# OPNsense IPsec Site-to-Site: Die Autobahn zwischen den Standorten

TL;DR / Management Summary IPsec Site-to-Site ist der Standard zur dauerhaften Vernetzung von Büros. Im Gegensatz zu User-VPNs (Client-to-Site) ist der Tunnel zwischen den Firewalls permanent aktiv. Wir setzen ausschließlich auf IKEv2 (für Stabilität) und moderne Ciphers (AES-GCM). Ein Senior Admin bevorzugt heute VTI (Virtual Tunnel Interfaces) oder Route-based IPsec, da dies die Firewall-Konfiguration vereinfacht und dynamisches Routing (BGP/OSPF) ermöglicht.

# 1. Einführung & Architektur

Der verschlüsselte Tunnel.

IPsec (Internet Protocol Security) sichert die Kommunikation auf Layer 3.

Phase 1 (IKE): Authentifizierung der beiden Firewalls (via RSA-Keys oder PSK).
Phase 2 (Child SA): Definition der verschlüsselten Subnetze (z.B. Berlin 10.1.0.0/24 <-> München 10.2.0.0/24).

# Architektur-Übersicht (Mermaid)

graph LR
    subgraph "Site A: Berlin"
    LAN_A[10.1.0.0/24] --- FW_A[OPNsense A]
    end

    subgraph "Public Internet"
    FW_A <-->|IPsec Tunnel / IKEv2| FW_B[OPNsense B]
    end

    subgraph "Site B: Munich"
    FW_B --- LAN_B[10.2.0.0/24]
    end

# 2. Einrichtung in der Praxis (Policy-based)

Der klassische Weg.

# Phase 1: Der Handshake

VPN -> IPsec -> Tunnel Settings.

Connection Method: Start on traffic oder Always on.
Protocol: IKEv2.
Authentication: Pre-Shared Key (oder Zertifikat, Artikel 520).
Encryption: AES-256-GCM (Sehr schnell auf modernen CPUs).

# Phase 2: Die Subnetze

Local Network: 10.1.0.0/24.
Remote Network: 10.2.0.0/24.
Rekey Time: 3600s.

# 3. Deep Dive: Route-based IPsec (VTI)

Die moderne Alternative.

Anstatt Subnetze statisch in Phase 2 zu definieren, erstellen wir ein virtuelles Interface (ipsec0).

Vorteil: Sie können Standard-Firewall-Regeln am Interface setzen.
Vorteil: Ermöglicht Routing-Protokolle wie OSPF. Wenn Sie drei Standorte haben, findet der Traffic bei einem Leitungs-Ausfall automatisch den Umweg über die dritte Site.

# 4. Day-2 Operations: Dead Peer Detection (DPD)

Tote Tunnel wiederbeleben.

DPD schickt regelmäßige “Bist du noch da?” Pakete.

Aktion: Stellen Sie DPD auf Restart (nicht nur Log).
Effekt: Wenn das Modem in Berlin neustartet, erkennt die OPNsense in München den Verbindungsabbruch und versucht sofort einen Neuaufbau, sobald die Leitung wieder da ist.

# 5. Troubleshooting & “War Stories”

Wenn die Phase 2 scheitert.

# Top 3 Fehlerbilder

Symptom: Tunnel ist UP, aber kein Ping geht durch.
- Ursache: Firewall-Regeln am Interface IPsec vergessen.
- Lösung: Regel Source: Remote_Net -> Destination: Any erlauben.
Symptom: Tunnel flappt alle 60 Minuten.
- Ursache: Mismatch in der Lifetime der Phase 2.
- Lösung: Beide Seiten müssen exakt die gleichen Timings haben.
Symptom: Probleme mit MSS (Maximum Segment Size).
- Ursache: IPsec-Header verkleinert die nutzbare Paketgröße. Pakete werden zu groß und gedroppt.
- Fix: Firewall -> Settings -> Normalization. Haken bei “MSS Clamping” (z.B. 1350) am IPsec-Interface setzen.

# “War Story”: Die “One-Way” Firewall

Ein Admin vernetzte zwei Standorte. Pings von Berlin nach München gingen, aber nicht umgekehrt. Die Entdeckung: Auf der OPNsense in München gab es eine lokale LAN-Regel, die nur Traffic “von Berlin” erlaubte. Der Rückweg der Pakete von München nach Berlin wurde jedoch am LAN-Interface der Münchener OPNsense blockiert, da diese als “Inbound” vom lokalen Server kamen. Lehre: Denken Sie bei Site-to-Site VPNs immer bidirektional. Jede Seite braucht eine Erlaubnis für den Hin- und Rückweg.

# 6. Monitoring & Alerting

Sync-Qualität prüfen.

Fügen Sie das Widget “IPsec” zum Dashboard hinzu.

KPI: Status muss ESTABLISHED sein.
Alert: Überwachen Sie die Log-Datei /var/log/charon.log auf “IKE_SA failed” Meldungen.

# 7. Fazit & Empfehlung

IPsec ist das Rückgrat der Firmenvernetzung.

Empfehlung: Nutzen Sie IKEv2 und Zertifikate (statt PSK) für maximale Sicherheit.
Wahl: Für die Verbindung von OPNsense zu OPNsense ist WireGuard (Artikel 566) oft einfacher und schneller zu konfigurieren. Nutzen Sie IPsec nur für die Anbindung an Hardware-Fremdhersteller (Cisco, Sophos).

# Anhang: Cheatsheet

Aufgabe	Pfad
Tunnel Status	`VPN -> IPsec -> Status Overview`
Lease Logs	`VPN -> IPsec -> Log File`
IPsec Firewall	`Firewall -> Rules -> IPsec`
Pre-Shared Keys	`VPN -> IPsec -> Pre-Shared Keys`