OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andi.K on June 21, 2018, 11:00:43 pm
-
Wir haben einige OPNsense im Einsatz und haben auch schon einige Tunnel eingerichtet aber aktuell will ein S2S Tunnel einfach nicht klappen.
Ich versuche einen Tunnel von einer OPNsense 18.1.10 zu einer pfSense 2.4.3 einzurichten. Beide Tunnel hängen direkt am Internet, einmal Vodafone einmal MNet.
Alles ganz normal eingerichtet, Firewall Regel für IPSEC auf beiden Seiten any - any. Tunnel kommt hoch, keine erkennbaren Fehler im Log.
Ping von Client bei pfSense -> OPNsense Client geht, pfSense -> OPNsense geht nicht.
Ich hab schon zig mal die FW Regeln für IPsec geprüft, steht aber any - any drin, Netze explizit angeben bringt auch nichts. Mir fällt nur auf, dass unter den Routes - Status das Gateway der OPNsense steht.
Ich habe das ganze auch schon gegen eine pfSense an anderen Standorten getestet, gleiches Problem.
Hat jemand einen Rat?
-
> Ping von Client bei pfSense -> OPNsense Client geht, pfSense -> OPNsense geht nicht.
Vermutung:
Ping von Client bei pfSense -> OPNsense geht
Ping von pfSense -> OPNsense Client geht nicht.
Beim Ping von der pfSense muss man "-S" angeben mit der IP aus dem leftsubnet der IPsec Konfiguration, sonst klappt es nicht. Aus der GUI das passende Interface.
Grüsse
Franco
-
Am Ping sollte es nicht liegen, z.B. rdp, smb geht auch nicht. Das muss etwas mit der Route zu tun haben.
Dauerping von Client1 pfSense -> Client2 OPNSense geht - dann geht auch
Ping von Client2 OPNSense - Client1 pfSense
Macht man die Pings aus, wartet kurz, dann geht der Ping von Client2 nicht mehr. Das Verhalten ist reproduzierbar.
Gleiche Konfiguration von einer anderen OPNsense mit gleicher Firmware funktioniert einwandfrei.
Die betreffende OPNsense wurde vor kurzem auf eine neue Hardware umgezogen. Vorher lief sie in einer HyperV Umgebung, jetzt nativ auf einer Jetway Hardware. Die Konfig wurde per Backup - Restore übernommen. Vorher gabe es keine S2S Tunnel. Die komplette OPNsense neu einzurichten ist ein riesen Aufwand, MultiWAN, haproxy usw. - das würde ich gerne vermeiden.
Hat noch jemand eine Idee?
-
> Am Ping sollte es nicht liegen
Versteh ich nicht warum wir dann mit Ping geht / geht nicht angefangen haben ;)
-
Sorry, da hab ich mich wohl falsch ausgedrückt. Noch mal korrekt:
Route / Traffik von pfSense zu OPNsense geht - anders herum nicht. An den Firewall Regeln sollte es nicht liegen, die sind drin. Ich denke, es liegt irgendwo an den Routen. Die korrekte Route über den Tunnel sollte doch die OPNsense automatisch anlegen, oder?
-
Kommt darauf an ob leftsubnet/rightsubnet die Netze schon enthält. Falls nicht braucht es noch "Manual SPD entries" in der Phase 2 um weitere lokale Netze durch das IPsec zu routen.
Grüsse
Franco
-
Die Netze sind in der Phase 2 enthalten. Auch doppelt kontrolliert. Die gleichen Einstellungen in einer anderen OPNsense funktionieren ja auch, nur eben bei dieser OPNsense will kein Tunnel klappen.
-
Die gleichen Einstellungen in einer anderen OPNsense funktionieren ja auch
Einen unterschiede muss es geben, sonst würde es klappen.
Liegt das Netz doppel an dieser OPNsense an ?
Netzgroße auf beiden Seiten korrekt ?
Wo bleibst Du mit einen traceroute jeweils hängen ?
Kannst Du die Config der beiden Boxen welche den Tunnel aufbauen sollen hier posten ?