OPNsense Forum

International Forums => German - Deutsch => Topic started by: Suraki on January 31, 2023, 01:50:24 pm

Title: IKEv2 Tunnel mit Cisco
Post by: Suraki on January 31, 2023, 01:50:24 pm: Ich habe folgendes Phänomen mit einem IKEv2 Tunnel zu einer Cisco.

zwei IPs in Phase 2, wenn ich dann eine IP anpinge, geht kein Traffic zu der anderen mehr.

ungefähr so :

10.10.1.1/32 zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

ping von 192.168.1.1 auf 10.10.1.1 funktioniert, dann aber nicht mehr der Ping von 192.168.1.2 auf 10.10.1.2.

erst nach einem neuaufbau des Tunnels funktioniert der Ping von 192.168.1.2 auf 10.10.1.2 wieder, bis Traffic über die 192.168.1.1 geht, dann funktiniert nur noch 192.168.1.1.

scheint wie eine art Failover zu sein, aber bei VPN?

Hatte dieses Problem hier schon jemand?
Title: Re: IKEv2 Tunnel mit Cisco
Post by: juere on January 31, 2023, 07:09:11 pm: Quote from: Suraki on January 31, 2023, 01:50:24 pm
10.10.1.1/32 zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

Ich nehme mal an, das sind wirklich zwei verschiedene Phase2 Einträge.
Schon mal die Option "Tunnel Isolation" in den OPNSense seitigen Phase1 Settings versucht ?
Das hat bei mir schon ähnliche Probleme mit CISCO Gegenstellen beseitigt.
Title: Re: IKEv2 Tunnel mit Cisco
Post by: Suraki on February 01, 2023, 07:46:55 am: Quote from: juere on January 31, 2023, 07:09:11 pm
Quote from: Suraki on January 31, 2023, 01:50:24 pm
10.10.1.1/32 zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

Ich nehme mal an, das sind wirklich zwei verschiedene Phase2 Einträge.
Schon mal die Option "Tunnel Isolation" in den OPNSense seitigen Phase1 Settings versucht ?
Das hat bei mir schon ähnliche Probleme mit CISCO Gegenstellen beseitigt.

Hallo juere,

vielen Dank für den Tipp, werde das nachher direkt mal ausprobieren, melde mich! :-)
Title: Re: IKEv2 Tunnel mit Cisco
Post by: mschmidt on February 01, 2023, 02:36:15 pm: Wir hatten das selbe Problem mit einer fortigate als Gegenstelle.
Als Lösung haben wir einfach zwei identische Phase 1 Einträge mit jeweils einem Phase 2 Eintrag angelegt.
Title: Re: IKEv2 Tunnel mit Cisco
Post by: Suraki on February 01, 2023, 04:39:11 pm: Quote from: Suraki on February 01, 2023, 07:46:55 am
Quote from: juere on January 31, 2023, 07:09:11 pm
Quote from: Suraki on January 31, 2023, 01:50:24 pm
10.10.1.1/32 zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

Ich nehme mal an, das sind wirklich zwei verschiedene Phase2 Einträge.
Schon mal die Option "Tunnel Isolation" in den OPNSense seitigen Phase1 Settings versucht ?
Das hat bei mir schon ähnliche Probleme mit CISCO Gegenstellen beseitigt.

Hallo juere,

vielen Dank für den Tipp, werde das nachher direkt mal ausprobieren, melde mich! :-)

Genau das hat uns aus der Patsche geholfen, vielen dank! :-)
Title: Re: IKEv2 Tunnel mit Cisco
Post by: Suraki on February 01, 2023, 04:43:48 pm: Quote from: mschmidt on February 01, 2023, 02:36:15 pm
Wir hatten das selbe Problem mit einer fortigate als Gegenstelle.
Als Lösung haben wir einfach zwei identische Phase 1 Einträge mit jeweils einem Phase 2 Eintrag angelegt.

Hatten wir auch kurz überlegt, aber dann wieder verworfen, weil nicht ganz so sauber.
Tunnel Isolation soll ja auch bei Fortigate Wunder wirken. (so jedenfalls der Hilfetext bei dem Schalter)
Title: Re: IKEv2 Tunnel mit Cisco
Post by: franco on February 01, 2023, 04:48:58 pm: Jupp, hat mir 2016 gut geholfen die vererbte Fortigate aus dem Main Office mit OPNsense zu paaren. ;)

https://github.com/opnsense/core/commit/fb5e78635378145

Grüsse
Franco
Title: Re: IKEv2 Tunnel mit Cisco
Post by: mschmidt on February 02, 2023, 07:59:29 am: Bei uns hatte Tunnel Isolation nicht funktioniert.
Title: Re: IKEv2 Tunnel mit Cisco
Post by: franco on February 02, 2023, 09:39:48 am: Dafür gibt es keinen technischen Anhaltspunkt. Die Konfiguration ist letztlich identisch.

Grüsse
Franco