Messages

Hello,

Interesting. I have the same configuration. I would be interested in the answer as well. Every now and then the policy routing is referred to. But so far I have not found any instructions or the decisive tip on the Internet or here in the forum.  What definitely does not work is to use a gateway group as interface. This used to work with IPSEC but was abandoned in favor of policy based routing. Unfortunately, there is also very little information on how this should work now. As already written in the German forum, even the floating rules do not seem to work anymore. I.e. the tunnel is built up one level lower. Since also the binding to Localhost with a floating rule does not help.

regards

Christian

The scenario we are talking about here:

VPN                       LAN Outlet
|                _________|________
|     WAN1|                                  | WAN2
|                             Internet
V                                 |
                                   | WAN1
                            Datacenter
                                   |
                                LAN

Hallo Zusammen,

Folgendes einfaches Szenario:


VPN                       LAN Aussenstelle
|                _________|________
|     WAN1|                                  | WAN2
|                             Internet
V                                 |
                                   | WAN1
                                  RZ
                                LAN

WAN1 ist z.B. das Defaultgateway . Der VPN soll als Client (peer-to-peer) von der Aussenstelle das RZ/WAN1 ansprechen.
Dies soll er aber nicht über das Defaultgateway sondern über eine Gatewaygruppe tun. In dieser Gatewaygruppe ist WAN2-Tier 1 und WAN1-Tier2
Jetzt habe ich gelesen, das man dazu den OpenVPN Client an den localhost binden soll. Das funktioniert auch vom Grundsatz her.

all udp WAN1:62389 (127.0.0.1:11120) -> RZ/WAN1:11120

Natürlich geht er dann erst einmal über das Defaulgateway. Wie bekomme ich nun den Tunnel dazu, das er über die Gatewaygruppe geht? Eine schwebende Regel mit dem Interface Localhost sowie dem Port oder auch der Zieladresse funktioniert nicht. Scheinbar ist die Ausführung  der Regel zu spät und der Tunnel steht zu diesen Zeitpunkt schon. Wie kann ich das Problem nun lösen?

lg

Christian

Same thing with us, I'm afraid. No problem without ips. With ips massive problems. No matter which driver. (tested virtio and e1000). I'm at a loss, too. It works in front of all with pfsense. Been wanting to replace our big pfsense for a long time. Doesn't make any real sense without ips.

Regards

Christian

Gesendet von meinem Redmi Note 4 mit Tapatalk

Hallo,

Wäre es möglich (und hoffentlich auch logisch) in den Einstellungen für einen LDAP Server (System: Zugang: Server) die Eintragung einer Quell-IP zu ermöglichen? Ich muss den LDAP Server über einen IPSEC Tunnel erreichen. Dies funktioniert zum Beispiel problemlos unter Dienste: Dnsmasq-DNS: Einstellungen in den Einstellungen für die Domainüberschreibung.

Gruß

Christian

Hello,

Is working! Thank you!

regards

Christian

Hello,

Unfortunately the Zabbix Agent from 17.1.8 can not be set up. If you try to activate in the following error message:

{
  "result": "failed",
  "validations": {
    "zabbixagent.settings.main.listenIP": "Please provide valid IP addresses, i.e. 10.0.0.1."
  }
}

The corresponding field was filled out. See also the screenshot.

regards

Christian

Hallo zusammen,

Ausgangslage zwei Internetleitungen und ein Gruppen Gateway. Wenn ich einen OpenVPN Client einrichte kann ich unter Schnittstelle "nur" die physikalischen Schnittstellen auswählen. Leider keine Grupen Gatways. Ist das so gewollt? Wenn ja, wie kann ich dann einen Tunnel bei Ausfall einer Internet Leitung automatisch umschwenken?

Gruß

Christian

Ich habe nun endlich den Fehler gefunden. Es liegt an einen zusammenspiel mit pfsense. Ich habe bei pfsense das scrub disabled und schon geht es.

Auch das Thema muss ich noch mal nach oben holen. Gerade in Deutschland haben wir noch das Problem der Providerhaftung. Also wie habt Ihr das Problem gelöst? Mein einziger Ansatz ist der Syslogserver, denn ich leider mit dem squid noch nicht zum laufen gebracht habe. Hat jemand einen Vorschlag? Danke!

Gesendet von meinem Nexus 6P mit Tapatalk

Hallo zusammen,

hier  ein Aufruf an alle die ipsec und openvpn einsetzen. Könnt ihr bitte testen ob durch den Tunnel Pakete grösser 1472 durchgehen? Also ob der Tunnel die Pakete fragmentiert? Wenn ja bitte kurz eine Beschreibung hinterlassen mit was es funktioniert. (Ipsec , openvpn client/Server etc.) Danke!

Gruss

Christian

Unter Windows einfach ein ping auf eine IP hinter der opnsense durch den Tunnel machen. z.B. ping 192.168.0.10  -l 1500 Wenn da eine Antwort kommt reicht das schon als Test.

Gesendet von meinem Nexus 6P mit Tapatalk

Das ist leider auch mein Workarround [emoji26] kann aber irgendwie nicht die Endlösung sein....

Gesendet von meinem Nexus 6P mit Tapatalk

IPV6 habe ich auch deaktiviert.

Hallo,

Ich weiss nicht ob das die Lösung ist. Ich errinere mich wieder, das wir das Problem schon mit der 16.4 hatten und dort nicht lösen konnten. Der Anschluss gibt die volle MTU Size. Also nichts PPPOE oder sonstiges. Die Firewall muss doch bei solchen Standartparametern die MSS richtig setzen. Ich habe das natürlich auch mit der von dir beschrieben Einstellung versucht, jedoch hat dies keine Änderunge ergeben. Kann es sich dabei um einen Bug handeln? Das Thema verfolgt mich schon länger. PFSense und Fortigate verhalten sich dabei definitiv anders.   
Vielleicht verstehe ich an dieser Stelle aber auch etwas falsch....Es gibt doch hier sicherlich viele die OpenVPN oder IPSEC einsetzen könnt Ihr das Problem nachvollziehen?

Gruß

Christian

Ähm hatte ich das nicht? (Dachte ich zumindest ;-) ). Also das Problem ist simpel. Ich schicke einen Ping an ein Gerät / oder auch auf das Interner Interface der Opensense hinter den OpenVpn Tunnel. Mit einer Size bis 1472 funktioniert das mit einer Size grösser 1472 kommt nur "Das Zielnetz ist nicht erreichbar"  Also wird das Paket nicht fragmentiert. Das selbe Spiel unter PFsense oder Fortigate  funktioniert.Also muss es an den Einstellungen in Opnsense liegen. Nur wo?

Ach ja die Meldung "Zielnetz nicht erreichbar kommt von der Internen IP des OpenVPN Tunnels (Client-Server VPN)

Das Problem ist, das ich möchte das es fragmentiert. Und das tut es nicht. Das die unfrgmentierte grösse von verschiedene Overheads (VPN etc.) abhängt ist schon klar. Trotzdem müsste ein grösseres Paket fragmentieren und durchgehen. Aber genau das passiert nicht.