Wie konfiguriert man einen IPSec Site-to-Site VPN-Tunnel auf OPNsense?

Veröffentlicht am: 22 November 2024

.

8 min read

.

Für die Englische Version

IPSec ist eine Sammlung von Kommunikationsprotokollen, die sichere Verbindungen über ein Netzwerk bereitstellen. Der Ausdruck "IPsec" ist eine Abkürzung, bei der "IP" für "Internet Protocol" und "sec" für "sicher" steht. Das Internetprotokoll (IP) ist das universell akzeptierte Protokoll, das die Übertragung von Daten über das Internet regelt. IPSec verbessert die Sicherheit des Protokolls durch die Einbeziehung von Verschlüsselung und Authentifizierung. Es wird in virtuellen privaten Netzwerken verwendet. (VPNs).

OPNsense bietet VPN-Konnektivität sowohl für Niederlassungen als auch für entfernte Benutzer. (Road-Warrior). Die Einrichtung eines einzigen, sicheren privaten Netzwerks, das mehrere Niederlassungen mit einem zentralen Standort verbindet, wird einfach über die OPNsense-Webbenutzeroberfläche durchgeführt. Zertifikate können für entfernte Benutzer generiert und ungültig gemacht werden, und ein benutzerfreundliches Export-Tool vereinfacht den Konfigurationsprozess für Clients.

Site-to-Site-VPNs verbinden zwei Standorte und leiten den Datenverkehr zwischen ihren jeweiligen Netzwerken über die Verwendung statischer öffentlicher IP-Adressen. Dies wird typischerweise verwendet, um eine Verbindung zwischen den Niederlassungen und dem Hauptsitz einer Organisation herzustellen, sodass die Niederlassungsbenutzer auf Netzwerkressourcen zugreifen können, die sich im Hauptsitz befinden.

Dieser Leitfaden erklärt den Prozess der Konfiguration eines IPsec Site-to-Site VPN-Tunnels mit einer OPNsense Firewall. Sie können einen IPsec Site-to-Site VPN-Tunnel ganz einfach konfigurieren, indem Sie 9 Hauptschritte befolgen:

1. Konfiguration der Firewall-Regeln auf beiden Seiten
2. Konfiguration der Phase 1 auf Standort-A
3. Konfiguration der Phase 2 auf Standort-A
4. Aktivierung von IPsec auf Standort-A
5. Konfiguration der Phase 1 auf Standort-B
6. Konfiguration der Phase 2 auf Standort-B
7. Aktivierung von IPsec auf Standort-B
8. Hinzufügen einer Firewall-Regel für den LAN-Zugriff auf beiden Seiten
9. Anzeigen des IPsec-Tunnelstatus

Beispiel für eine IPsec Site-to-Site VPN-Topologie

In diesem Tutorial werden die folgenden IP-Adressen für die Standorte verwendet, die über einen IPsec-VPN-Tunnel miteinander verbunden sind:

Option	Wert
Hostname	SiteA_FW
WAN IP	11.11.11.1/32
LAN Net	10.10.10.0/24
LAN IP	10.10.10.1/24
LAN DHCP Range	10.10.10.100-10.10.10.200

Tabelle 1. IP-Einstellungen auf der OPNsense-Firewall an Standort A

Option	Wert
Hostname	SiteB_FW
WAN IP	11.11.11.2/32
LAN Net	10.10.11.0/24
LAN-IP	10.10.11.1/24
LAN DHCP Range	10.10.11.100-10.10.11.200

Tabelle 2. IP-Einstellungen auf der OPNsense-Firewall von Standort B

Abbildung 1. IPsec Site-to-Site VPN-Topologie

1. Konfigurieren der Firewall-Regeln auf beiden Seiten

Um IPsec-Tunnelverbindungen zu ermöglichen, sollten die folgenden Ports von beiden Standorten aus über die WAN-Schnittstellen aus dem Internet zugänglich sein.

