Hallo Com,
ein Kollege und ich nutzen beide OPNsense als ISP Uplink als auch für die Segmentierung des Netzes mit Policyset. Er benutzt einen IPsec (policy based) und ich einen IPsec (routed based) um zwei Standorte zu verbinden. Jetzt haben wir allerdings beide das Phänomen, dass die statische Route zum Zielnetz über den IPsec aus der Routing Table fliegt. Reproduzierbar ist das manuell nicht, passiert aber automatisch alle zwei Wochen einmal.
Meine Verbindung zur Site ist weg und ich sehe die Route auch nicht mehr in der Routing Table. Sobald ich die Konfiguration der statischen Route im OPNsense Menü einfach nur über den Button apply bestätige, dann taucht sie wieder auf.
Im Anhang befinden sich auch zwei Screenshots der statischen Routen.
Wir konnten das Problem auf beiden OPNsense nachstellen. Jemand eine Idee an was das liegen könnte?
Cheers,
jonsch
Keiner mit irgendeiner Idee oder selbigen Fehler?
Geht vielleicht das Interface, über das dire Route führt, down und wieder up?
Nein, genau das dachten wir auch.
Der IPsec besteht ja weiterhin und die Interface sind da, lediglich die Route befindet sich nicht mehr in der Tabelle.
Allerdings sollte die static Route ja generell in der Routingtabelle gehalten werden, auch wenn das Interface down geht, dass eine hat ja nichts mit dem anderen zu tun.
Sollte das Interface, über das der Gateway für diese Router erreicht wird, komplett verschwinden, ist auch die Route bei einem FreeBSD weg. Wie es mit Interface down/up ist, weiß ich grad nicht, müsste ich ausprobieren.
Aber Routen über nicht erreichbare Gateways kann man nicht eintragen und wenn ich mich jetzt nicht ganz arg irre, werden die auch entfernt, wenn das lokale Netz verschwindet.
QuoteSollte das Interface, über das der Gateway für diese Router erreicht wird, komplett verschwinden, ist auch die Route bei einem FreeBSD weg.
Das würde ja heißen, sobald ein Interface flappt, für die auch eine statische Route hinterlegt ist, würde er diese löschen und sobald das Interface wieder vorhanden ist, die statische Route ja dann nicht mehr haben. Das kann ich nicht ganz glauben, um ehrlich zu sein, wieso sollte das so sein?
Das wäre ja als würde ich den Uplink eines Routers in das WWW ab- und anschalten und der Router würde dann daraufhin seine gesamten statischen Routen löschen? Das wäre ja wahnsinn.
QuoteAber Routen über nicht erreichbare Gateways kann man nicht eintragen und wenn ich mich jetzt nicht ganz arg irre, werden die auch entfernt, wenn das lokale Netz verschwindet.
Ich mein das würde einiges erklären definitiv, aber wieso sollte ein System das machen? Anhand welchen Vorraussetzungen triggert das denn? Nach einem timeout am GW oder wie kann man sich das vorstellen?
Quote from: jonsch on February 04, 2021, 02:14:31 PM
Das würde ja heißen, sobald ein Interface flappt, für die auch eine statische Route hinterlegt ist, würde er diese löschen und sobald das Interface wieder vorhanden ist, die statische Route ja dann nicht mehr haben. Das kann ich nicht ganz glauben, um ehrlich zu sein, wieso sollte das so sein?
Nein, nein. Nur wenn die lokale IP-Adresse komplett verschwindet. Also z.B. bei einem Tunnel, bei dem die "innere" IP-Adresse für die Route genutzt wird. Und auch nur dann, wenn das Interface entfernt und neu angelegt wird, nicht, wenn es flappt.
Ich benutze keine routenbasierten Tunnel, deshalb weiß ich nicht, was die Sense da macht ...
QuoteNein, nein. Nur wenn die lokale IP-Adresse komplett verschwindet. Also z.B. bei einem Tunnel, bei dem die "innere" IP-Adresse für die Route genutzt wird. Und auch nur dann, wenn das Interface entfernt und neu angelegt wird, nicht, wenn es flappt.
Ich benutze keine routenbasierten Tunnel, deshalb weiß ich nicht, was die Sense da macht ...
Das ist ja definitiv nicht der Fall, dass das Interface des Gateways gelöscht wird. Der Tunnel könnte mal flappen ja, aber das sollte ja nicht den statischen Routing Eintrag löschen. Ich bin weiterhin ratlos.