OPNsense IPSec VPN
- Standardmodul der OPNsense
- Public+Private Key basierend
- Hinweis: Windows erlaubt per Default kein PING aus entfernten Subentzen
- ab OPNsense 23.7 neues Konzept "Connections", "Legacy Tunnel-Settings" ist depretched
06/2025/V.25.1: neues Konzept bringt oft keine Ergebnisse, während Legacy funktioniert
Lancom-Router <-> OPNsense IpSec
- Lancom 10.72
- OPNsense 26.1.2
Lancom Router:
- per Assistent: VPN Site-to-Site
Name der Gegenstelle: Netdesign
FQUN + Passwort (für beide Seiten)
Gateway IP, Ziel-Netzwerk
OPNsense:
- VPN -> IPsec -> Pre-Shared Keys: +ADD
Loal Identifier: (eigene WAN-IP), Remote Indentifier: (entfernt WAN-IP), Typ= PSK, Preshared Key: Key der Lancom Verbindung - VPN -> IPsec -> Connections: +ADD
- Prosposals: wie Lancom
- Version: IKEv2
- Mobike: no
- lokal Adresses: WAN IP-Adresse
- remote Adresses: WAN IP-Adresse
- DPD: leer (30s)
- Pools: nothing - Local Authentication: +ADD
- Connection wie oben
- Round: 0
- Authentication: Pre-Shared Key
- ID: lokale WAN-IP
- Cert: nothing - Remote Authentication: +ADD
- Connection wie oben
- Round: 0
- Authentication: Pre-Shared Key
- ID: remote WAN-IP
- Cert: nothing - Children +ADD (IKE Phase 2)
- Connection wie oben
- Mode: Tunnel
- Policies: check
- Start action: Start
- DPD action: Clear
- Reqid: leer
- ESP prosposals: wie Lancom
- Local: lokale LANs (CIDR)
- Remote: remote LANs (CIDR) - Schnittstelle IPsec (enc0) (Status: grün) taucht unter Schnittstellen -> Overview und unter Firewall Rules auf
- ENABLE IPsec
- Firewall -> Rules -> IPsec: Pass - IPv4 (hier ggf. interne Ziele einschränken!)
- Firewall -> Rules -> WAN: Pass - IPv4 - ESP - (Source-IP= setzen)
- Firewall -> Rules -> WAN: Pass - IPv4 - UDP - (Source-IP= setzen) - Destination-Port: ISAKMP (500)
- Firewall -> Rules -> WAN: Pass - IPv4 - UDP - (Source-IP= setzen) - Destination-Port: IPsec NAT-T (4500)
- Firewall -> LiveView: Interface - IPsec - hier sollten Daten kommen
- VPN -> IPsec -> Status Overview: Phase1 grün, Bytes In und Out müssen fließen
- VPN -> IPsec -> Status Overview: Phase2
OPNsense <-> OPNsense (altes Konzept)
LAN - LAN - Verbindung, Public Key
WAN A: 158.10.10.2
LAN A: 192.168.10.0/24
OPNsense A IP: 192.168.10.1
WAN B: 164.20.20.2
LAN B: 192.168.20.0/24
OPNsense B IP: 192.168.20.1
1. Key Pairs erstellen
- OPNsense A: VPN -> IPsec -> Key Pair -> add key pair (eigene Seite A)
- Name: Key Pair dieses eigenen Endpunktes A
- Key Type: RSA
- 2048bit, generate Key
- Public Key für Gegenseite B abspeichern
- OPNsense B: VPN -> IPsec -> Key Pair -> add key pair (eigene Seite B)
- Name: Key Pair des eigenen Endpunktes B
- Key Type: RSA
- 2048bit, generate Key
- Public Key für Gegenseite A abspeichern
2. Public Key der Gegenseite speichern
- OPNsense A: VPN -> IPsec -> Key Pair -> add key pair (Gegen-Seite B)
- Name: Public Key des zweiten Endpunktes B
- Key Type: RSA 2048bit
- Public Key von OPNsense2 / Key Pair des Endpunktes B rein kopieren
- OPNsense B: VPN -> IPsec -> Key Pair -> add key pair (Gegen-Seite A)
- Name: Public Key des zweiten Endpunktes A
- Key Type: RSA 2048bit
- Public Key von OPNsense2 / Key Pair des Endpunktes A rein kopieren
3. Connection erstellen
- OPNsense A: VPN -> IPsec ->Connections -> new Connection
- Prospsals: Default
- Version: IKEv1+IKEv2
- MOBIKE: aktiv
- Local addresses: WAN IP der eigenen Seite A (158.10.10.2)
- Remote addresses: WAN IP der Gegenseite B (164.20.20.2)
- Description: VPN zu Opensense B
- OPNsense B: VPN -> IPsec ->Connections -> new Connection
- Prospsals: Default
- Version: IKEv1+IKEv2
- MOBIKE: aktiv
- Local addresses: WAN IP der eigenen Seite B (164.20.20.2)
- Remote addresses: WAN IP der Gegenseite A (158.10.10.2)
- Description: VPN zu Opensense A
4. Local und Remote Authentication Seite A erstellen
- OPNsense A: VPN -> IPsec ->Connections -> Local Authentication -> Add
- Connection: "VPN zu Opensense B" auswählen
- Authentication: Public Key
- Public Key: "Key Pair dieses eigenen Endpunktes A"
- Description: OPNsense A key
- OPNsense A: VPN -> IPsec ->Connections -> Remote Authentication -> Add
- wie zuvor
- Public Key: "Public Key des zweiten Endpunktes B"
- Description: OPNsense B key
5. Local und Remote Authentication Seite B erstellen
- sinngemäß wie 4.
6. Child Seite A erstellen
- OPNsense A: VPN -> IPsec -> Connections -> Children -> Add
- Connection: wählen
- Local: LAN A (192.168.10.0/24)
- Remote: LAN B (192.168.20.0/24)
- Description: to_Seite_B
- OPNsense A: VPN -> IPsec -> Connections -> Enable IPsec
7. Child Seite B erstellen
- sinngemäß wie 6.
8. Verbindung testen
- OPNsense A: VPN -> IPsec -> Status Overview
9. Firewall-Regeln (OPNsense A und sinngemäß OPNsense B)
- OPNsense: Firewall -> Rules -> IPsec: ALLOW All
- OPNsense: Firewall -> Rules -> WAN: TCP/IP Version= IPv4, Protocol: ESP, Source: WAN B (164.20.20.2/32)
- OPNsense: Firewall -> Rules -> WAN: TCP/IP Version= IPv4, Protocol: UDP, Source: WAN B (164.20.20.2/32), Destination port range: ISAKMP
- OPNsense: Firewall -> Rules -> WAN: TCP/IP Version= IPv4, Protocol: UDP, Source: WAN B (164.20.20.2/32), Destination port range: IPsec NAT-T
Quellen und Links:
von Uwe Backend-Admin
Kommentare
Einen Kommentar schreiben