• UDP-Verkehr auf Port 4500 (NAT-T)
• UDP-Verkehr auf Port 500 (ISAKMP)
• Protokoll ESP

Sie können ganz einfach Firewall-Regeln auf OPNsense-Firewalls an Standort A und Standort B hinzufügen, indem Sie die folgenden Schritte befolgen:

1. Ermöglichen des Zugriffs auf den ESP-Port aus dem Internet
2. Erlauben des Zugriffs auf den IPSec NAT-T-Port aus dem Internet
3. Erlauben des Zugriffs auf den ISAKMP-Port aus dem Internet

1. Zulassung des Zugriffs auf das ESP-Protokoll aus dem Internet

Die erforderlichen Firewall-Regelungen für den Zugriff auf das ESP-Protokoll sind in der nächsten Tabelle aufgeführt:

Option	Wert
Action	Erlauben
Interface	WAN
Protocol	ESP
Source	beliebig
Source Port	beliebig
Destination	WAN-Adresse
Destination Port	beliebig
Category	IPsec-Tunnel
Description	ESP für IPsec-Tunnel erlauben

Tabelle 3. Firewall-Regel-Einstellungen für den Zugriff auf das ESP-Protokoll

Sie können ganz einfach Firewall-Regeln hinzufügen, um den Zugriff auf das ESP-Protokoll für die IPsec-Verbindung auf OPNsense-Firewalls an Standort A und Standort B zu ermöglichen, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu der WAN-Schnittstelle in den Firewall-Regeln.

2. Wählen Sie Pass für die Erlaubensregel.

3. Wählen Sie ESP als Protokoll.

4. Wählen Sie any als Quelle aus.

5. Wählen Sie any als Quellport aus.

6. Wählen Sie any als Typ aus.

7. Wählen Sie WAN addres als Ziel aus.

   Abbildung 2. Festlegung der Firewall-Regel für ESP-Zugriff-1

8. Setzen Sie die Category auf IPsec Tunnel.

9. Setzen Sie Description auf ESP für IPsec-Tunnel zulassen.

10. Aktivieren Sie die Option Log packets that are handled by this rule.

11. Klicken Sie auf Save.

    Abbildung 3. Festlegung der Firewall-Regel für ESP-Zugriff-2

2. Erlauben des Zugriffs auf den IPsec NAT-T-Port aus dem Internet

Die Firewall-Regel-Einstellungen, die für den Zugriff auf den IPSec NAT-T-Port erforderlich sind, sind in der nächsten Tabelle angegeben:

Option	Wert
Action	Pass
Interface	WAN
Protocol	UDP
Source	any
Source Port	any
Destination	WAN address
Destination Port Range	IPsec NAT-T
Category	IPsec Tunnel
Description	Allow IPsec NAT-T for IPsec Tunnel

Tabelle 4. Firewall-Regel-Einstellungen für den Zugriff auf den IPSec NAT-T-Port

Sie können ganz einfach Firewall-Regeln hinzufügen, um den Zugriff auf den IPsec NAT-T-Port für die IPsec-Verbindung auf OPNsense-Firewalls an Standort A und Standort B zu ermöglichen, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zur WAN-Schnittstelle in den Firewall-Regeln.

2. Wählen Sie Pass für die Erlaubensregel.

3. Wählen Sie UDP als das Protokoll.

4. Wählen Sie any als Quelle.

5. Wählen Sie any als Quellport aus.

6. Wählen Sie any als Typ aus.

7. Wählen Sie WAN addres als Ziel aus.

   Abbildung 4. Festlegen der Firewall-Regel für IPsec NAT-T Zugang-1

8. Wählen Sie IPsec NAT-T als Zielportbereich.

9. Setzen Sie die Category auf IPsec Tunnel.

10. Setzen Sie Description auf IPsec NAT-T-Port für IPsec-Tunnel zulassen.

11. Aktivieren Sie die Option Log packets that are handled by this rule.

12. Klicken Sie auf Save

    Abbildung 5. Festlegung der Firewall-Regel für den IPsec NAT-T-Portzugang-2

3. Erlauben des Zugriffs auf den ISAKMP-Port aus dem Internet

Die für den Zugriff auf den ISAKMP-Port erforderlichen Firewall-Regelungen sind in der nächsten Tabelle angegeben:

Option	Wert
Action	Pass
Interface	WAN
Protocol	UDP
Source	any
Source Port	any
Destination	WAN address
Destination Port Range	ISAKMP
Category	IPsec Tunnel
Description	Allow ISAKMP for IPsec Tunnel

Tabelle 5. Firewall-Regel-Einstellungen für den ISAKMP-Portzugriff

Sie können ganz einfach Firewall-Regeln hinzufügen, um den Zugriff auf den ISAKMP-Port für die IPsec-Verbindung auf OPNsense-Firewalls an Standort A und Standort B zu ermöglichen, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu der WAN-Schnittstelle in den Firewall-Regeln.

