OPNsense Forum
International Forums => German - Deutsch => Topic started by: c-mu on July 17, 2018, 10:01:58 am
-
Hallo,
ich stehe gerade vor einem Rätsel, mir ist noch nicht klar, wie ich verschiedene Netze im IPSec route. Im OpenVPN ist es für mich ganz einfach, dort trage ich die entsprechenden Netze, die in einer ovpn s2s Verbindung erreichbar sein sollen, in die Remote Netze spalte ein.
Aber IPSec? Wie muss es dort aus sehen? Für jedes Netz, dass ich Routen will eine Phase2 einbauen? Falls ja, muss das aussehen?
Verbindungsdiagramm (exemplarisch):
[192.168.229.0/24]
|
|
WAN (ovpn S2S)
|
|
[OPNSense 18.1.12 Main Server]
|
|
WAN (IPSec S2S)
|
|
[192.168.140.0/24]
Es gibt 5 weitere S2S ovpn Verbindungen. Zwischen OVPN und dem Main Server funktioniert das Routing hin und her ohne Probleme. Auch die Verbindung vom IPSec zum Mainserver und zurück funktioniert gut.
Mein Ziel ist es, dass ich auch vom IPSec Standort zu den ovpn Verbindungen komme.
Was habe ich bereits getan?
Dem ovpn Standort die Route zum Netz 192.168.140.0/24 bekannt gegeben.
Meine Phase2 config auf dem Main Server sieht so aus:
localsubnet 172.27.0.0/22 remote 192.168.140.0 (funktioniert)
localsubnet 192.168.229.0/24 remte 192.168.140 (funktioniert nicht)
Phase2 auf IPSec Standort:
localsubnet 192.168.140.0/24 remote 172.27.0.0/22 (funktioniert)
localsubnet 192.168.140.0/24 remote 192.168.229.0/24 (funktioniert nicht)
Füs testing habe ich im IPSec FW eine allow any any Regel eingebaut.
Wo liegt der Hase begraben?
Danke!
PS: alle Standorte haben Opnsense latest gratest stable version.
-
Problem gelöst. Man darf den Phase2 Entry nicht clonen und anpassen, sondern muss ihn von scratch auf neu einrichten.
Durch Zufall bin ich auf einen 3 Jahre alten Thread gestoßen, wo es jemand berichtet:
https://forum.netgate.com/topic/80051/cannot-get-multiple-phase-2-to-work-on-site-to-site-pfsense-2-2/8
Die richtige Phase2 lautet demnach für mein Setup siehe screenshots. Vielleicht hilft es anderen weiter.