Hallo liebe Community
Meine Monit Überwachung der IPsec Peer-to-Peer VPN bekomme ich nicht zum laufen.
Genauer, der Ping auf die OpnSense der Seite B, ab der OpnSense der Seite A scheint nicht zu gehen.
Als würde OpnSense die Seite B nicht kennen.
Aus meinen verschiedenen LAN-Netzen von Seite A komme ich nach B, mit Ping / 443 ect. (also der VPN funktioniert einwandfrei).
Wenn ich auf der OpnSense (Seite A) unter Schnittstellen/Diagnose/Ping einen Ping nach OpenSense B absetze dann folgendes Resultat:
Ping nach 192.168.110.254 (ohne Quellangabe) -> 100% Lost
Ping nach 192.168.110.254 (mit Quellangabe Bsp. 192.168.10.254 IP OpnSense Seite A) -> 0% Lost
Was muss ich auf der OpnSense Seite A noch einstellen, dass diese selbst das Netz auf Seite B kennt?
Aufbau:
Seite A: 192.168.10.0/24 -> OpnSense IP 192.168.10.254
Seite B: 192.168.110.0/24 -> OpnSense IP 192.168.110.254
VPN Tunnel: Typ IPsec, Eingerichtet auf der Seite Verbindung und mit Key Pairs (Nach der Doku, "neue Konfigurationsart")
Danke für eure Hilfe
Bei einem Policy Based IPsec hast du keine Tunnel-Adresse, also kein Transfernetz. Damit geht das fundamental nicht ohne Angabe einer Source-IP-Adresse.
Du kannst einen Routing Based Tunnel aufsetzen oder auf WireGuard umsteigen. Oder das Monitoring nicht auf der OPNsense zu implementieren versuchen, sondern z.B. ein Uptime-Kuma auf einem Docker-Host im LAN verwenden ...
Hallo Patrick
Danke für deine super schnelle Antwort.
Dann werde ich mich mit WireGuard auseinander setzen.
Irgend wo hatte ich gelesen, dass für eine Verbindung zwischen 2 OpnSense diese Policy Based IPsec Verbindung Sinn macht.
Naja, du hast dann eine klassische LAN-LAN-Kopplung. Das ist mit zwei Sophos oder zwei Cisco ASA oder oder oder ... auch nicht anders. Dein Problem ist der Monit, der keine zum VPN passende Source-Adresse hat bzw. dem man keine solche konfigurieren kann. Mit einem (wie schon geschrieben) Monitoring-Host im LAN hast du das Problem nicht.
Aber Wireguard ist für LAN-LAN ziemlich geil, finde ich. Für Road Warrior fehlt die externe Authentifizierung und eine dynamische IP-Adress-Vergabe, aber LAN-LAN ... sehr fein.
Ich habe jetzt grad nicht kurz schauen können, aber hat Monit vielleicht irgendwo ein Setting mit dem man das Binding verändert kann, also auf welche IP er gebunden wird/hört? Wenn man die aufs LAN setzt, was im P2 von IPsec mit drin ist, sollten die Abfragen von Monit eigentlich klappen können. Ansonsten wäre aber ein Monitoring außerhalb der Firewall eh sinnvoller, denn dann hat man die Daten und Infos/Notifications/Status etc. auch dann wenn die Firewall mal selbst die Grätsche macht :) Da ist jetzt weniger unbedingt ein anderes VPN benötigt, als mehr die Frage ob das Monitoring so Sinn macht ;)
Cheers :)