2. Wählen Sie Pass für die Erlaubensregel.

3. Wählen Sie UDP als das Protokoll.

4. Wählen Sie any als Quelle.

5. Wählen Sie any als Quellport aus.

6. Wählen Sie any als Typ.

7. Wählen Sie WAN address als Ziel aus.

8. Wählen Sie ISAKMP als Zielportbereich aus.

9. Setzen Sie die Category auf IPsec Tunnel.

10. Setzen Sie Description auf ISAKMP-Port für IPsec-Tunnel zulassen.

11. Aktivieren Sie die Option Log packets that are handled by this rule.

12. Klicken Sie auf Save.

    Abbildung 6. Festlegung der Firewall-Regel für den Zugriff auf den ISAKMP-Port

Nachdem Sie diese 3 Firewall-Regeln auf beiden OPNsense-Firewalls an Standort A und Standort B hinzugefügt haben, klicken Sie auf die Schaltfläche Apply Changes, um die neuen Einstellungen zu aktivieren.

Abbildung 7. Anwenden von Firewall-Regeln für IPsec-Tunnel

2. Konfiguration der Phase 1 auf Standort-A

Allgemeine Phase-1-Optionen auf Standort-A sind in der nächsten Tabelle angegeben.

Option	Wert	Beschreibung
Connection method	Standard	Standard ist "Start on traffic"
Key Exchange version	V2
Internet Protocol	IPv4
Interface	WAN	Wählen Sie die Schnittstelle, die mit dem Internet verbunden ist
Remote gateway	11.11.11.2	die öffentliche IP-Adresse Ihres entfernten OPNsense
Description	Standort B	frei gewählte Beschreibung

Tabelle 6. Allgemeine Informationen zu Phase-1-Optionen für Standort-A

Die Optionen für die Authentifizierung Phase-1 auf Standort-A sind in der nächsten Tabelle angegeben.

Option	Wert	Beschreibung
Authentication method	Mutual PSK	Verwendung eines vorab geteilten Schlüssels
My identifier	Meine IP-Adresse	Einfache Identifikation für feste IP
Peer identifier	Peer-IP-Adresse	Einfache Identifikation für feste IP
Pre-Shared Key	MyS2SIPSecTunnel	Zufälliger Schlüssel. Du solltest dir deine eigene machen.

Tabelle 7. Authentifizierungsphase-1-Optionen für Standort-A

Die Optionen für den Phase-1-Vorschlag (Algorithmen) auf Site-A sind in der nächsten Tabelle angegeben.

Option	Wert	Beschreibung
Encryption algorithm	256-Bit AES-GCM mit 128-Bit ICV	Für unser Beispiel verwenden wir 256-Bit AES-GCM mit 128-Bit ICV
Hash algoritm	SHA512	Verwenden Sie einen starken Hash wie SHA512
DH key group	14 (2048 Bit)	2048 Bit sollten ausreichend sein
Lifetime	28800 Sek	Lebensdauer vor der Neuverhandlung

Tabelle 8. Vorschlag für Phase 1 (Algorithms) Phase-1-Optionen für Standort-A

Die erweiterten Phase-1-Optionen auf Standort-A sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Disable Rekey	Nicht ausgewählt	Neu verhandeln, wenn die Verbindung kurz vor dem Ablauf steht
Disable Reauth	Nicht ausgewählt	Für IKEv2 nur Peer bei Rekeying neu authentifizieren
NAT Traversal	Deaktiviert	Für IKEv2 ist NAT-Traversal immer aktiviert
Dead Peer Detection	Nicht ausgewählt

Tabelle 9. Fortgeschrittene Phase-1-Optionen für Standort-A

Sie können IPSec Phase-1 auf Standort-A ganz einfach konfigurieren, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu VPN → IPSec → Tunnel Settings auf der Site-A OPNsense-Weboberfläche.

