Hallo zusammen
Ich stehe an einem Problem das ich nicht gelöst bekomme, habe zwei OPNsense in der Version 26.1.1 die eine lauffähigen IPSec Tunnel haben über die neue Tunnel Konfiguration. Die Firewall Regeln auf beiden seiten lassen aktuell any von dem eigenen subnetz zum anderen, jetzt ist es aber so das ich nur von einer seite aus die Systeme Pingen und erreichen kann, von der anderen Seite obwohl identisch konfiguriert geht es nicht.
Die Anfragen werden immer mit "Default deny / state violation rule" geblockt, obwohl alles offen sein müsste.
Evtl. kann mir da jemand einen Tipp geben...
Grüsse
Auf der Seite wo der Ping läuft oder auf der anderen, wo er nicht ankommt? Du brauchst natürlich auch auf der jeweiligen Remote-Seite eine "allow" Regel auf dem IPsec-Interface bzw. der Interface-Gruppe.
Habe auf beiden seiten vom internen subnetz zum remote subnetz und retour eine Regel auf dem IPsec Interface mit any, kann das am neuen und alten Firewall interface liegen? habe aktuell noch alles im "alten" teil...
Zeig doch mal die Regeln ...
Hoffe man sieht etwas, gibt noch die identische Regel in die andere richtung...
Tja - dann tcpdump anwerfen und von Interface zu Interface gucken, wo es stecken bleibt.
Ein Trace-Route direkt von den beiden Firerwalls kann dir auch schon weiterhelfen.