gelöst: ich bitte um hilfe beim verbinden von openvpn mit ipsec



  • ich habe einen funktionierenden vpn tunnel mit openvpn mit 2 standorten. die lans 192.168.1.0/24 und 192.168.3.0/24 lassen sich wunderbar gegenseitig finden.

    seit kurzem benutze ich ipsec für einige android und ios geräte um mich am servernetz 192.168.1.0/24 anzumelden. auch hier ist local alles erreichbar wie ich will.

    nun wäre es super wenn mir jemand genau sagen könnte welche regeln und nat einstellungen ich machen muss um vom ipsec über das openvpn bis an die ip's 192.168.3.0/24 zu kommen.

    meine pfsenseversion ist 2.1 und ein update ist nicht möglich.

    vielen dank



  • @pfsense21 said in ich bitte um hilfe beim verbinden von openvpn mit ipsec:

    meine pfsenseversion ist 2.1 und ein update ist nicht möglich.

    Warum?



  • This post is deleted!


  • @pfsense21 said in ich bitte um hilfe beim verbinden von openvpn mit ipsec:

    weil ich das display an meinem router gern habe und es wohl keine möglichkeit gibt dieses display auf der aktuellen version zum leuchten zu bekommen.

    Und deswegen benutzt du eine Version von 2013? Ganz ehrlich, das ist einfach komplett bescheuert.



  • This post is deleted!

  • Moderator

    Also auch wenn es @Grimson nicht so wahnsinnig freundlich ausgedrückt hat - Wortwahl alle, bitte! - hat er trotzdem vom Sinngehalt her völlig recht. Du nutzt nur wegen eines Displays - von dem du nichts geschrieben hast - eine steinalte Version die etliche andere Probleme hatte und hat und noch dazu eine nicht mehr unterstützte IPSec Version (noch dazu einen komplett anderen Deamon als heute mit strongswan)?
    Dass die heute mit aktuellen Clients und Ciphern etc. Probleme bekommt ist leider vorprogrammiert. Da hast du überhaupt Glück dass die noch als Gegenstelle läuft.

    Wenn man per IPSec das Netz auf der Gegenseite erreichen will muss das einfach den Clients auch bekannt gemacht werden. Momentan wirst du wohl nur das 1er Netz pushen also muss eben einfach das 3er Netz noch mit an den Client gehen, damit der Traffic überhaupt via IPsec versendet wird. Zusätzliche Phase2 oder größere Netzmaske helfen da.

    Trotzdem würde ich lieber mal genauer nachlesen, ob dein geliebtes Display wirklich nicht unter einer aktuellen Version läuft, LCDproc gibt es unter 2.4.4 genauso noch und wenn man sonst wirklich NUR das als Problem hat, lässt es sich sicherlich auch händisch einbauen. Ein Update von so etwas unwichtigem "nicht möglich" zu machen, halte ich für äußerst fragwürdig und sicherheitstechnisch brandgefährlich.



  • @jegr said in ich bitte um hilfe beim verbinden von openvpn mit ipsec:

    Wenn man per IPSec das Netz auf der Gegenseite erreichen will muss das einfach den Clients auch bekannt gemacht werden. Momentan wirst du wohl nur das 1er Netz pushen also muss eben einfach das 3er Netz noch mit an den Client gehen, damit der Traffic überhaupt via IPsec versendet wird. Zusätzliche Phase2 oder größere Netzmaske helfen da.

    wenn ich am openvpn-server -> Advanced -> push "route 192.168.3.0 255.255.255.0" eintrage geht es leider nicht.

    diese option kann in den ipsec einstellungen nicht finden.
    welche netzmaske müsste ich nehmen?

    für die displayfrage mit LCDprog würde ich bei gelegenheit einen extra artikel schreiben.



  • Die Route nach 192.168.3.0/24 funktioniert doch schon am OpenVPN, wie du im ersten Post schreibst. Den IPSec-Clients musst du diese aber noch beibringen.
    Dafür ist entweder, wie JeGR schreibt, eine zusätzliche Phase2 nötig, oder du änderst Netz und Maske in der gesetzten Phase2 auf 192.168.0.0/22.
    Könnte Probleme bereiten, wenn diese Subnetze auch auf dem Client genutzt werden.



  • @viragomann said in ich bitte um hilfe beim verbinden von openvpn mit ipsec:

    Die Route nach 192.168.3.0/24 funktioniert doch schon am OpenVPN, wie du im ersten Post schreibst. Den IPSec-Clients musst du diese aber noch beibringen.
    Dafür ist entweder, wie JeGR schreibt, eine zusätzliche Phase2 nötig, oder du änderst Netz und Maske in der gesetzten Phase2 auf 192.168.0.0/22.
    Könnte Probleme bereiten, wenn diese Subnetze auch auf dem Client genutzt werden.

    das problem lies sich mit der anderen subnetzmaske lösen. vielen dank