2. Klicken Sie auf die Schaltfläche Add mit + in der rechten unteren Ecke des Phase 1-Fensters.

3. Geben Sie die öffentliche IP-Adresse oder den Hostnamen des Remote Gateway ein, wie zum Beispiel 11.11.11.2.

4. Geben Sie eine Description zu Ihrer Referenz ein, wie zum Beispiel Standort B.

5. Sie können die anderen Optionen im General information-Bereich als Standard belassen.

   Abbildung 8. Allgemeine Informationen für Phase-1 auf Standort-A

6. Geben Sie Ihre Pre-Shared Key-Zeichenfolge ein, wie z.B. MyS2SIPSecTunnel.

7. Sie können die anderen Optionen im Phase 1 proposal (Authentication)-Bereich als Standard belassen.

   Abbildung 9. Phase-1-Vorschlag (Authentifizierung) auf Standort-A

8. Wählen Sie Encryption algorithm, wie z.B. 256-Bit AES-GCM mit 128-Bit ICV.

9. Wählen Sie Hash algorithm, wie z.B. SHA512.

10. Wählen Sie DH key group, wie z.B. 14 (2048) bits. Diese Option muss mit der auf der entfernten Seite gewählten Einstellung übereinstimmen.

    Abbildung 10. Algorithmen Phase 1 Optionen auf Standort-A

11. Setzen Sie NAT Traversal im Bereich Advanced Options auf Deaktivieren.

12. Klicken Sie auf Save.

    Abbildung 11. Erweiterte Phase-1-Optionen auf Standort-A

3. Konfiguration der Phase 2 auf Standort-A

Allgemeine Informationen zu den Phase-2-Optionen auf Standort-A sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Mode	Tunnel IPv4	Tunnelmodus auswählen
Description	Lokales LAN Standort B	Frei gewählte Beschreibung

Tabelle 10. Allgemeine Informationen zu Phase-2-Optionen auf Standort-A

Die Optionen für das lokale Netzwerk der Phase 2 auf Standort-A sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Local Network	LAN-Subnetz	Leiten Sie das lokale LAN-Subnetz

Tabelle 11. Optionen für das lokale Netzwerk Phase-2 auf Standort-A

Die Remote Network Phase-2-Optionen auf Site-A sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Type	Netzwerk	Leiten eines entfernten Netzwerks
Address	10.10.11.0/24	Das entfernte LAN-Subnetz

Tabelle 12. Remote Network Phase-2 Optionen auf Standort-A

Die Optionen für den Vorschlag der Phase 2 (SA/Schlüsselaustausch) auf Standort-A sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Protocol	ESP	Wählen Sie ESP für die Verschlüsselung
Encryption algorithms	AES256GCM16	Für das Beispiel verwenden wir AES256GCM16
Hash algortihms	SHA512	Wählen Sie einen starken Hash wie SHA512
PFS Key group	14 (2048 bit)	Nicht erforderlich, aber verbesserte Sicherheit
Lifetime	3600 Sek.

Tabelle 13. Vorschlag für Phase 2 (SA/Schlüsselaustausch) auf Standort-A

Sie können IPSec Phase-1 auf Standort-A ganz einfach konfigurieren, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu VPN → IPSec → Tunnel Settings auf der Site-A OPNsense-Weboberfläche.

2. Klicken Sie auf die Schaltfläche add phase 2 entry mit + in der Spalte Befehle des kürzlich hinzugefügten Phase 1-Eintrags.

   Abbildung 12. Hinzufügen des Phase-2-Eintrags

3. Fügen Sie eine Description hinzu, wie z.B. Lokaler LAN-Standort B.

4. Setzen Sie die Address-Option für das Remote Network, wie z.B. 10.10.11.0/24.

   Abbildung 13. Allgemeine Informationen für Phase-2 auf Standort-A

5. Wählen Sie Encryption algorithms, wie zum Beispiel AES256GCM16.

6. Wählen Sie Hash algorithms, wie z.B. SHA512.

7. Wählen Sie PFS key group, wie z.B. 14 (2048) bits.

8. Setze Lifetime, zum Beispiel 3600.

9. Sie können die anderen Optionen als Standard belassen.

   Abbildung 14. Algorithmen für Phase-2 auf Standort-A

10. Klicken Sie auf Save.

11. Klicken Sie auf das Kontrollkästchen am Anfang des Phase-1-Bereichs, um die Einstellungen für Phase 2 anzuzeigen.

4. Aktivierung von IPsec auf Standort-A

Sie können den IPsec-Dienst auf Site-A schnell aktivieren, indem Sie die folgenden Schritte ausführen:

1. Navigieren Sie zu VPN → IPSec → Tunnel Settings auf der Site-A OPNsense-Weboberfläche.

2. Überprüfen Sie die Option Enable IPsec am unteren Rand der Seite.

