OPNsense site2site IPSEC: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(31 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=VPN Daten=
 
=VPN Daten=
==Beide Seiten==
+
==Kenndaten==
;Cipher Suits
+
{| class="wikitable"
*PROTO: IKEv2
+
! Einstellung !! opnsense.it213.xinmen.de !! opnsense.it214.xinmen.de
*IKE: aes256-sha256-modp4096
+
|-
*ESP: aes256-sha256-modp4096
+
| '''Protokoll 2''' || colspan="2" | IKEv2
*PSK: 123Start$
+
|-
*IKE-LIFETIME: 3h
+
| '''ID''' || 192.168.4.213 || 192.168.4.214
*ESP-LIFETIME: 1h
+
|-
 +
| '''IP Address''' || 192.168.4.213 || 192.168.4.214
 +
|-
 +
| '''Internes Netz''' || 172.17.213.0/24 || 172.17.214.0/24
 +
|-
 +
| '''Pre-Shared Key (PSK)''' || colspan="2" | 123Start$
 +
|-
 +
| '''Phase 1''' || colspan="2" | AES256 – SHA256 – DH16
 +
|-
 +
| '''Phase 2''' || colspan="2" | AES256 – SHA256 – DH16
 +
|-
 +
| '''IKE-LIFETIME (Phase 1)''' || colspan="2" | 10800s
 +
|-
 +
| '''ESP-LIFETIME (Phase 2)''' || colspan="2" | 3600s
 +
|}
  
==Links==
 
*ID: 192.168.12.26
 
*VPNGW: 192.168.12.26
 
*NETZ: 172.26.20.0/22
 
;Firewall
 
*UDP 192.168.12.34 -> 192.168.12.26:500 - WAN - ALLOW
 
*ESP 192.168.12.34 -> 192.168.12.26 - WAN - ALLOW
 
*ANY 172.26.52.0/22 ->  172.26.20.0/22 IPSEC ALLOW
 
 
==Rechts==
 
*ID: 192.168.12.34
 
*VPNGW: 192.168.12.34
 
*NETZ: 172.26.52.0/22
 
;Firewall
 
*UDP 192.168.12.20 -> 192.168.12.34:500 - WAN - ALLOW
 
*ESP 192.168.12.26 -> 192.168.12.34 - WAN - ALLOW
 
*ANY 172.26.20.0/22 ->  172.26.52.0/22 IPSEC ALLOW
 
 
==Schaubild==
 
==Schaubild==
 
{{#drawio:opns-sec-fire-04}}
 
{{#drawio:opns-sec-fire-04}}
  
==Firewall==
+
=IT213 Seite=
;Wir gehen davon aus, das ausgehender Verkehr freigeschaltet ist.
+
 
*Die Gegenseite muss zu unserer Firewall UDP Port 500 und ESP Verbindungen aufbauen können.
 
*Desweiteren müssen die Partnernetze zu unseren Netzen freigeschaltet werden.
 
  
  
Zeile 39: Zeile 34:
 
**IPsec
 
**IPsec
 
***Pre-Shared Keys
 
***Pre-Shared Keys
[[Datei:Opsense-ipsec-0.png]]
+
{| class="wikitable"
=VPN: IPsec: Connections=
+
! Feld !! Wert
==ADD PSK==
+
|-
 +
| Local Identifier || 192.168.4.213
 +
|-
 +
| Remote Identifier || 192.168.4.214
 +
|-
 +
| Pre-Shared Key || 123Start$
 +
|-
 +
| Type || PSK
 +
|-
 +
| Description || -
 +
|}
 +
 
