OPNsense Forum
International Forums => German - Deutsch => Topic started by: Emma2 on March 21, 2018, 01:14:24 pm
-
Ich möchte gern den Aufbau meines IPSec-Tunnels explizit anstoßen bzw. beeinflussen.
Ich habe einen Tunnel zwischen meinem lokalen LAN und meinem zweiten Standort.
Ich habe lokal "Start immediate" eingestellt, und remote steht er auf "Respond only".
Als ich jetzt aber die VM der Remote-OPN exportiert habe, war die Gegenstelle eine Zeit lang nicht erreichbar.
Und es scheint mir so, als hätte meine lokale OPN irgendwann "aufgegeben". Kann ich das beeinflussen?
1. Ich habe den Tunnel "manuell" wieder hergstellt, indem ich in seinen Settings auf "Save" geklickt habe.
Ist das richtig? Ich hätte erwartet, dass es einen Button "Connect now" gibt.
2. Kann ich die Retry-Intervalle beeinflussen? Das wäre wichtig, denn sonst gibt es ja bei jedem Backup der entfernten OPN ein Problem. Zumindest stand der Tunnel ein paar Minuten nicht, obwohl die entfernte Seite schon wieder up war. Oder war ich jetzt nur zu ungeduldig?
-
Kunstfrage dazu: Warum war die Remote OPN VM überhaupt "nicht erreichbar" bei einem Backup? Du brauchst ja nur die Konfiguration sichern, eine VM mit OPNsense ist schneller installiert als irgendein VM Backup zurückgespielt :)
Zur anderen Frage:
Was ist denn mit VPN / IPSEC / Status Overview? Dort ist doch hinter der Phase 1 explizit eine Status Spalte wo ein Stop/Start/Info Button residiert?
Ansonsten mutmaße ich, dass dein Verhalten ggf. mit der DPD (Dead Peer Detection) beeinflussen kannst. Zumindest wenn du das überhaupt konfiguriert hattest.
-
Hallo, Jens.
Kunstfrage dazu: Warum war die Remote OPN VM überhaupt "nicht erreichbar" bei einem Backup?
Das ist historisch, und ja, das könnte ich "bei Gelegenheit" mal ändern.
(Zur Erläuterung/Entschuldigung: Wir hatten bisher den (zum Glück abgekündigten) MS-TMG im Einsatz, und bei dem war es eben NICHT so einfach ihn neu zu installieren: Win-Server aufsetzen, TMG installieren, Konfiguration zurückspielen - und das hat definitiv länger gedauert, als eine exportierte VM wieder zu importiern...)
Aber: Kann ich den Export der Konfiguration automatisieren?
Hintergrund: Meine Backups laufen als Jobs auf dem Hyper-V-Host, und das würde ich gern so behalten
(... was bedeuten würde, dass ich vom Host aus auf die Konfiguration zugreifen können müsste).
Was ist denn mit VPN / IPSEC / Status Overview? Dort ist doch hinter der Phase 1 explizit eine Status Spalte wo ein Stop/Start/Info Button residiert?
Ja, danke, damit kann ich den Tunnel wohl neu starten, ohne "Save" in seinen Einstellungen zu klicken - genau das habe ich gesucht.
Ansonsten mutmaße ich, dass dein Verhalten ggf. mit der DPD (Dead Peer Detection) beeinflussen kannst. Zumindest wenn du das überhaupt konfiguriert hattest.
Hatte ich bisher nicht konfiguriert, aber das wird es wohl sein.
Leider sagt die Hilfe nichts zur Einstellung "retries".
Bedeutet "0" wohl "unendlich" oder leider doch nur "0"?
-
> MS-TMG im Einsatz,
Haben wir gerade auch einige Kunden, die den rauswerfen und durch *sense ersetzen. Ist auch besser so, gruseliges Stück Software...
> Aber: Kann ich den Export der Konfiguration automatisieren?
z.B. mit Suchen im Forum oder hier nachschauen :P
https://forum.opnsense.org/index.php?topic=3853.msg34059#msg34059
-
> MS-TMG im Einsatz, (...)
gruseliges Stück Software...
Ja, echt, ey. Wenn ich vergleiche, wie krampfig es war, dort unseren Tunnel einzurichten, und dann tauchten da irgendwelche zusätzlichen IPs für den Tunnel auf, die man manuell den eigenen Netzen zuordnen und dann in der Firewall berücksichtigen musste... oh, Manno!
Da lobe ich doch echt die opnSense! Da heißt das Zeug so, wie es genutzt wird:
Obwohl ich nicht der Super-Kenner bin, war mir klar, dass ich bei "IPSec" auf der Firewall etwas eintragen musste, um über den Tunnel kommunizieren zu können. So sollte es auch sein. Aber der TMG ist ja nun fast Geschichte.
> Aber: Kann ich den Export der Konfiguration automatisieren?
z.B. mit Suchen im Forum oder hier nachschauen :P
https://forum.opnsense.org/index.php?topic=3853.msg34059#msg34059
Sorry, wie blöd von mir: ich habe nur nach DPD "retries=0" gesucht, nicht nach meiner zweiten Frage ::).