Ich habe einen ipsec Tunnel (Mode Tunnel IPv4)zwischen A (192.168.1.0/24) und B(172.17.95.0/24) aufgebaut.
Firewall A IP:192.168.1.254
Firewall B IP:172.17.95.254
Rechner in A können mit Rechnern in B kommunizieren.
Alles gut.
Was nicht geht:
Die Firewall A selbst kann nicht mit Netz B kommunizieren.
Anders herum ebenfalls nicht.
Wenn ich über die Shell der Firewall A einen Ping an die Firewall B absetzte, kommt immer vom WAN GW der Firewall A die Rückmedlung, dass B nicht erreichbar ist.
Warum nutzt die Firewall selbst nicht den ipsec Tunnel?
Wo die Netzte es doch machen.
Gesendet von iPad mit Tapatalk Pro
Du musst beim ping die Source-Adresse mit angeben, die vom LAN.
Eine IPsec policy ist keine Route. Deshalb schiebt die Firewall das per Default zum WAN raus und nutzt dann auch ihre WAN-Adresse als Source. Das ist einfach ein Mechanismus im Kernel, der guckt sich ein Paket an - Source, Destination - hab ich da eine IPsec policy für? Ja? Einpacken.
Das Problem ist aber, dass z. B. Unbound DNS auf A nicht den DNS Server im Netz B erreicht. Für Domain overrides.
Und mein Web Proxy auf A kann anscheinend auch keine ,,Sites" im Netz B erreichen.
Gesendet von iPhone mit Tapatalk Pro
Quote from: Shcshc on April 28, 2021, 10:40:10 PM
Das Problem ist aber, dass z. B. Unbound DNS auf A nicht den DNS Server im Netz B erreicht. Für Domain overrides.
Das lässt sich lösen, indem du in der Unbound Konfiguration unter General -> Outgoing Interfaces explizit ein Interface mit IP Adresse "im" Tunnel (in deinem Fall wohl LAN) setzt. Dann sollten die Domain Overrides klappen :)
Ggf. unter Services -> Unbound -> Access List schauen, ob das Netz A dort überhaupt für den Unbound in B erlaubt ist...
Der Hinweis von goodomens42 hat geholfen. Dankeschön. Jetzt muss ich noch schauen wie ich das mit dem Web Proxy löse.
Gesendet von iPhone mit Tapatalk Pro