 +
=VPN: IPsec: Connections (Advanced Options einblenden)=
 
*VPN
 
*VPN
 
**IPsec
 
**IPsec
***PREshared_Key
+
***Connections
[[Datei:Opsense-ipsec-1.5.png]]
+
{| class="wikitable"
 
+
! Parameter !! Wert
 +
|-
 +
| Enabled || Ja
 +
|-
 +
| Proposals || aes256-sha256-modp4096 (DH16)
 +
|-
 +
| Unique || No (default)
 +
|-
 +
| Aggressive Mode || Nein
 +
|-
 +
| Version || IKEv2
 +
|-
 +
| MOBIKE || Ja
 +
|-
 +
| Local addresses || 192.168.4.213
 +
|-
 +
| Local port || 500
 +
|-
 +
| Remote addresses || 192.168.4.214
 +
|-
 +
| Remote port || 500
 +
|-
 +
| UDP encapsulation || Nein
 +
|-
 +
| Re-auth time (s) || 10800
 +
|-
 +
| Rekey time (s) || -
 +
|-
 +
| Over time (s) || -
 +
|-
 +
| DPD delay (s) || -
 +
|-
 +
| DPD timeout (s) || -
 +
|-
 +
| Pools || None
 +
|-
 +
| Send cert req || Ja
 +
|-
 +
| Send certificate || Default
 +
|-
 +
| Keyingtries || -
 +
|-
 +
| Description || it213-it214
 +
|}
  
 
==Enable IPsec==
 
==Enable IPsec==
Zeile 52: Zeile 102:
 
**IPsec
 
**IPsec
 
***Connections
 
***Connections
[[Datei:Opsense-ipsec-0.5.png]]
+
****Enable IPSEC (x)
==Add Connection==
+
 
*VPN
 
**IPsec
 
***Connections
 
[[Datei:Opsense-ipsec-1.png]]
 
 
==Local Authentication==
 
==Local Authentication==
 
*VPN
 
*VPN
Zeile 63: Zeile 109:
 
***Connections
 
***Connections
 
****Local Authentication
 
****Local Authentication
[[Datei:Opsense-ipsec-2.png]]
+
{| class="wikitable"
 +
! Parameter !! Wert
 +
|-
 +
| Enabled || Ja
 +
|-
 +
| Connection || it213-it214
 +
|-
 +
| Round || 0
 +
|-
 +
| Authentication || Pre-Shared Key
 +
|-
 +
| ID || 192.168.4.213
 +
|-
 +
| Certificates || None
 +
|-
 +
| Description || -
 +
|}
 +
 
 
==Remote Authentication==
 
==Remote Authentication==
 
*VPN
 
*VPN
Zeile 69: Zeile 132:
 
***Connections
 
***Connections
 
****Remote Authentication
 
****Remote Authentication
[[Datei:Opsense-ipsec-3.png]]
+
{| class="wikitable"
 +
! Parameter !! Wert
 +
|-
 +
| Enabled || Ja
 +
|-
 +
| Connection || it213-it214
 +
|-
 +
| Round || 0
 +
|-
 +
| Authentication || Pre-Shared Key
 +
|-
 +
| ID || 192.168.4.214
 +
|-
 +
| Certificates || None
 +
|-
 +
| Certificate Authorities || None
 +
|-
 +
| Description || -
 +
|}
  
 
==Children==
 
==Children==
Zeile 76: Zeile 157:
 
***Connections
 
***Connections
 
****Children
 
****Children
[[Datei:Opsense-ipsec-4.png]]
+
{| class="wikitable"
 +
! Parameter !! Wert
 +
|-
 +
| Enabled || Ja
 +
|-
 +
| Connection || it213-it214
 +
|-
 +
| Use sha256_96 || Nein
 +
|-
 +
| Mode || Tunnel
 +
|-
 +
| Policies || Ja
 +
|-
 +
| Start action || Start
 +
|-
 +
| Close action || None
 +
|-
 +
| DPD action || Clear
 +
|-
 +
| Reqid || -
 +
|-
 +
| ESP proposals || aes256-sha256-modp4096 (DH16)
 +
|-
 +
| Local network || 172.17.213.0/24
 +
|-
 +
| Remote network || 172.17.214.0/24
 +
|-
 +
| Rekey time (s) || 3600
 +
|-
 +
| Description || it213-it214-net
 +
|}
 +
 
 +
=VPN: Status Overview=
 +
*VPN
 +
**IPsec:
 +
***Status Overview
  
=VPN: IPsec: Status Overview=
 
[[Datei:Opsense-ipsec-5.png]]
 
 
=VPN: IPsec: Security Policy Database=
 
=VPN: IPsec: Security Policy Database=
[[Datei:Opsense-ipsec-6.png]]
+
*VPN
=Freischalten in der Firewall=
+
**IPsec
[[Datei:Opsense-ipsec-8.png]]
+
***Security Policy Database
 +
==Firewall==
 +
;Wir gehen davon aus, das ausgehender Verkehr freigeschaltet ist.
 +
*Die Gegenseite muss zu unserer Firewall UDP Port 500 und ESP Verbindungen aufbauen können.
 +
*Desweiteren müssen die Partnernetze zu unserem Netz freigeschaltet werden.
 +
 
