IPSEC mit einer statischen und einer dynamischen IP
-
Hi,
ich habe ein weiteres Anliegen
Ich bekomme IPSEC Verbindungen nur ans rennen wenn beide Sites mit statischen Adressen arbeiten.
Hat eine Seite eine dynamische, kommt leider keine Verbindung zustande. Aus der UTM oder LANCOM Welt kenne ich es so, das mit 0.0.0.0 jede eingehende Verbindung akzeptiert wird.
Ich habe widersprüchliches zu dem Thema gefunden, eine davon sagt, das dies seit einem bestimmten Release nicht mehr funktioniert. Ich habe es auch schon mir der 2.5.0 Version getestet.
Vielen Dank für eure Geduld
Gruß Tom
-
Habe hier einen IPSec S2S Tunnel mit einer anderen pfSense und einer Fritzbox.
Alle Seiten haben dynamische IPs, für den Aufbau wird der DynDNS Name verwendet, fertig.
Außer das man mit der Fritz um den Main Mode kämpfen muss, ist IPSec zu einer anderen Sense in wenigen Minuten eingerichtet.Das wird also auch mit einer festen IP auf der einen Seite und einer dynamischen auf der anderen Seite funktionieren.
-
-
Du musst auf der Seite mit dynamischer IP schon den FQDN Namen vom DynDNS als Peer eintragen.
Auf der anderen Seite kannst du dann wieder IP verwenden, weil die ja statisch ist.Also Seite mit fester IP bei my identifier IP und Peer ist dann Distinguished name.
Dynamische Seite dann umgekehrt.Hast das so versucht?
Wenn auf der Seite mit wechselnder IP jedoch kein DynDNS verwendet werden soll/darf, geht das einfach nicht.
-
Hi,
Ja ist mir schon klar wie das geht, nur der Dienst oder die Funktionalität von DynDNS ist nicht erwünscht.
Entweder funktioniert es, das nur eine Seite die Verbindung aufbaut, oder ich muss mir die festen IP´s besorgen. Letzteres sollte ja kein Problem sein und den weg werde ich wohl gehen. Die Frage an die Runde war ja wie ich mit Dynamischen Adressen bei der PFSense arbeite.
Trotzdem vielen Dank
Gruß Tom
-
@tom-3 said in IPSEC mit einer statischen und einer dynamischen IP:
Ja ist mir schon klar wie das geht, nur der Dienst oder die Funktionalität von DynDNS ist nicht erwünscht.
Was soll denn das heißen? Entweder hab ich dynamische Adressen, dann muss ich eben irgendeinen DNS Dienst in Anspruch nehmen und das muss nicht DynDNS sein (das kann man auch selbst mit eigener Domain problemlos lösen) oder ich habe eben statische Adressen. Wo ist das Problem, die dynamic Seite mit nem ordentlichen DNS auszustatten? Hört sich nach irgendeinem Entscheider mit Halbwissen und Quatsch an.
-
Ich kann mir die Entscheider leider nicht aussuchen
Kein dynamisches DNS, ist ja Drama wenn man alternativen hat.
Gruß Tom
-
@tom-3 said in IPSEC mit einer statischen und einer dynamischen IP:
Ich kann mir die Entscheider leider nicht aussuchen.
Kein dynamisches DNSDann gibt es eben auch keine IPSec Site-2-Site.
Du kannst ja OpenVPN einrichten. Das ist eine Client - Server Verbindung, da reicht es am Server eine feste IP zu haben.
-
@tom-3 said in IPSEC mit einer statischen und einer dynamischen IP:
Kein dynamisches DNS, ist ja Drama wenn man alternativen hat.
Sowas kann halt nur von Leuten kommen, die die Technik nicht verstehen. Dynamische IP heißt dynDNS Adresse. Ob das ne eigene via RFC2136 gepushte ist oder ein DynDNS Service ist egal. Kann man auch mit 0.0.0.0 wie die Fritte hinfriemeln sicher, aber die gegenseitige ID ist halt quark. Warum macht man sich also mit solchen Vorgaben die Standardmöglichkeit kaputt, sowas sauber einzurichten?
Ich weiß ja nicht was auf beiden Seiten steht, daher kann man auch nicht sagen, wie man das irgendwie tricksen könnte. Oder man machts eben gleich via OpenVPN zur statischen IP als Server und fertig. Aber IPsec hat eben gewisse Voraussetzungen. Und das 0.0.0.0 bezieht sich ja lediglich auf die eine Seite, die andere muss ja trotzdem für sich was als ID angeben/ausgeben, um die P1 auszuhandeln.
