OPNsense Forum
International Forums => German - Deutsch => Topic started by: rainer.bolsinger on April 15, 2019, 10:01:34 pm
-
Hallo an Alle,
ich habe 2x OPNsense:
OPNsense am Standort A
OPNsense am Standort B (Remoteseite)
Am Standprt B (Remoteseite) habe ich in der OPNSense insgesamt 3 Interface für verschiedene interne Netze. (LAN/LAN2/LAN3) und 1x WAN Interface mit statischer öffentlicher IP konfiguriert. Auf der Remoteseite funktoniert alles wie gewollt. Internetzugriff von allen 3 internen Netzen, 3x DHCP usw.
Die VPN IPSec Konfiguration ist wie folgt:
1x IPV4 IKEv2 auf die Remoteseite und die IKEV2 für die lokale Seite.
3x ESP IPv4 Tunnel mit den lokalen Subnetzen auf der Remoteseite und passend auf der lokalen Seite.
Pinge ich eine passende IP Adresse aus dem jeweiligen Netz der Remoteseite geht der Tunnel hoch und zeigt im Status Overview den State INSTALLED Routed an. auch alle anderen Einträge in dieser Übersicht passen. Leider kommen keine ICMP Packete am lokalen Host von dem gepingt wurde vom Remotehost an. Im Packetcapture auf der Remoteseite kann ich im Remote IPSec Interface das eingehende ICMP Packet sehen. Im zugehörenden internen Interface (Remote LAN/LAN2/LAN3) ist das ankommende und das vom Remotehost zurückgesendete Packet verzeichnet.
Leider im Remote IPSEC Interface nicht mehr das vom Remotehost zurückgesendete??? (im passenden lokalen Interface war es ja noch sichtbar)
Ich sehe auch auf der lokalen Seite, dass der Byte out Zähler hoch geht. Dto. auf der Remoteseite der Bytes in Zähler. Dementsprechend ist auf der Remtoeseite der Bytes Out Zähler immer 0 (NULL)!
Bei einer Remote OPNsense mit nur einem internen Interface LAN gibt es keine Probleme beim Tunnelaufbau und dem Zugriff auf die Remotehosts. Alles funktioniert wie gewollt.
Ich vermute, dass der automatsiche Routingeintrag mit mehreren Interfacen nicht funktioniert?!
Hat jemand ein ähnliches Szenario oder kann mir einen Tipp geben wo ich weitersuchen kann.
Ich komme einfach nicht klar, dass das ankommende und zurückgesendete Packet an den internen Interfacen der Remoteseite sichtbar sind, aber im IPSec Interface auf der Remtoeseite nur mehr das ankommende Packet angezeigt wird. Außerdem funktioniert es ja bei der Konstellation Remoteseite mit nur einem internen Interface LAN!
Würde mich über eine Antwort freuen. Sollten mehr Infos notwendig sein, kann ich gerne Genaueres mitteilen.
-
Lösung zum beschriebenen Problem gefunden:
in der aktuellen Version OPNsense 19.1.6-amd64 gibt es den Tunnel Settings Phase1 ein Konfigurationsfeld Install Policy. Dort muss ein Häckchen rein. Ob es per Default gesetzt ist habe ich nicht getestet.
Unter der Doku wird angegeben: Decides whether IPsec policies are installed in the kernel by the charon daemon for a given connection. When using route-based mode (VTI) this needs to be disabled.
Da bei stehendem Tunnel der State "Installed Routed" angezeigt wird bin ich davon ausgegangen, dass kein Hacken gesetzt sein muss!
Viellicht war meine Interpretation ja falsch. Kann mir jemand dazu nähere Info's geben.
--------------------------
In der Version OPNsense 19.1.1-amd64 ist dieser Konfigurationspunkt gar nicht vorhanden. Es funktioniert nach der passenden Konfiguration!
--------------------------
Grüße