Hallo zusammen,
ich habe zwischen zwei opnsense (beide 24.1.2) einen IPsec Tunnel (site to site) mittels Connections eingerichtet.
Da ich cgnat habe ist der Tunnel über ipv6 aufgebaut, lt. Status steht der Tunnel, ich habe bei remote und local die jeweiligen ipv4 netze eingegeben. Ich kann aber nicht von einer Seite auf die andere Seite pingen. Unter Firewall => Rules => IPsec habe ich auf beiden Seiten ipv4 any any konfiguriert.
Wenn ich einen tcpdump auf den enc0 interface mache, sehe ich auch keine icmp pakete wenn ich pinge, stattdesen kann ich sie auf den WAN Interface sehen.
Wenn ich netstat -rn mache sehe ich auch keine routen für die jeweiligen genenüberliegende Netze, deswegen gehen die Pakete auch über WAN interface ist ja das Gateway.
Muss ich noch was konfigurieren, ich komm irendwie nicht weiter.
Danke
vg
Peter
(//%5Bimg%5D)[/img]
In Phase 2 den Haken bei "Policies" gesetzt?
ich benutze das neue Menü Connection und nicht Tunnel Settings [legacy] da gibt es keine Phase 2 oder?
In deinem Screenshot vom "Status Overview" steht ziemlich klar "Phase 1" und "Phase 2".
"Children" ist das im Setup-Menü. Natürlich gibt es weiterhin Phase 1 und Phase 2, so funktioniert IPsec nunmal.
Danke für die Erklärung
ja bei beiden ist da der Hacken
Hallöchen,
so wie ich das sehe, fehlen die Firewall-Einstellungen für PORT 500(ISAKMP), 4500(IPsec NAT-T) und Protocol ESP am WAN-Port
schau mal hier:
https://docs.opnsense.org/manual/vpnet.html#firewall-rules
LG
Danke für die Antwort
ja die Rules für ESP, UDP 500 und 4500 auf den WAN sind auf beiden Seiten vorhanden, ich denke sonst würde der Tunnel auch nicht stehen.
Hat einer noch eine Idee?
Eine Vertändnisfrage, sollte ich mit netstat -rn eine route sehen von den jeweiligen gegenüberliegenden Netz das auf das enc0 zeigt?
Danke für euere Hilfe
vg
Peter
Quote from: kurbler on February 23, 2024, 10:37:47 AM
Eine Vertändnisfrage, sollte ich mit netstat -rn eine route sehen von den jeweiligen gegenüberliegenden Netz das auf das enc0 zeigt?
Bei einem Policy Based Tunnel nicht.
hat keiner noch eine Idee, wo ich ansetzen kann
Danke schon mal
vg
Peter
Hast Du den Ping Test zwischen den Firewalls direkt probiert oder von einem Client aus?
Wenn man von einer FW direkt pingt, geht die Route fehlerhaft über WAN ohne NAT/Verschlüsselung raus, weswegen man ein GW auf dem LAN Interface und Route für das Zielnetz anlegen muss...
Bin gerade aauf der Suche danach, wie man das "richtig" machen sollte, daher noch keine bessere Antworrt dazu möglich...
EDIT: Workaround Lösung ist wohl wie bei pfSense über ein extra GW, falls man benötigte Services nicht am LAN Interface binden kann:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html#static-route-workaround
Aber falls noch nicht gelöst, einfach mal mit tcpdump oder per Webinterface bei "Packet Capture" mal Pings zum Remote Netzwerk über alle Interfaces loggen... kann man per WebGUI oder per Download/Wireshark dann je Interface einsehen und auswerten.
hab ich schon probiert, hab auch einen tcpdump mitlaufen lassen und hab dann auf den wan interface die pings gesehen und sie sollten eigentlich durch den Tunnel laufen.
ich hab mal nochmal einen Screenshot mit dran gehangen, das ist von beiden die status page Ansicht, hab ich da was evtl. verkehrt mit den Source und Destination gemacht?
vielen Dank
hab das mit dem Gateway ausprobiert, hat leider auch nichts geholfen
es funktioniert!!!!!!
das mit dem Gateway war es, anscheinend hab ich vor lauter Verzzeiflung das letzte mal an den Local und Remote subnets rumgeschraubt und mal vs versa eingetragen, hab das mir nochmal angeschaut und auch mal alle subnets gelöscht und dann probiert, hat nicht funktioniert. Dann habe ich die local und remote subnets RICHTIG wieder eingetragen und es funktioniert.
kann von beiden seiten jeweils die opnsense Adresse des jeweiligen LAN pingen und auch auf dem enc0 interface mit tcpdump die Pakete sehen.
Danke für den Tipp mit dem Gateway!!!!!
Gerne... ich hatte den auch bei dieser Suche angewandt, weil meine Pings zwar von Instanzen / Clients liefen, aber nicht von den FWs aus und hatte gut geklappt.
Das Problem ist, dass man bei bestimmten Problemen dann teilw. zu viel ändert ^^...
Am WE war mir das GW irgendwie "weggebrochen" - wobei hier viellecht auch noch unbekannte Remote Wartungsarbeiten vorhanden waren (Tunnel waren "INSTALLED" aber keinerlei Traffic kam zurück).
Und da ich nicht mit Pings von der FW aus testen konnte, hatte ich mehr mehr und "verzweifelt" auch nicht wenige Anpassungen bei meinen "Wiederherstellungsversuchen" versucht, aber zum Glück nur zwei von weiteren Phase 2 Tunneln, so dass ich eine einfache "Vorlage" zum überprüfen und zurücksetzen hatte..