OPNsense Forum
International Forums => German - Deutsch => Topic started by: xyz on January 02, 2019, 04:55:48 pm
-
Hallo Leute,
ich habe zwei OPNsense als HA konfiguriert mit drei Internetgateways (2x Telekom DeutschlandLAN Connect IP und 1x Unitymedia) mit jeweils 5 öffentliche IP-Adressen die alle als CARP konfiguriert sind.
Das Unitymedia Gateway ist als Default Gateway konfiguriert mit der IP 37.xx.xx.xx.
Es sind ca. 30-40 IPSec VPNs konfiguriert, die alle als Interface die Telekom IP 194.xx.xx.xx haben.
Nun tritt vereinzelt das Problem auf, dass die VPN steht, aber keine Daten darüber laufen. Wenn ich mir die Gegenseite anschaue, wird die VPN auf die 194.xx.xx.xx aufgebaut, die Antwort aber vom Default Gateway 37.xx.xx.xx zurückkommt.
Kann dies geändert werden, sodass der ganze Traffic über die Telekom 194.xx.xx.xx läuft?
Versions:
OPNsense 18.7.9-amd64
FreeBSD 11.1-RELEASE-p17
OpenSSL 1.0.2q 20 Nov 2018
strongswan 5.7.1
-
Anbei das Log:
Jan 3 14:44:59 charon: 09[NET] <9053> sending packet: from 37.xx.xx.xx[4500] to 87.xxx.xxx.xxx[4500] (92 bytes)
Jan 3 14:44:59 charon: 09[ENC] <9053> generating INFORMATIONAL_V1 request 1706750815 [ HASH N(AUTH_FAILED) ]
Jan 3 14:44:59 charon: 09[IKE] <9053> no peer config found
Jan 3 14:44:59 charon: 09[CFG] <9053> looking for pre-shared key peer configs matching 37.xx.xx.xx...87.xxx.xxx.xxx[87.xxx.xxx.xxx]
Jan 3 14:44:59 charon: 09[ENC] <9053> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Jan 3 14:44:59 charon: 09[NET] <9053> received packet: from 87.xxx.xxx.xxx[4500] to 37.xx.xx.xx[4500] (92 bytes)
Jan 3 14:44:59 charon: 09[NET] <9053> sending packet: from 194.xx.xx.xx[500] to 87.xxx.xxx.xxx[500] (372 bytes)
Jan 3 14:44:59 charon: 09[ENC] <9053> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Jan 3 14:44:59 charon: 09[IKE] <9053> local host is behind NAT, sending keep alives
Jan 3 14:44:59 charon: 09[ENC] <9053> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Jan 3 14:44:59 charon: 09[NET] <9053> received packet: from 87.xxx.xxx.xxx[500] to 194.xx.xx.xx[500] (356 bytes)
Jan 3 14:44:59 charon: 09[NET] <9053> sending packet: from 194.xx.xx.xx[500] to 87.xxx.xxx.xxx[500] (160 bytes)
Jan 3 14:44:59 charon: 09[ENC] <9053> generating ID_PROT response 0 [ SA V V V V ]
Jan 3 14:44:59 charon: 09[CFG] <9053> selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Jan 3 14:44:59 charon: 09[IKE] <9053> 87.xxx.xxx.xxx is initiating a Main Mode IKE_SA
Jan 3 14:44:59 charon: 09[IKE] <9053> received DPD vendor ID
Jan 3 14:44:59 charon: 09[IKE] <9053> received NAT-T (RFC 3947) vendor ID
Jan 3 14:44:59 charon: 09[IKE] <9053> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Jan 3 14:44:59 charon: 09[IKE] <9053> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 3 14:44:59 charon: 09[ENC] <9053> received unknown vendor ID:
Jan 3 14:44:59 charon: 09[ENC] <9053> parsed ID_PROT request 0 [ SA V V V V V ]
Jan 3 14:44:59 charon: 09[NET] <9053> received packet: from 87.xxx.xxx.xxx[500] to 194.xx.xx.xx[500] (188 bytes)
-
Guten Morgen,
hat hierzu niemand eine Idee? :-\
Ich weiß leider nicht mehr weiter.
VG
-
Hi!
Kannst du deinen NAT Regeln Posten ?
Ich bin gerade auf fast das gleiche Problem gelandet ...
Cluster, 3 VIP, 2 davon WAN CARP ...
Nur auf WAN Seite habe ich Private IPs, und als CARP IP einen /32 Public Address.
Grüße
-
> Wenn ich mir die Gegenseite anschaue,
Und was ist das für eine Gegenseite?
> wird die VPN auf die 194.xx.xx.xx aufgebaut, die Antwort aber vom Default Gateway 37.xx.xx.xx zurückkommt.
Das macht wenig Sinn. Wo sieht man welche Antwort wie vom falschen Gateway? tcpdump auf Gegenseite?