OPNsense Forum

International Forums => German - Deutsch => Topic started by: Wayne Train on April 20, 2018, 10:59:18 am

Title: IPSEC und CARP-HA Backup-Node nicht erreichbar
Post by: Wayne Train on April 20, 2018, 10:59:18 am

Hi,

wir betreiben die OPN als CARP-Cluster. Darüber hinaus ist unser Office mit einem anderen Standort über einen Site to Site Tunnel verbunden. Dieser läuft auch prima, nur das ich am zweiten Standort die Backup-Firewall über den Tunnel nicht erreichen kann.
Anfangs dachte ich, dass es eventuell eine Routing-Issue ist, mittlerweile vermute ich das Problem aber eher in IPSec. Ich vermute, dass die Backup-FW denkt, sie könnte ihre Pakete durch ihren eigenen Tunnel schicken, obwohl der Tunnel ja über die CARP-VIP bereits auf dem Master aufgebaut ist. Ich hoffe ich habe mich verständlich ausgedrückt. Hat jemand eine Idee wo ich mit dem Debuggen starten könnte um das Problem zu beheben ?

Ein Tipp wäre super. Danke!

MFG
Wayne

Title: Re: IPSEC und CARP-HA Backup-Node nicht erreichbar
Post by: JeGr on April 21, 2018, 10:47:02 am

Das sollte auch genau der Grund sein. Selbst wenn ein Tunnel nicht oben ist, ist es m.W. so, dass die Route intern vorhanden ist und somit der Backup Node denkt, er kann die Pakete direkt zustellen, was nicht der Fall ist. Wenn du den Backup Node also via VPN erreichen können musst, geht das evtl nur mit einer manual Outbound NAT Regel, dass du den Traffic der vom Remote Netz an die Firewalls kommt mit einer Regel einfängst, so dass der Backup Node dann denkt, dass er von der anderen Firewall kommt und den dahin schickt.

Title: Re: IPSEC und CARP-HA Backup-Node nicht erreichbar
Post by: Wayne Train on April 23, 2018, 10:30:19 am

Hi,

nur damit ich dich richtig verstehe: Meinst du die remote Netze auf dem Backup auf die Carp-IP natten, oder die eigene WAN-IP auf die Carp-IP natten ?

Title: Re: IPSEC und CARP-HA Backup-Node nicht erreichbar
Post by: Wayne Train on April 23, 2018, 11:35:04 am

So...
ich natte jetzt mein remote Netz, mit dem ich auf die beiden Nodes zugreifen will, auf deren Interface-Adresse im jewiligen Netz und dann funktioniert der Zugriff auch. Also als Beispiel, falls noch jemand das Problem hat...

remote-net: 10.1.1.0/24
local-net: 10.2.2.0/24
fw1: 10.2.2.1
fw2: 10.2.2.2


NAT
source: 10.1.1.0/24
interface: local-net-interface
destination: Alias mit fw1 und fw2
translation-target: local-net-address

@JeGr: Dir nochmal vielen Dank für den Tipp. Ans natten habe ich garnicht mehr gedacht, da ich zu sehr auf IPsec fixiert war.

MFG
Wayne