Guten Tag Zusammen,
Ich migriere zur Zeit meine IPSEC Tunnels nach Connections. (OPNsense 25.1.11-amd64)
und hier stosse ich beim zweiten VPN auf eine Ungereimtheit in der swanctl.conf
Szenario:
Ich habe vier Remote-Netze mit einem Zentralnetz zu verbinden
- RemoteServer1 hostet RemoteNetz1 und RemoteNetz2
- Remoteserver2 hostet RemoteNetz3 und RemoteNetz4
Soweit, so gut.
Aber in der swanctl (immer noch legacy!) sehen die children so aus:
Für RemoteServer1:
remote_addrs = RemoteServer1
dpd_delay = 10 s
dpd_timeout = 60 s
proposals = aes256-sha1-modp1024
children {
con1-000 {
start_action = trap
policies = yes
mode = tunnel
sha256_96 = no
dpd_action = start
local_ts = LocalNet
remote_ts = RemoteNet1
reqid = 1
esp_proposals = aes256-sha1-modp1024
life_time = 28800 s
}
con1-001 {
start_action = trap
policies = yes
mode = tunnel
sha256_96 = no
dpd_action = start
local_ts = LocalNet
remote_ts = RemoteNet2
reqid = 2
esp_proposals = aes256-sha1-modp1024
life_time = 28800 s
}Und RemoteServer2
remote_addrs = RemoteServer2
proposals = aes256-sha1-modp1024
children {
con2 {
start_action = trap
policies = yes
mode = tunnel
sha256_96 = no
local_ts = LocalNet
remote_ts = RemoteNet3,RemoteNet4
reqid = 5
esp_proposals = aes256-sha1-modp1024
life_time = 28800 s
}
}Der Elefant im Laden ist:
für den RemoteServer1 wird für jede Phase 2 ein eigenes Child aufgemacht, wohingegen für den RemoteServer2 das Child beide Netze zusammenfasst.
Meine konkreten Fragen:
- Warum ist das so? Ich sehe keinen Unterschied in dn Parametern, ausser der REQID, die ich nicht vergeben habe
- Kann ich die beiden Children für RemoteServer 1 zu einem Child zusammenfassen?
Vielen Dank für Eure Gedanken und Mühen im Voraus
Wolfgang
Wenn du mehr als ein Netz in ein Child schreibst, bekommst du die Konfiguration von Server 2, wenn du für jedes Netz ein eigenes Child anlegst, die von Server 1. Das entspricht dem Flag "Tunnel isolation" in der Legacy-Konfiguration.