Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: SidneyXD on February 21, 2025, 12:46:33 PM

Title: IPsec VPN Traffic muss von intern initiiert werden
Post by: SidneyXD on February 21, 2025, 12:46:33 PM
Hallo zusammen,

mir ist bei mehreren IPsec VPN Einrichtung ein merkwürdiges Verhalten aufgefallen.

Wenn ich eine Site-to-Site IPsec VPN Verbindung zwischen der OPNsense und einer anderen Firewall aufbauen (getestet mit sonciwall und cisco asa) kommt der Tunnel erstmal hoch. Ich sehe auch das die Gegenseite (asa) traffic in den VPN tunnel sendet. Auf der OPNsense kann ich aber keine Hits im VPN Tunnel sehen und auch der paket capture zeigt keine Pakete an.

Wenn ich jetzt aber von einem Host hinter der OPNsense einen einzigen Ping absetze, welcher auch durch den VPN Tunnel geht, kommt dieser an. Ab diesem Zeitpunkt funktioniert der Tunnel dann auch von der anderen Seite.

Das Problem habe ich sowohl in Version 24 als auch in der neuen Version 25.

Hat jemand Erfahrung damit oder schonmal ähnliches beobachtet ?
Title: Re: IPsec VPN Traffic muss von intern initiiert werden
Post by: Brick_In_The_Wall on February 22, 2025, 11:16:04 AM
Das habe ich gerade hinter mir. Du musst in der Phase 1 das DPD Delay auf z.B. 10 Sekunden setzen, damit wird die Verbindung alle 10 Sekunden aufrecht erhalten.
Title: Re: IPsec VPN Traffic muss von intern initiiert werden
Post by: SidneyXD on February 24, 2025, 09:06:46 AM
Hi
erstmal danke für den tipp. Ich hatte DPD bereits aktiviert in den standard Einstellungen. Zur Sicherheit hab ich mir über die cli mal noch die DPD Delay anzeigen lassen. die steht dann im standard auf 10 sekunden delay.
Leider besteht das Problem also weiterhin.
Title: Re: IPsec VPN Traffic muss von intern initiiert werden
Post by: Monviech (Cedrik) on February 24, 2025, 11:41:25 AM
Vielleicht gibt es keine Firewall Regel die ESP erlaubt.

Dadurch, dass ein Ping abgesetzt wird, wird ein State mit ESP geöffnet auf dem die Gegenseite dann ihre Antwort zurücksenden kann.

Ich würde alle Firewall Regeln überprüfen die den Outer Tunnel aufbauen.

ESP, UDP/500, UDP/4500, AH (wenn nötig) auf dem WAN eingehend erlauben.
Title: Re: IPsec VPN Traffic muss von intern initiiert werden
Post by: SidneyXD on February 24, 2025, 02:48:32 PM
Hi,

wenn ich das richtige sehe, werden diese Regel für ESP, UDP 500 und UDP 4500 automatisch für die entsprechende Gegenstelle (public IP) in der Firewall angelegt.
Ich hab Sie trotzdem mal noch manuell, zur Überprüfung ,konfiguriert und anschließend den Tunnel neu gestartet.
Mein Problem besteht leider weiterhin.

Ich hab inzwischen auch noch herausgefunden, dass selbst ein source ping von der Firewall nicht funktioniert. Der Traffic muss von einem Gerät hinter der Firewall kommen.
Text only | Text with Images