IPSec UDM-Pro <-> OPNSense, zusätzliche Phase 2

Es gibt 7 Antworten in diesem Thema, welches 1.209 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Moin,


    ich habe die Verwaltung eines Netzwerks mit einer Unifi Infrastruktur übernommen.


    Ich habe eine konkrete Frage zum Thema IPSec und Tunnel Einstellungen. In diesem Fall zwischen einer UDM-Pro (2.5.17) und einer OPNSense.


    Ich möchte einer bestehenden IPSec Verbindung ein zusätzliches Subnetz als Phase 2 hinzufügen.

    Das Subnetz ist ein neues VLAN im Unifi Segment.


    Bei der OPNSense habe ich die Definition um eine zusätzliche Phase 2 wie gewohnt eingetragen.

    Bei der UDM kann ich das nicht? Wie soll das normaler Weise funktionieren, mit Feenstaub?

    Ich muss doch irgendwo die lokalen Netze Eintragen, die der Verbindung zugeordnet werden?


    Grüße


    Gregor

    Na ja, statt an Feinstaub FeenStaub zu glauben:


    Network Version ?


    dieser Artikel https://help.ui.com/hc/en-us/articles/7983431932439

    is bekannt ?


    Auszug:

    Remote and Local Subnets

    UniFi gateways automatically share all local networks over the Site-to-Site VPN.
    It is not possible to only use certain local networks for the VPN.
    When using Policy-Based VPNs, ensure that the third-party gateway includes all the local networks used on the UniFi gateway.
    Note: It is a requirement for Policy-Based VPNs that the remote and local subnets match. If this is not the case, then the VPN may only partially establish or disconnect.




    btw:

    2.5.17 is nen guter Anfang für die UDM. 3.x ist aber schon ne weile draußen da wurde auch viel geschraubt (mit neueren network Versionen)

    an un um VPN Verbidungen auch wenn nicht unbedingt am ISEC s2s teil...

    Moin,


    danke für die Rückmeldung.


    Zitat von gierig

    2.5.17 is nen guter Anfang für die UDM. 3.x ist aber schon ne weile draußen da wurde auch viel geschraubt (mit neueren network Versionen)

    an un um VPN Verbidungen auch wenn nicht unbedingt am ISEC s2s teil...

    Es wäre hier nicht das erste Gerät, das einen veralteten SW Stand hat. Ich hätte nicht gedacht, das ich noch mal an einen Windows Server 2008 ran muss, der in einer Ecke noch läuft. Und neun, der ist nicht irgendwie isoliert,...


    Der Artikel ist neu, obwohl ich schon mal ein wenig gesucht habe.

    Wenn ich das richtig verstehe, muss ich auf der Gegenseite immer alle lokalen subnets definieren, das es sauber funktioniert?

    Das empfinde ich schon als etwas seltsam.

    Moin,


    naja, mein Konzept sieht es vor, das nur bestimmte Subnetze verbunden sein sollen.

    So kenne ich das gewöhnlich bei IPSec Verbindeungen.


    Jede Seite trägt dann die jeweiligen Subnetze in die Phase 2 ein.


    Diese werden dann mit den Entsprechenden FW Regeln versehen und die Verbindung steht.

    Ich gehe mal jetzt davon aus das dies Policy-Based ist..


    So habe ich das bei Sophos, Watchguard, pfsense und OPSense gehalten.

    Das Verhalten der UDM-PRO ist mir jetzt neu.


    Und die Formulierung "only partially establish or disconnect" klingt jetzt nach, kann funktionieren, kann auch nicht :winking_face:


    Wenn jetzt die UDM alle Subnetze anbietet, ich auf der OPNSense aber nur zwei Subnetze Eintrage, müssten diese dann verfügbar sein?

    So einen Fall hatte ich im Prinzip noch nicht.

    Zitat von grefabu

    Wenn jetzt die UDM alle Subnetze anbietet, ich auf der OPNSense aber nur zwei Subnetze Eintrage, müssten diese dann verfügbar sein?

    So einen Fall hatte ich im Prinzip noch nicht.

    Ja sollt er.

    Zitat von grefabu

    So habe ich das bei Sophos, Watchguard, pfsense und OPSense gehalten.

    Das Verhalten der UDM-PRO ist mir jetzt neu.

    Will keiner hören aber das eine sind Firewalls die Routen könne, das andere ist ein SOHO Router den ein wenig

    firewall kann..

    Moin,


    ich habe meinen "Fehler" gefunden.


    Da das neue Segment von den anderen getrennt sein sollte, habe ich es als Gastnetzwerk definiert.

    Dadurch wird es nicht für IPSec veröffentlicht.


    Nachdem ich den Netzwerktyp auf Standard gesetzt habe, kann ich das Netzwerk auf der Gegenseite benutzen.

    Ich benötige die Isolation nicht unbendingt, es wäre nur grundsätzlich schön gewesen.