OPNsense Forum
International Forums => German - Deutsch => Topic started by: damian6973 on September 16, 2019, 12:43:47 am
-
Hallo zusammen,
ich habe das folgende Problem, das ich von der Shell aus keines der IPSEC Site to Site VPN - Netze per ping oder traceroute erreichen kann.
Von Clients aus den Netzen können funktioniert es ohne Probleme alles ohne Einschränkungen TCP, UDP, ICMP.
Hat jemand eine Idee wo da der Fehler liegt?
LG
Damian
-
Moin Mion,
das ist einfach zu beheben.
Beim Ping muss der Parameter -S für die Src_Addr angegeben werden.
Die Source IP wird dann auf die IP des LAN Interfaces gesetzt und der Ping läuft.
Beim Traceroute das gleiche Spiel, nur dort ist es der Parameter -s (klein s).
LG,
Ralf
-
Vielen Dank!
Wieder etwas dazu gelernt.
Dann tut sich aber gerade das nächste Problem auf, wo ich dachte das diese beiden Probleme nur eins sind.
Ich habe in Monit eine Ping Probe eingestellt, die ins IPSEC Netz pingt, aber diese schlagen immer fehl.
Muss ich dann dort auch die src_addr mit angeben?
LG
Damian
-
Moin,
das habe ich noch nicht getestet, aber ich würde mal ganz stark vermuten ja, auch dort muss die Source Adresse gesetzt werden.
LG,
Ralf
-
Hast du eine Ahnung wie das zu bewerkstelligen ist?
Habe leider nichts dazu gefunden...
LG
Damian
-
Moin,
das geht auch:
Man muss das leider in die /usr/local/etc/monitrc manuell eintragen und wenn man die Einstellungen
in der GUI speichert ist das wieder weg: (Hatte leider noch keine Zeit das mal in einen Feature Request zu packen)
check host Ping_VPN_1 address [DEST IP]
if failed Ping ADDRESS [LAN IP] then alert
Aber dann geht der Ping auch mit der LAN IP raus.
LG,
Ralf
-
> das habe ich noch nicht getestet, aber ich würde mal ganz stark vermuten ja, auch dort muss die Source Adresse gesetzt werden.
Natürlich, ansonsten pingt Monit immer von seiner eigenen Adresse aus. Was soll es sonst tun?
Ansonsten ist das kein Fehler, sondern schlicht die Art wie eben IPSEC funktioniert. Du hast eine Phase 2 / Child SA und diese wird zwischen left-subnet und right-subnet definiert. Also deinem LAN bspw. und dem entfernten LAN. Wenn du dann von der Firewall oder von einem anderen Subnet da reingreifen willst geht das nicht - wird nicht geroutet, weil niemand erkennt, dass du zu der Phase gehörst. Entweder weitest du die Phase aus (zweite Phase 2 definieren) und packst da dein Mgmt/Monitoring Netz mit rein, dann geht einfach alles automatisch, oder du passt das wie Ralf schreibt oben mit der Source an. Was dann ein wenig häßlich ist.
Gruß
-
Hallo JeGr,
da es auf meiner Seite noch kein Management Netz gibt, steht in der Phase 2 somit mein lokales Netz (links) und das Netz (rechts):
VPN1 = links 192.168.88.0/24 - rechts 192.168.1.0/24
VPN1 = links 192.168.88.0/24 - rechts 192.168.178.0/24
IP der opnsense = 192.168.88.254
Somit habe ich ja eigentlich alle nötigen Netze im Tunnel und sollte auch die Gegenstellen von der "sense" erreichen und nicht nur aus dem LAN (Clients im LAN) der "sense".
LG
Damian
-
Hallo Ralf,
das hat schon mal geklappt.
Vielen Dank!
Entweder ist es ein Bug oder ich habe doch irgendwo einen Fehler in der Config...
LG
Damian
Moin,
das geht auch:
Man muss das leider in die /usr/local/etc/monitrc manuell eintragen und wenn man die Einstellungen
in der GUI speichert ist das wieder weg: (Hatte leider noch keine Zeit das mal in einen Feature Request zu packen)
check host Ping_VPN_1 address [DEST IP]
if failed Ping ADDRESS [LAN IP] then alert
Aber dann geht der Ping auch mit der LAN IP raus.
LG,
Ralf
-
Moin,
das geht auch:
Man muss das leider in die /usr/local/etc/monitrc manuell eintragen und wenn man die Einstellungen
in der GUI speichert ist das wieder weg: (Hatte leider noch keine Zeit das mal in einen Feature Request zu packen)
check host Ping_VPN_1 address [DEST IP]
if failed Ping ADDRESS [LAN IP] then alert
Aber dann geht der Ping auch mit der LAN IP raus.
LG,
Ralf
Mach das bitte, hört sich einfach an einzupflegen
-
Moin,
da ist der hoffentlich richtige Request.
https://github.com/opnsense/core/issues/3733
LG,
Ralf
-
Super, da bin ich mal gespannt!
Vielen Dank!
Grüße
Damian