei der Opensense muss das logging mit, bzw in, einer Regel aktiviert werden.
Gruß,
Peter
Nur um Missverständnisse zu vermeiden: Mir gehts hier nicht ums Logging, sondern um die korrekten Firewallregeln, um dem im LAN hängenden Host VPN ins WAN durch die OPNSENSE hindurch zu ermöglichen (siehe Beschreibung im ersten Post)! Im übrigen bekomme ich auch keine Logging Einträge, wenn ich das Logging für die 3 Regeln aktiviere!
Wenn ich hier im Forum nach VPN suche, finde ich immer nur VPN von Router zu Router, hier gehts aber um einen Host im LAN, der selbstständig das VPN nach draußen aufbaut und derzeit leider von den Regeln der OPNSENSE davon abgehalten wird.
Hi,
-
Meine Empfehlung für die Firewall Regeln (TCP/UDP war früher bei pfSense fehlerhaft):
1. Pass, IPv4 TCP, Source _kokobox, port any, destination any, port 8843,443,80,3128, log
2. Pass, IPv4 UDP, Source _kokobox, port any, destination any, port 53,500,4500, log
3. Pass, IPv4 ESP , Source _kocobox, port any, destination any, port any, log
4. Pass, IPv4 AH , Source _kocobox, port any, destination any, port any, log ; (wird wahrscheinlich nicht benötigt !)
5. Block IPv4 any, Source _kocobox, port any, destination any, port any, log
..
Letzte Regel. Block IPv4 any, Source any, port any, destination any, port any, log
Mmit diesen Regeln mußt du jegwelche Kommunikation die von der Kokobox aufgebaut wird in den Logs sehen.
ggf. den Unterstrich am Anfang der Aliase entfernen.
CH
Im übrigen bekomme ich auch keine Logging Einträge, wenn ich das Logging für die 3 Regeln aktiviere!
Dann stimmt was im allgemeinen bei deinem Setup nicht.-
Meine Empfehlung für die Firewall Regeln (TCP/UDP war früher bei pfSense fehlerhaft):
1. Pass, IPv4 TCP, Source _kokobox, port any, destination any, port 8843,443,80,3128, log
2. Pass, IPv4 UDP, Source _kokobox, port any, destination any, port 53,500,4500, log
3. Pass, IPv4 ESP , Source _kocobox, port any, destination any, port any, log
4. Pass, IPv4 AH , Source _kocobox, port any, destination any, port any, log ; (wird wahrscheinlich nicht benötigt !)
5. Block IPv4 any, Source _kocobox, port any, destination any, port any, log
..
Letzte Regel. Block IPv4 any, Source any, port any, destination any, port any, log
Mmit diesen Regeln mußt du jegwelche Kommunikation die von der Kokobox aufgebaut wird in den Logs sehen.
ggf. den Unterstrich am Anfang der Aliase entfernen.
CH
Hier ist alles beschrieben was du zu dem Thema wissen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Du musst bei IPsec immer die folgenden Ports in den Firewall Regeln freigeben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Du musst bei IPsec immer die folgenden Ports in den Firewall Regeln freigeben:
- UDP 500 (IKE)
- UDP 4500 (NAT Traversal)
- ESP Protokoll (IP Protokoll Nummer 50. Achtung kein TCP oder UDP ! ESP ist ein eigenes IP Protokoll !)
- (Optional UDP 1701 wenn L2TP mit IPsec)
Da stehen zwar viele Szenarien beschrieben, aber keines mit einem Rechner im LAN, der das VPN ins WAN selbst aufbaut. Alles nur Router zu Router über VPN oder vom Internet Zugriff über VPN auf den Router.
Meine Kette sieht so aus LAN-Switch-OPNSENSE-Draytec Vigor. Also keine Router Kaskade, wie in den Beispielen beschrieben!
Meine Kette sieht so aus LAN-Switch-OPNSENSE-Draytec Vigor. Also keine Router Kaskade, wie in den Beispielen beschrieben!
Hallo,
https://forum.opnsense.org/index.php?topic=7566.0
https://forum.opnsense.org/index.php?topic=10836.0
https://docs.opnsense.org/manual/logging_firewall.html
Gruß,
Peter
Zitat von @simbea:
Da stehen zwar viele Szenarien beschrieben, aber keines mit einem Rechner im LAN, der das VPN ins WAN selbst aufbaut. Alles nur Router zu Router über VPN oder vom Internet Zugriff über VPN auf den Router.
Aber du tauscht deine Zywall gegen eine OPNSense, danach tut es etwas NICHT mehr. Fehler in der OPNSense. Es kann aber auch sein das die Kocobox nur bestimmte Macs zulässt. WEnn deine OPNSense nichts, aber auch gar nichts protokolliert, wird die auch nicht verwendet.Da stehen zwar viele Szenarien beschrieben, aber keines mit einem Rechner im LAN, der das VPN ins WAN selbst aufbaut. Alles nur Router zu Router über VPN oder vom Internet Zugriff über VPN auf den Router.
https://forum.opnsense.org/index.php?topic=7566.0
https://forum.opnsense.org/index.php?topic=10836.0
https://docs.opnsense.org/manual/logging_firewall.html
Also keine Router Kaskade, wie in den Beispielen beschrieben!
Also hat deine Kocobox sowohl einen LAN Port undeinen WAN Port und beide sind in Benutzung und somit hast du vor Ort 2 getrennte Internet (DSL, aDSL, xDSL whatsoever) zugänge.Gruß,
Peter
aber keines mit einem Rechner im LAN, der das VPN ins WAN selbst aufbaut.
Na ja das ist ja dann auch Kinderkram, weil du dort dann lediglich das VPN Protokoll des VPN Clients im LAN identifizieren musst um zu wissen welche Ports und Protokolle das nutzt und was du dann letztlich auf der Firewall freigeben musst.Das war durch deine Beschreibung nicht klar, sorry. Es hörte sich nach einem klassichen Kaskaden Szenario an.
Die relevanten Ports findest du ja auch im o.a. Tutorial in der Beziehung war es ja nicht ganz umsonst.
Natürlich sofern du das verwendete VPN Protokoll identifiziert hast. Im Zweifel ist da immer der Wireshark dein bester Freund !
