LANCOM 883 VoIP SiteToSite Verbindung zu opnSense

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
AndreM
Beiträge: 3
Registriert: 03 Sep 2020, 13:05

LANCOM 883 VoIP SiteToSite Verbindung zu opnSense

Beitrag von AndreM »

Hallo zusammen, ich versuche aktuell verzweifelt eine SiteToSite Verbindung von meinem Lancom-Router zu einem opnSense Server herzustellen.
Die beiden Kommunizieren bereits miteinander, aber der opnSense lehnt die Verbindung ab.

Im Log auf den openSense steht beim Verbindungsversuch folgendes.

Code: Alles auswählen

2020-09-03T12:43:27	charon: 05[NET] <10355> sending packet: from XX.XXX.123.62[500] to XXX.X.212.211[500] (80 bytes)
2020-09-03T12:43:27	charon: 05[ENC] <10355> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
2020-09-03T12:43:27	charon: 05[CFG] <10355> no matching peer config found
2020-09-03T12:43:27	charon: 05[CFG] <10355> looking for peer configs matching XX.XXX.123.62[%any]...XXX.X.212.211[vpn@domain.de]
2020-09-03T12:43:27	charon: 05[ENC] <10355> parsed IKE_AUTH request 1 [ SA IDi AUTH TSi TSr N(INIT_CONTACT) ]
2020-09-03T12:43:27	charon: 05[NET] <10355> received packet: from XXX.X.212.211[500] to XX.XXX.123.62[500] (240 bytes)
2020-09-03T12:43:27	charon: 05[NET] <10355> sending packet: from XX.XXX.123.62[500] to XXX.X.212.211[500] (493 bytes)
2020-09-03T12:43:27	charon: 05[ENC] <10355> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(CHDLESS_SUP) N(MULT_AUTH) ]
2020-09-03T12:43:27	charon: 05[IKE] <10355> sending cert request for "C=DE, ST=North Rhine-Westphalian, L=Detmold, O=COMPANY-NAME, E=info@domain.de, CN=vpn_mwd"
2020-09-03T12:43:27	charon: 05[IKE] <10355> sending cert request for "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
2020-09-03T12:43:27	charon: 05[CFG] <10355> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
2020-09-03T12:43:27	charon: 05[IKE] <10355> XXX.X.212.211 is initiating an IKE_SA
2020-09-03T12:43:27	charon: 05[IKE] <10355> received FRAGMENTATION vendor ID
2020-09-03T12:43:27	charon: 05[ENC] <10355> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) V ]
2020-09-03T12:43:27	charon: 05[NET] <10355> received packet: from XXX.X.212.211[500] to XX.XXX.123.62[500] (476 bytes)
Er findet also keine passende Peer-Config auf dem Server.
VPN1.png
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LANCOM 883 VoIP SiteToSite Verbindung zu opnSense

Beitrag von GrandDixence »

charon ist eine Komponente von StrongSwan. Somit sollte das Vorgehen gemäss:
fragen-zum-thema-vpn-f14/lancom-884-als ... 18310.html
zum Ziel führen. Viel Glück!
AndreM
Beiträge: 3
Registriert: 03 Sep 2020, 13:05

Re: LANCOM 883 VoIP SiteToSite Verbindung zu opnSense

Beitrag von AndreM »

Moin und danke für deine schnelle Antwort. Wenn ich das in deinem verlinkten Thema richtig sehe, wird dort die Verbindung ja ZUM Lancon aus aufgebaut. In meinem Fall soll der Lancom aber eine Verbindung zu opnSense herstellen, also genau anders herum.

Wenn ich dei VPN-Verbindung auf dem Lancom mit dem Assistenten einrichte, hab ich ja nicht wirklich viele Einstellungsmöglichkeiten. Meinen Fehler vermute ich aber eher auf der Seite von opnSense, der Lancom versucht ja die Verbindung aufzubauen, opnSense findet aber keine Peer-Config die zur Anfrage vom Lancom passt. :-/
AndreM
Beiträge: 3
Registriert: 03 Sep 2020, 13:05

Re: LANCOM 883 VoIP SiteToSite Verbindung zu opnSense

Beitrag von AndreM »

Der Fehler muss irgendwo auf dem opnSense VPN zu finden sein. Hab versuch mich mit VPN-Client von zyxel mit dem opnSense zu Verbindnen, auch dort wird die Anmeldung abgelehnt, weil der PSK nicht stimmt, laut Logfile.

Der passt aber zu 100%.

Code: Alles auswählen

2020-09-04T07:16:01	charon: 07[NET] <64503> sending packet: from XX.XXX.123.62[4500] to XXX.X.212.211[54076] (80 bytes)
2020-09-04T07:16:01	charon: 07[ENC] <64503> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
2020-09-04T07:16:01	charon: 07[IKE] <64503> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
2020-09-04T07:16:01	charon: 07[CFG] <64503> no matching peer config found
2020-09-04T07:16:01	charon: 07[CFG] <64503> looking for peer configs matching XX.XXX.123.62[%any]...XXX.X.212.211[192.168.1.33]
2020-09-04T07:16:01	charon: 07[ENC] <64503> parsed IKE_AUTH request 1 [ IDi AUTH SA TSi TSr N(INIT_CONTACT) N(ESP_TFC_PAD_N) ]
2020-09-04T07:16:01	charon: 07[NET] <64503> received packet: from XXX.X.212.211[54076] to XX.XXX.123.62[4500] (384 bytes)
2020-09-04T07:16:01	charon: 07[NET] <64503> sending packet: from XX.XXX.123.62[500] to XXX.X.212.211[500] (501 bytes)
2020-09-04T07:16:01	charon: 07[ENC] <64503> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(CHDLESS_SUP) N(MULT_AUTH) ]
2020-09-04T07:16:01	charon: 07[IKE] <64503> sending cert request for "C=DE, ST=North Rhine-Westphalian, L=Detmold, O=Company, E=info@domain.de, CN=vpn_mwd"
2020-09-04T07:16:01	charon: 07[IKE] <64503> sending cert request for "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
2020-09-04T07:16:01	charon: 07[IKE] <64503> remote host is behind NAT
2020-09-04T07:16:01	charon: 07[CFG] <64503> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
2020-09-04T07:16:01	charon: 07[IKE] <64503> XXX.X.212.211 is initiating an IKE_SA
VPN3.png
VPN2.png
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Antworten