3. Klicken Sie auf die Schaltfläche Apply Changes in der oberen rechten Ecke der Seite, um die IPsec-Tunnel-Einstellungen zu aktivieren.

   Abbildung 15. Aktivierung von IPsec auf Standort-A

5. Konfiguration der Phase 1 auf Standort-B

Allgemeine Phase-1-Optionen auf Standort-B sind in der nächsten Tabelle angegeben.

Option	Wert	Beschreibung
Connection method	Standard	Standard ist "Start on traffic"
Key Exchange version	V2
Internet Protocol	IPv4
Interface	WAN	wählen Sie die Schnittstelle, die mit dem Internet verbunden ist
Remote gatewayy	11.11.11.1	die öffentliche IP-Adresse Ihres entfernten OPNsense
Description	Standort A	frei gewählte Beschreibung

Tabelle 14. Allgemeine Phase-1-Optionen auf Standort-B

Die Optionen für die Authentifizierung Phase-1 auf Standort-B sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Authentication method	Mutual PSK	Verwendung eines vorab geteilten Schlüssels
My identifier	Meine IP-Adresse	Einfache Identifizierung für feste IP
Peer identifier	Peer-IP-Adresse	Einfache Identifizierung für feste IP
Pre-Shared Key	MyS2SIPSecTunnel	Zufälliger Schlüssel. Du solltest deine eigene erstellen.

Tabelle 15. Authentifizierungsphase-1-Optionen auf Standort-B

Die Optionen für den Phase-1-Vorschlag (Algorithmen) auf Standort-B sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Encryption algorithm	256-Bit AES-GCM mit 128-Bit ICV	Für unser Beispiel verwenden wir AES/256 Bit
Hash algoritm	SHA512	Verwenden Sie einen starken Hash wie SHA512
DH key group	14 (2048 Bit)	2048 Bit sollten ausreichend sein
Lifetime	28800 Sek	Lebensdauer vor der Neuverhandlung

Tabelle 16. Algorithmen Phase-1 Optionen auf Standort-B

Die erweiterten Phase-1-Optionen auf Standort-B sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Disable Rekey	Nicht ausgewählt	Neu verhandeln, wenn die Verbindung kurz vor dem Ablauf steht
Disable Reauth	Nicht ausgewählt	Für IKEv2 nur Peer bei Rekeying neu authentifizieren
NAT Traversal	Deaktiviert	Für IKEv2 ist NAT-Traversal immer aktiviert
Dead Peer Detection	Nicht ausgewählt

Tabelle 17. Fortgeschrittene Phase-1-Optionen auf Standort-B

Sie können IPSec Phase-1 auf Site-B ganz einfach konfigurieren, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu VPN → IPSec → Tunnel Settings im OPNsense-Web-UI von Site-A.

2. Klicken Sie auf die Schaltfläche Add mit + in der rechten unteren Ecke des Phase 1-Fensters.

3. Geben Sie die öffentliche IP-Adresse oder den Hostnamen des Remote Gateway ein, wie z.B. 11.11.11.1.

4. Geben Sie eine Description zu Ihrer Referenz ein, wie zum Beispiel Standort A.

5. Sie können die anderen Optionen im Bereich General information als Standard belassen.Bild

   Abbildung 16. Allgemeine Informationen Phase-1 auf Standort-B

6. Geben Sie Ihre Pre-Shared Key-Zeichenfolge ein, wie z.B. MyS2SIPSecTunnel.

7. Sie können die anderen Optionen im Phase 1 proposal (Authentication) Bereich als Standard belassen.

8. Wählen Sie Encryption algorithm, wie z.B. 256-Bit AES-GCM mit 128-Bit ICV.

9. Wählen Sie Hash algorithm, wie z.B. SHA512.

10. Wählen Sie DH key group, wie z.B. 14 (2048) bits. Diese Option muss mit der auf der entfernten Seite gewählten Einstellung übereinstimmen.

