OPNsense Forum
English Forums => Virtual private networks => Topic started by: atom on September 24, 2020, 09:40:45 am
-
Hallo,
ich habe einen Route-Based Tunnel zu einem Lancom konfiguriert.
Wenn ich jetzt einen weiteren Policy-Based Tunnel konfiguriere zu einem anderen Router, dann wird der IPsec-seitig sauber eingerichtet, aber zusätzlich eine Route für das Netz an mein Default-WAN-Gateway eingetragen, die man mit "netstat -rn" sehen kann. Dieses Verhalten tritt aber nur auf, wenn das lokale Netz das LAN-Netz ist. Wenn ich ein anderes lokales (VLAN-)Netz nehme dann, tritt das Verhalten nicht auf.
Viele Grüße,
atom
-
Bitte Screenshots von beiden Phase1 und Phase2 und von der Routingtabellte
-
Hallo mimugmail,
ich kann leider nur 4 Änhänge mitsenden. Bei dem korrekten "netstat -4rn" fehlt nur die gelb.markierte Zeile.
Viele Grüße,
atom
-
Wo ist der route-based tunnel?
-
Die Route-Based-Tunnel laufen über das ipsec100 .
-
Der Tunnel ist falsch aufgesetzt wo wie ich das sehe ...
-
Der Route-Based-Tunnel funktioniert problemlos. Den habe ich nach der Anleitung hier aufgesetzt:
https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-route.html
-
Ich habe den Route-Based-Tunnel mal testhalber abgeschaltet, so dass der auch im netstat nicht mehr auftaucht. Das Verhalten von dem Policy-Based-Tunnel ist immer noch identisch (falsch).
-
Gibt es eine Möglichkeit zu debuggen wer oder was eine Route für die VPN-Strecke auf das default Gateway setzt ?
-
Das ist mir grade etwas zu gemischt alles .. also du hast route-based deaktiviert und hast jetzt EINEN policy-based VPN Tunnel, und der geht schon nicht, korrekt?
-
Ich hatte erst einem Route-Based-Tunnel und dann versucht einen Policy-Based-Tunnel dazu zu konfigurieren.
Um auszuschließen, dass es an dem Route-Based-Tunnel liegt, habe ich den jetzt ausgeschaltet und danach noch einmal probiert den Policy-Based-Tunnel ans Laufen zu bringen. Erst mit mit lokal-Netz=LAN, was wieder nicht geht und danach mit lokal-Netz=anderes-(VLAN-)-Netz, was geht, ohne den zusätzlich falschen Eintrag in Routing Tabelle zu hinterlassen.
-
Du kannst mit einem Peer nicht beides mischen, du musst ja entweder Install Policy aktivieren oder raus nehmen.
-
Bitte schreib doch nochmal die SAs Deines Policy Based Tunnels auf und die falsche Route, die installiert wird.
-
Ich habe jetzt beide VPN-Tunnel noch einmal neu eingerichtet. Den von der Sense zum Lancom Route-Based und den zu dem anderen Route Policy Based.
Ich hatte vorher tatsächlich den Route-Based-Tunnel eine falsche Ziel-IP gegeben ( sich selbst und nicht die Gegenseite ). Hat komischerweise trotzdem funktioniert.
Die Routing-Tabelle sieht jetzt so aus. Die Änderungen gegenüber dem 1.Screenshot habe ich markiert.
Leider behebt das das Problem nicht, dass wenn ich zu dem Route-Based Tunnel einen weiteren Tunnel ( zu einem anderen Router ) Policy-Based hinzufüge. Die SA für den Policy-Based Tunnel sieht so aus:
ipsec status con2
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Security Associations (2 up, 0 connecting):
con2[2]: ESTABLISHED 6 minutes ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.7[xxx.xxx.xxx.7]
con2{3}: INSTALLED, TUNNEL, reqid 2000, ESP SPIs: c8feb218_i a441b3f9_o
con2{3}: 10.20.50.0/24 === 10.10.30.0/24
-
Leider behebt das das Problem nicht, dass wenn ich zu dem Route-Based Tunnel einen weiteren Tunnel ( zu einem anderen Router ) Policy-Based hinzufüge. Die SA für den Policy-Based Tunnel sieht so aus:
In deinen Antworten fehlt leider immer ein Detail
Was genau meinst du damit?
