Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - ctshl

Pages1
#1
German - Deutsch / Re: Fehlerhaftes Routing bei IPsec mit BiNAT
June 06, 2018, 08:44:42 PM
Ich habe die BiNAT-Regel gemäss der verlinkten Dokumentation eingerichtet, nur dass es sich bei mir jeweils um Hosts (/32) handelt.

Von der Gegenseite habe eine Fehlermeldung erhalten, dass meine ICMP Pings mit der Adresse 10.44.44.129 dort ankommen würden.

In einem Paket Capture erscheint bei einer eingehenden Verbindung folgende Kommunikation:
151.aa.ac.32.53421 > 83.xx.xy.102.Port
10.44.44.129.Port > 151.aa.ac.32.53421
.....
So können die ausgehenden Pakete aber nicht über Leitung gehen.
Der NAT findet erst nach dem Capture statt, denn ich erhalte keine Fehlermeldung von der Gegenseite und die Kommunikation funktioniert.

Sehr verwirrend........
#2
German - Deutsch / Re: Fehlerhaftes Routing bei IPsec mit BiNAT
June 05, 2018, 09:22:37 AM
Hallo ruffy91

vielen Dank für den Hinweis.

Das Routing funktioniert nach dem manuellen Anlegen der SPD-Einträge.

Allerdings ändert sich die unique:id wenn man in der Benutzeroberfäche Änderungen an den VPN-Einstellungen vornimmt, bei mir zumindest wird eine id geändert, die andere bleibt.

Das BiNAT scheint auch nicht korrekt zu funktionieren:
- eingehende Verbindungden werden korrekt umgesetzt
- bei ausgehenden Verbindugen wird die  BiNAT-Regel nicht angewendet und die ursprüngliche IP (10.44.44.129) kommt auf der Gegenseite an
#3
German - Deutsch / Re: Fehlerhaftes Routing bei IPsec mit BiNAT
May 30, 2018, 11:19:50 AM
Die Gegenseite akzeptiert nur öffentliche IPs innerhalb des VPNs, entsprechend wird die Private-IP 10.44.44.129 auf eine öffentliche gemappt.
#4
German - Deutsch / Fehlerhaftes Routing bei IPsec mit BiNAT
May 30, 2018, 09:22:36 AM
Hallo,

meine Konfiguration sieht so aus:

Firewall A:
- LAN: 10.44.44.0/24
- WAN: 83.xx.xy.98, 83.xx.xy.99, 83.xx.xy.100, 83.xx.xy.101, 83.xx.xy.102
- GW: 83.xx.xy.97

1 IPsec Tunnel mit 2 Phase 2 Einträgen

Phase 1: IKEv1, WAN, Remote-GW: 151.aa.ab.226
Phase 2_1: Local 83.xx.xy.102/32, Remote 151.aa.ac.16/32, manueller SPD: 10.44.44.129/32
Phase 2_2: Local 83.xx.xy.102/32, Remote 151.aa.ac.32/32, manueller SPD: 10.44.44.129/32

2 One-to-One NAT Einträge vom Typ BiNAT:
Interface: IPsec, External-IP: 83.xx.xy.102/32, Internal-IP: 10.44.44.129/32, Destination-IP: 151.aa.ac.16/32
Interface: IPsec, External-IP: 83.xx.xy.102/32, Internal-IP: 10.44.44.129/32, Destination-IP: 151.aa.ac.32/32

Es werden beide IPsec-Tunnel problemlos aufgebaut und auf beiden Tunneln ist im Status eingehender Verkehr zu sehen.

Der ausgehende Verkehr wird IMMER nur in einen aufgebauten Tunnel geroutet.

Wie kann ich dieses Problem lösen?

Pages1