11. Setzen Sie NAT Traversal im Bereich Advanced Options auf Deaktivieren.

12. Klicken Sie auf Save.

6. Konfiguration der Phase 2 auf Standort-B

Allgemeine Informationen zu Phase-2-Optionen auf Standort-B sind in der nächsten Tabelle angegeben.

Option	Wert	Beschreibung
Mode	Tunnel IPv4	Tunnelmodus auswählen
Description	Lokales LAN Standort A	Frei gewählte Beschreibung

Tabelle 18. Allgemeine Informationen zu Phase-2-Optionen auf Standort-B

Die Optionen für das lokale Netzwerk der Phase 2 auf Standort-B sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Local Network	LAN-Subnetz	Leiten Sie das lokale LAN-Subnetz

Tabelle 19. Optionen für das lokale Netzwerk Phase-2 auf Standort-B

Die Optionen für das Remote-Netzwerk Phase-2 auf Standort-B sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Type	Netzwerk	Leiten Sie ein entferntes Netzwerk
Address	10.10.10.0/24	Das entfernte LAN-Subnetz

Tabelle 20. Optionen für das Remote-Netzwerk Phase-2 auf Standort-B

Die Optionen für den Vorschlag der Phase 2 (SA/Schlüsselaustausch) auf Standort-B sind in der nächsten Tabelle aufgeführt.

Option	Wert	Beschreibung
Protocol	ESP	Wählen Sie ESP für die Verschlüsselung
Encryption algorithms	AES256GCM16	Für das Beispiel verwenden wir AES256GCM16
Hash algortihms	SHA512	Wählen Sie einen starken Hash wie SHA512
PFS Key group	14 (2048 Bit)	Nicht erforderlich, aber verbesserte Sicherheit
Lifetime	3600 Sek

Tabelle 21. Phase-2-Vorschlag (SA/Schlüsselaustausch) Phase-2-Optionen auf Standort-B

Sie können IPSec Phase-2 auf Site-B ganz einfach konfigurieren, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu VPN → IPSec → Tunnel Settings im OPNsense-Web-UI von Site-B.

2. Klicken Sie auf die Schaltfläche add phase 2 entry mit + in der Spalte Befehle des kürzlich hinzugefügten Phase-1-Eintrags.

3. Fügen Sie eine Description hinzu, wie z.B. Lokaler LAN-Standort A.

4. Setzen Sie die Address-Option für das Remote Network, wie z.B. 10.10.10.0/24.

   Abbildung 17. Allgemeine Informationen Phase-2 auf Standort-B

5. Wählen Sie Encryption algorithms, wie z.B. AES256GCM16.

6. Wählen Sie Hash algorithms, wie z.B. SHA512.

7. Wählen Sie PFS key group, wie z.B. 14 (2048) bits.

8. Setzen Sie Lifetime, zum Beispiel 3600.

9. Sie können die anderen Optionen als Standard belassen.

10. Klicken Sie auf Save.

11. Klicken Sie auf das Kontrollkästchen am Anfang des Phase-1-Bereichs, um die Einstellungen für Phase 2 anzuzeigen.

7. Aktivierung von IPsec auf Standort-B

Sie können den IPsec-Dienst auf Site-B schnell aktivieren, indem Sie die nächsten Schritte befolgen:

1. Navigieren Sie zu VPN → IPSec → Tunnel Settings im OPNsense-Web-UI von Site-B.

2. Aktivieren Sie die Option Enable IPsec am unteren Rand der Seite.

3. Klicken Sie auf die Schaltfläche Apply Change in der oberen rechten Ecke der Seite, um die IPsec-Tunnel-Einstellungen zu aktivieren.

   Abbildung 18. Aktivierung von IPsec auf Standort-B

8. Hinzufügen einer Firewall-Regel für den LAN-Zugriff auf beiden Seiten

Sie können ganz einfach Firewall-Regeln auf OPNsense-Firewalls an Standort A und Standort B hinzufügen, indem Sie die nächsten Schritte befolgen, um IPsec-Tunnel den Zugriff auf das LAN zu ermöglichen:

Option	Wert
Action	Erlauben
Interface	IPsec
Protocol	beliebig
Source	beliebig
Source Port	beliebig
Destination	LAN-Netz
Destination Port	beliebig
Category	IPsec-Tunnel
Description	Erlaube IPsec-Tunnel-Verkehr zum LAN