Du hast eine Phase1 zu einer IP und darin eine Phase2 die policybased und noch eine Phase2 die routebased ist?
Die Routingtabelle bringt nichts ohne die Details von P1 und P2
-
In dem Szenario sind 3 Router im Spiel.
Ich habe einen Tunnel zu einem Lancom Router bei dem die Phase 2 Route-Based ist:
lokale IP: 10.10.30.1
Remote IP: 10.10.30.2
ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
con1{1}: CREATED, TUNNEL, reqid 1000
con1{1}: 0.0.0.0/0 === 0.0.0.0/0
Security Associations (2 up, 0 connecting):
con1[2]: ESTABLISHED 5 hours ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.2[xxx.xxx.xxx.2]
con1{17}: INSTALLED, TUNNEL, reqid 1000, ESP SPIs: c832b71d_i 619d2077_o
con1{17}: 0.0.0.0/0 === 0.0.0.0/0
Ich habe einen zweiten Tunnel zu einem Router bei dem die Phase 2 Policy-Based ist:
ipsec status con2
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Security Associations (2 up, 0 connecting):
con2[2]: ESTABLISHED 6 minutes ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.7[xxx.xxx.xxx.7]
con2{3}: INSTALLED, TUNNEL, reqid 2000, ESP SPIs: c8feb218_i a441b3f9_o
con2{3}: 10.20.50.0/24 === 10.10.30.0/24
Und immer wenn das Qellnetz vom Policy-based-Tunnel mein LAN-Netz ist dann wird eine Route in die Routing-Tabelle geschrieben, was falsch ist, denn dafür sind ja die SAs da. Wenn das Quellnetz ein anderes (VLAN-)Netz ist dann wird keine Route in die Routing-Tabelle geschrieben.
-
Ok, ein Schritt weiter.
Jetzt bitte von beiden Tunneln Screenshots von P1 und P2 :)
-
Von dem Policy-Based-Tunnel hatte ich die Screenshot ja schon angehangen. Hier jetzt noch die von dem Route-Based-Tunnel.
-
Bei route-based nimmst du als local und remote IP addressen die nicht existieren.
Also z.b. 192.168.255.1 + 2, dann wird die .1 als interface angelegt, du geht in System : Gateways : Single, legst ein gateway an mit .2 und dann System : Routes und eine route für das remote netz (10.10.30.0/24?) über das gateway.
-
Ja, genau. Die sense hat die 10.10.30.1 und die Gegenseite die 10.10.30.2. ( wie auch im netstat zu sehen) Sonst ist das Netz unbenutzt.
-
Und wenn du jetzt gegenseitig Routen für die LANs anlegst, geht das dann?
-
Mir fehlen ja keine Routen. Es ist eine unnötig:
10.10.30.0/24 xxx.xxx.xxx.1 US ix0
Das wird ja bereits durch die SAs abgedeckt.
-
Und wo ist jetzt das Problem? Das Netz sollte ja wie gesagt unbenutzt sein? Hast du ein Verständnisproblem oder geht etwas nicht?
-
Ich bin ja, wie man am Profil sehen kann, neu in der OPNsense-Welt. Vielleicht habe ich ja etwas falsch verstanden.
Ich bin immer von folgendem ausgegangen:
Ein Route-based-Tunnel hat eine SA mit 0.0.0.0/0 und die Netze der Gegenseite erreicht man mittels Routing.
Ein Policy-based-Tunnel hat SAs mit lokalen Netz und Remote-Netz.
Wenn mein Verständis so korrekt ist, dann sollte ein ein Policy-Based-Tunnel keine routen setzen, oder ?
-
Doch, werden auf das WAN gelegt und durch den Tunnel geschubst
-
Okay. Dann habe ich das jetzt verstanden.
Vielen Danke für Deine Mühe.
Edit:
Das heißt aber auch, dass die Sense jetzt nicht von sich aus in das Netz der Gegenseite routet, sondern alles ins Internet geht. Lenke ich das per NAT zur Gegenseite ?
-
Bei routebased natürlich nur per route, policybased nur wenn Quelle und Ziel matchen