OPNsense Forum

International Forums => German - Deutsch => Topic started by: papa_joe on June 03, 2015, 11:51:48 am

Title: IPSec Tunnel mit NAT-T lässt nicht alle Daten durch
Post by: papa_joe on June 03, 2015, 11:51:48 am
Ich habe ein echt seltsames Phänomen. In einem IPSec Tunnel fließen bestimmte Daten nicht, wenn dieser über NAT-T aufgebaut ist. Firewall-Regeln sind so, dass zwischen LAN und IPSec (und umgedreht) alle Protokolle von any zu any offen sind. Ich vermute einen Bug im IPSec Bereich, kann den aber mangels tiefer Kenntnisse der Materie nicht greifen.

Ich habe das Problem bereits im pfSense Forum unter dem Betreff "Scan to Folder" durch IPSec Tunnel geht nach Umstellung auf pfsense nicht mehr" gepostet, weil es sich so erstmals bemerkbar gemacht hat. Leider gab es da keine Antworten. Inzwischen weiß ich, dass es auch andere Dinge betrifft (z.B. WebGUIs der Druckers im anderen Netz nicht erreichbar). Andere Dienste wie ICMP, RDP, SMB over TCP, funktionieren tadellos, man merkt es also auf Anhieb erstmal gar nicht. Ich habe es jetzt auch zwischen meinen opnsense Firewalls ausprobiert, aber auch hier, der gleiche Effekt, reproduzierbar.

Wie gesagt, nur wenn IPSec über NAT-T UDP Port 4500 aufgebaut wird. Normal über UDP 500 ohne NAT gibts keine Probleme. Testweise habe ich das auf der selben WAN-Leitung probiert, einmal eben mit NAT-T "forced" und einmal ohne NAT-T.

Ich bin echt am verzweifeln. Ich brauche IPSec NAT-T an einem Standort, aber so ist es unbrauchbar  :-\ .
Title: Re: IPSec Tunnel mit NAT-T lässt nicht alle Daten durch
Post by: franco on June 09, 2015, 11:09:25 am
Hallo papa_joe,

hier bin ich überfrag. SMB über TCP klingt so als ob HTTP auch funktionieren sollte. Vielleicht stimmt etwas mit der Initierungsrichtung nicht (also nur eine Richtung funktioniert tadellos).

Ich habe ein Ticket erstellt, vielleicht können Jos und Ad das nachstellen:

https://github.com/opnsense/core/issues/209


Grüße Franco