Tabelle 22. Firewall-Regel-Einstellungen für LAN-Zugriff

1. Navigieren Sie zu der IPsec-Schnittstelle in den Firewall-Regeln.

2. Wählen Sie Pass für die Erlauben-Regel.

3. Wählen Sie any als das Protocol.

4. Wählen Sie any als Source.

5. Wählen Sie any als Source port.

6. Wählen Sie any als Type.

7. Wählen Sie LAN net als Ziel aus.

8. Setzen Sie die Category auf IPsec Tunnel.

9. Setzen Sie Description auf Allow IPsec Tunnel traffic to LAN.

10. Aktivieren Sie die Option Log packets that are handled by this rule.

11. Klicken Sie auf Save.

12. Klicken Sie auf Apply Changes.

    Abbildung 19. Firewall-Regel für den LAN-Zugriff auf die IPsec-Schnittstelle

9. Anzeigen des IPsec-Tunnel-Status

Beide Netzwerke sollten jetzt durch den Tunnel geleitet werden. Um den aktuellen Status des IPsec VPN-Tunnels anzuzeigen, navigieren Sie zu VPN → IPsec → Status Overview im OPNsense-Web-UI.

Abbildung 20. Anzeigen des IPsec-Tunnelstatus

tipp

Versuchen Sie, den Dienst auf beiden Endpunkten neu zu starten, wenn der Tunnel nicht erscheint.

So beheben Sie IPsec S2S Tunnel-Probleme auf OPNsense

Sie können durch die konfigurierten Tunnel navigieren, indem Sie das Menü VPN → IPsec → tatus Overview verwenden, um die verbundenen Tunnel zu überwachen.

Zusätzlich ist es möglich, Einblick in die registrierten Richtlinien zu erhalten, indem man zu VPN → IPsec → Security Association Database navigiert; wenn NAT aktiviert ist, sollten die zusätzlichen SPD-Einträge hier ebenfalls sichtbar sein.

Beim Versuch, Probleme mit Ihrer OPNsense-Firewall zu diagnostizieren, werden Sie höchstwahrscheinlich die Protokolle, die auf Ihrem System zugänglich sind, überprüfen müssen. Die Benutzeroberfläche von OPNsense organisiert Protokolldateien gemäß den Konfigurationen der Komponente, zu der sie gehören. Der Speicherort der Protokolldateien wird im Menü "Protokolldatei" angegeben.

Die häufigsten Probleme mit IPsec Site-to-Site-Tunneln und deren Lösungen werden im Folgenden erklärt.

• Phase 1 does not come up: Dieses Problem ist ziemlich herausfordernd. Bevor Sie fortfahren, überprüfen Sie, ob die WAN-Schnittstelle über die Firewall auf den entsprechenden Ports und Protokollen (ESP, UDP 500 und UDP 4500) erlaubt ist.Überprüfen Sie Ihr IPSec-Protokoll, um festzustellen, ob dies eine mögliche Ursache ist.Ungleichheit in den Einstellungen ist ein weit verbreitetes Anliegen. Beide Endpunkte müssen denselben PSK und dasselbe Verschlüsselungsprotokoll verwenden.

• Phase 1 is operational, but phase 2 tunnels are not connected: Sind die richtigen lokalen und entfernten Netzwerke konfiguriert worden? Es ist ein häufiger Fehler, die IP-Adresse des entfernten Hosts anstelle des Netzwerksuffixes x.x.x.0 einzugeben.Ungleichheit in den Lebensbedingungen ist ein weit verbreitetes Anliegen. Beide Endpunkte müssen das identische Verschlüsselungsprotokoll verwenden.

Wie konfiguriert man den IPsec-Tunnel auf OPNsense?

Die Aktivierung des mehrfädigen Krypto-Modus auf IPsec ist vorteilhaft, abhängig von der Belastung. (single flow or multiple IPsec flows). Dieser Modus verteilt kryptografische Pakete auf mehrere Prozessoren, was besonders vorteilhaft ist, wenn nur ein Tunnel verwendet wird.

Um den mehrkernigen Krypto-Modus für IPsec zu aktivieren, können Sie den folgenden einstellbaren Parameter hinzufügen oder ändern, indem Sie zu System → Settings → Tunables in der OPNsense-Benutzeroberfläche navigieren.

net.inet.ipsec.async_crypto = 1