OPNsense site2site IPSEC: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→Rechts) |
|||
| Zeile 32: | Zeile 32: | ||
***Pre-Shared Keys | ***Pre-Shared Keys | ||
[[Datei:Opsense-ipsec-0.png]] | [[Datei:Opsense-ipsec-0.png]] | ||
| + | ==Schaubild== | ||
| + | {{#drawio:linux-sec-fire-03}} | ||
| + | |||
| + | ==Kenndaten== | ||
| + | {| class="wikitable" | ||
| + | ! Einstellung !! fw.it2xx.int !! fw.it2yy.int | ||
| + | |- | ||
| + | | '''IP Address''' || 192.168.hs.2xx || 192.168.hs.2yy | ||
| + | |- | ||
| + | | '''Internes Netz''' || 172.16.2xx.0/24, 172.17.2xx.0/24 || 172.16.2yy.0/24, 172.17.2yy.0/24 | ||
| + | |- | ||
| + | | '''Pre-Shared Key (PSK)''' || colspan="2" | 123Start$-Kit | ||
| + | |- | ||
| + | | '''Phase 1''' || colspan="2" | AES256 – SHA256 – DH16 | ||
| + | |- | ||
| + | | '''Phase 2''' || colspan="2" | AES256 – SHA256 – DH16 | ||
| + | |} | ||
| + | |||
| + | ==Firewall== | ||
| + | ;Wir gehen davon aus, das ausgehender Verkehr freigeschaltet ist. | ||
| + | *Die Gegenseite muss zu unserer Firewall UDP Port 500 und ESP Verbindungen aufbauen können. | ||
| + | *Desweiteren müssen die Partnernetze zu unseren Netzen in der Forward-Kette freigeschaltet werden. | ||
| + | *Wir werden die letzte Regel später noch etwas modifizieren. | ||
| + | *[[NFtables - Strongswan IPSEC Linux PSK - Security und Firewall Labor]] | ||
| + | |||
=VPN: IPsec: Connections= | =VPN: IPsec: Connections= | ||
==Enable IPsec== | ==Enable IPsec== | ||
Version vom 17. Februar 2026, 14:14 Uhr
VPN Daten
Beide Seiten
- Cipher Suits
- PROTO: IKEv2
- IKE: aes256-sha256-modp4096
- ESP: aes256-sha256-modp4096
- PSK: 123Start$
- IKE-LIFETIME: 3h
- ESP-LIFETIME: 1h
Links
- ID: 192.168.12.26
- VPNGW: 192.168.12.26
- NETZ: 172.26.20.0/22
- Firewall
- UDP 192.168.12.34 -> 192.168.12.26:500 - WAN - ALLOW
- ESP 192.168.12.34 -> 192.168.12.26 - WAN - ALLOW
- ANY 172.26.52.0/22 -> 172.26.20.0/22 IPSEC ALLOW
Rechts
- ID: 192.168.12.34
- VPNGW: 192.168.12.34
- NETZ: 172.26.52.0/22
- Firewall
- UDP 192.168.12.20 -> 192.168.12.34:500 - WAN - ALLOW
- ESP 192.168.12.26 -> 192.168.12.34 - WAN - ALLOW
- ANY 172.26.20.0/22 -> 172.26.52.0/22 IPSEC ALLOW
- VPN
- IPsec
- Pre-Shared Keys
- IPsec
Schaubild
![Bearbeiten](javascript:editDrawio("1594284146", "linux-sec-fire-03.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Kenndaten
| Einstellung | fw.it2xx.int | fw.it2yy.int |
|---|---|---|
| IP Address | 192.168.hs.2xx | 192.168.hs.2yy |
| Internes Netz | 172.16.2xx.0/24, 172.17.2xx.0/24 | 172.16.2yy.0/24, 172.17.2yy.0/24 |
| Pre-Shared Key (PSK) | 123Start$-Kit | |
| Phase 1 | AES256 – SHA256 – DH16 | |
| Phase 2 | AES256 – SHA256 – DH16 | |
Firewall
- Wir gehen davon aus, das ausgehender Verkehr freigeschaltet ist.
- Die Gegenseite muss zu unserer Firewall UDP Port 500 und ESP Verbindungen aufbauen können.
- Desweiteren müssen die Partnernetze zu unseren Netzen in der Forward-Kette freigeschaltet werden.
- Wir werden die letzte Regel später noch etwas modifizieren.
- NFtables - Strongswan IPSEC Linux PSK - Security und Firewall Labor
VPN: IPsec: Connections
Enable IPsec
- VPN
- IPsec
- Connections
- IPsec
Add Connection
- VPN
- IPsec
- Connections
- IPsec
Local Authentication
- VPN
- IPsec
- Connections
- Local Authentication
- Connections
- IPsec
Remote Authentication
- VPN
- IPsec
- Connections
- Remote Authentication
- Connections
- IPsec
Children
- VPN
- IPsec
- Connections
- Children
- Connections
- IPsec
VPN: IPsec: Status Overview
VPN: IPsec: Security Policy Database
