OPNsense Forum
International Forums => German - Deutsch => Topic started by: inkasso on February 26, 2021, 03:09:27 pm
-
Moin!
Zur Verdeutlichung des Netzwerkaufbaus habe ich ein Diagramm angehängt. Es zeigt auf der OPNSense Seite allerdings nur einen kleinen Teilbereich. Dort werden mehrere VLANs und mehrere WANs genutzt. Ich habe vereinfacht auf die Teile, die bei meinem Problem eine Rolle spielen dürften. Das Netz an Site B kommt auf Site A nicht vor - das sollte also auch kein Problem machen.
Ich habe einen IPSec IKEv2 Tunnel zwischen einer OPNSense und einer Untangle Firewall eingerichtet. Die Verbindung kommt zustande und von der sense aus kann ich sowohl das gegenüberliegende Gateway als auch einen Client im dahinter liegenden Netz pingen und bekomme Antwort. Damit das funktioniert, muss ich als "source address" das VLAN-Netz auf der sense auswählen, was durchgeschleust werden soll - sonst geht es nicht. Soweit ergibt es für mich einen Sinn und ich bin damit auch zufrieden.
Bei der Einrichtung, bin ich dem Guide hier gefolgt: https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route.html. Die sense erstellt die genannten Firewall Regeln alle selbst - davon hab ich mich überzeugt.
Für die Untangle Seite habe ich leider keinen aktuellen Guide gefunden. Die vorhandene Version ist aktueller, als die Guides, die ich gesehen habe. Diese hab ich aber als Ausgangspunkt genommen und da die Verbindung ja zustande kommt und ich von der sense direkt aus durchpingen kann, vermute ich den Fehler nicht direkt am Tunnel.
Problem: Wenn ich jetzt von einem Client, der in dem besagten VLAN hängt über die sense ins Zielnetz pingen möchte (oder die eigentlich gewünschte Anwendung RDP probiere), funktioniert es nicht. In Packet Captures kann man die pings auf dem ipsec device enc0 sehen. Auf der Untangle Seite kommt auch was an, denn der inbound traffic auf dem tunnel erhöht sich, wenn der ping läuft. Nur: es gibt keinen outbound traffic von der untangle bei diesem ping. Den gibt es nur, wenn ich den ping direkt von der Firewall aus mache.
Leider habe ich in der GUI der Untangle keine Option für ein packet capture und bei den ping-tools kann ich nicht angeben, über welche schnittstelle gearbeitet werden soll. Daher ist debuggen von dieser Seite aus schwierig.
Ich komme einfach nicht dahinter, was fehlen könnte und wäre für einen Tipp dankbar. Ich weiß nicht mal, wie ich das jetzt genau debuggen soll.
Vielleicht noch als PS.: Ich hab schonmal genau wegen dieser Problematik hier einen Thread gemacht. Damals funktionierte es plötzlich und ich vermutete zu wissen, was das bewirkt hat. Leider war dem nicht so. Jetzt, wo die ersten echten Nutzer dieser Verbindung auf den Plan treten, fällt das erst auf. (nur um Kommentaren wegen doppelpost / trolling / etc. vorzubeugen...)
-
Zu wenig Infos?
Keiner eine Idee?
Keine Motivation, mir zu helfen?
wo hakts, dass ich keine Reaktion bekomme? ((in ganz freundlich gefragt!))
-
Weil es ein Problem mit Untangled ist? ;-)
IPsec is a pain to debug... Vielleicht mal rasch einen openVPN aus dem Boden stampfen und schauen, was passiert? :-)
-
Na ein openVPN hab ich ja schon auf beiden Seiten, da man auf beide Netze auch von außerhalb zugreifen können muss. Dachte nur, es macht mehr Sinn, wenn man sich schon in einem der beiden Netze befindet, nicht auch noch von da aus mit openVPN zu arbeiten.
Oder schlägst du vor die sense zum VPN Client von Untangle zu machen? Sowas hab ich noch nie probiert.
-
openVPN site-to-site statt IPsec, warum nicht?
-
Und damit bekomme ich
- 2-wege-Kommunikation?
- kann auf der sense Seite einstellen, welche VLANs durch dürfen und welche nicht bzw. welche VLANs von der anderen Seite aus zugegeriffen werden dürfen?
Gewünschte Dienste sind
- von sense zu Untangle => RDP & CIFS auf eine Maschine
- umgekehrte Richtung => CIFS auf mehrere Maschinen
Ich hab null Erfahrung mit site2site VPN, also kannst du mir gerade so ziemlich alles verkaufen :o
-
ja, 2-wege-kommunikation. mit den firewallregeln auf dem jeweiligen LAN interface und dem openVPN interface kann man granular steuern, welcher client was auf der anderen seite darf...
-
Und nun rate mal :D
Ich hab es jetzt auf OpenVPN Site2Site umgestellt.
Verbindung kann hergestellt werden. Ich kann nichts pingen... Ich sehe keine Drops auf der sense.
Ist aber nur ein Zwischenbericht, weil ich noch nicht genug Zeit hatte, der möglichen Ursache auf den Grund zu gehen. War schon etwas knifflig, bis ich die Verbinung überhaupt herstellen konnte.
Untangle schreibt übrigens, dass das nicht offiziell supported wird, solche Tunnel mit anderen Firewall-Lösungen zu betreiben...
-
Ok. Es bleibt dabei, dass ich es nicht hinbekomme.
Die VPN Verbindung kommt zustande. Die sense kann das Gateway auf der Gegenseite anpingen und auch einen Host dahinter. Umgekehrt kann auch von der Untangle aus das Gateway der Gegenseite und ein Host dahinter angepingt werden.
Jedoch funktioniert es nicht aus den Netzen hinter der Firewall über die VPN Verbindung ins Netz auf die andere Seite zu kommen.
Auf der Firewall sehe ich nichts, was die involvierten IPs betrifft.
Die Routing-Tabellen sehen für mich ebenfalls gut aus.
Ne Idee, wo ich ansetzen muss?
(Ergänze auch gern Infos, die bei der Problemsuche helfen)
-
Untangle schreibt übrigens, dass das nicht offiziell supported wird, solche Tunnel mit anderen Firewall-Lösungen zu betreiben...
Das ist ein Unding, IPsec ist IPsec und openVPN ist openVPN. So eine software (untangled) würde ich nicht betreiben.
-
Das ist ein Unding, IPsec ist IPsec und openVPN ist openVPN. So eine software (untangled) würde ich nicht betreiben.
Ich wollte sie auch nicht, bin aber leider gezwungen mich damit rumzuärgern.
-
Ich komme etwas weiter, weil ich gerade entdeckt habe, wie ich auf der Untangle Paket-Mitschnitte machen kann.
Wenn ich aus dem Netz der Sense Seite pinge, kommen die Pings auf der Untangle Seite an, werden von dem Client dort aber nicht beantwortet. Es hängt also hier tatsächlich auf der Untangle Seite. Mal sehen, ob man mir in deren Forum weiterhelfen kann :-/
-
Bei Untangle hat man mir den Rat gegeben, den ich gewöhnlich Usern häufiger gebe:
Starte doch mal neu.
Und: nu gehts ::)
Danke an alle, die mitgeholfen haben!