Moin,
wir haben 2 FWs in einem HA Szenario. Das public IP Netz ist ein x.x.x.x/29 Netzwerk.
Da es Überschneidungen bei den Netzwerken hinter den Tunnels gab, haben wir virtuelle IPs auf den Firewalls eingerichtet.
Das ganze hat auf pfsense funktioniert. Allerdings ohne HA mit IP Aliases.
Auf den Firewalls
WAN
x.x.x.138 als carp auf fw01 wan
x.x.x.139 fest auf fw01 wan
x.x.x.140 fest auf fw02 wan
LAN (standard Client Netz)
10.64.128.1 als carp auf fw01 lan
10.64.128.2 fest auf fw01 lan
10.64.128.3 fest auf fw02 lan
Virtuell LAN (wegen Überschneidungen der getunnelten Netzwerke)
10.233.250.1/24 als carp auf fw01 LAN
Auf den Clients sind virtuelle IPs für die VPNs eingerichtet
ip a | grep "10.233.250"
inet 10.233.250.19/24 scope global eth3
Das Routing auf den Clients ist dementsprechend eingerichtet
ip r s | grep "10.232.130.0"
10.232.130.0/24 via 10.233.250.1 dev eth3
Der Tunnel selber kommt nur zustande wenn ich "Richtline Installieren" in der Phase 1 aktiviere.
Auf der FW selbst kann ich dann den remote Server anpingen wenn ich einen gateway ins Netz 10.232.130.0/24 über den angelegten Gateway 10.233.250.1 setze.
Clients mit dem Netzwerk 10.233.250.0/24 haben keine möglichkeit der Kommunikation mit dem Netzwerk 10.232.130.0/24
Auf der FW IPSEC ist alles zugelassen was aus aus dem internen LAN kommt.
Hat da jemand eine Idee, woran es liegen könnte?
Vielen Dank für die zahlreichen Antworten.
Ich hab es jetzt gelöst mittels NAT bevore IPSec
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html
Viele Grüße
Rico_s