 +
== IPsec / WAN Firewall-Regeln ==
 +
{| class="wikitable"
 +
! Protokoll !! Quelle !! Ziel !! Interface !! Aktion
 +
|-
 +
| UDP (Port 500) || 192.168.4.214 || 192.168.4.213 || WAN || ALLOW
 +
|-
 +
| ESP || 192.168.4.214 || 192.168.4.213 || WAN || ALLOW
 +
|-
 +
| ANY || 172.17.214.0/24 || 172.17.213.0/24 || IPSEC || ALLOW
 +
|}

Aktuelle Version vom 18. Februar 2026, 07:21 Uhr

VPN Daten

Kenndaten

Einstellung opnsense.it213.xinmen.de opnsense.it214.xinmen.de
Protokoll 2 IKEv2
ID 192.168.4.213 192.168.4.214
IP Address 192.168.4.213 192.168.4.214
Internes Netz 172.17.213.0/24 172.17.214.0/24
Pre-Shared Key (PSK) 123Start$
Phase 1 AES256 – SHA256 – DH16
Phase 2 AES256 – SHA256 – DH16
IKE-LIFETIME (Phase 1) 10800s
ESP-LIFETIME (Phase 2) 3600s

Schaubild

IT213 Seite

VPN: IPsec: Pre-Shared Keys

  • VPN
    • IPsec
      • Pre-Shared Keys
Feld Wert
Local Identifier 192.168.4.213
Remote Identifier 192.168.4.214
Pre-Shared Key 123Start$
Type PSK
Description -

VPN: IPsec: Connections (Advanced Options einblenden)

  • VPN
    • IPsec
      • Connections
Parameter Wert
Enabled Ja
Proposals aes256-sha256-modp4096 (DH16)
Unique No (default)
Aggressive Mode Nein
Version IKEv2
MOBIKE Ja
Local addresses 192.168.4.213
Local port 500
Remote addresses 192.168.4.214
Remote port 500
UDP encapsulation Nein
Re-auth time (s) 10800
Rekey time (s) -
Over time (s) -
DPD delay (s) -
DPD timeout (s) -
Pools None
Send cert req Ja
Send certificate Default
Keyingtries -
Description it213-it214

Enable IPsec

  • VPN
    • IPsec
      • Connections
        • Enable IPSEC (x)

Local Authentication

  • VPN
    • IPsec
      • Connections
        • Local Authentication
Parameter Wert
Enabled Ja
Connection it213-it214
Round 0
Authentication Pre-Shared Key
ID 192.168.4.213
Certificates None
Description -

Remote Authentication

  • VPN
    • IPsec
      • Connections
        • Remote Authentication
Parameter Wert
Enabled Ja
Connection it213-it214
Round 0
Authentication Pre-Shared Key
ID 192.168.4.214
Certificates None
Certificate Authorities None
Description -

Children

  • VPN
    • IPsec
      • Connections
        • Children
Parameter Wert
Enabled Ja
Connection it213-it214
Use sha256_96 Nein
Mode Tunnel
Policies Ja
Start action Start
Close action None
DPD action Clear
Reqid -
ESP proposals aes256-sha256-modp4096 (DH16)
Local network 172.17.213.0/24
Remote network 172.17.214.0/24
Rekey time (s) 3600
Description it213-it214-net

VPN: Status Overview

  • VPN
    • IPsec:
      • Status Overview

VPN: IPsec: Security Policy Database

  • VPN
    • IPsec
      • Security Policy Database

Firewall

Wir gehen davon aus, das ausgehender Verkehr freigeschaltet ist.
  • Die Gegenseite muss zu unserer Firewall UDP Port 500 und ESP Verbindungen aufbauen können.
  • Desweiteren müssen die Partnernetze zu unserem Netz freigeschaltet werden.

IPsec / WAN Firewall-Regeln

Protokoll Quelle Ziel Interface Aktion
UDP (Port 500) 192.168.4.214 192.168.4.213 WAN ALLOW
ESP 192.168.4.214 192.168.4.213 WAN ALLOW
ANY 172.17.214.0/24 172.17.213.0/24 IPSEC ALLOW
Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_site2site_IPSEC&oldid=67026