Messages

Hallo zusammen,

ich habe mehrere OPNsense mit IPSec das LAN vernetzt. Diese haben weitere interne Schnittstellen mit eigenen Netzen. Diese sind aber nicht über das IPSec verbunden. Als ausgehende Schnittstelle habe ich LAN konfiguriert, damit die Paket über das IPSec den richtigen Weg finden.

Nun habe ich ein Problem mit den zurückgegebenen IPs des unbound an den externen Standorten. Dieser gibt mir bei der DNS Abfrage

Code Select Expand

nslookup opnsense.ext-standort.local

alle IPs von allen Interfaces zurück, diese sind aber auf der anderen Seite des Tunnels nicht alle erreichbar. Per Zufall verwendet der Client dann die erreichbar IP als erstes und es funktioniert.

Kann die Antwort des unbound beeinflusst werden? Z.B. nach der Schnittstelle von der die Anfrage kam? Oder hat jemand einen Tipp nach was ich Suchen soll? Ich finde noch nicht mal die richtige Frage für Google...

Gelöst!

IPCop und OPNsense verstehen sich nur, wenn der Hash Algorithmus auf SHA bzw. SHA1 gesetzt wird. Ich hatte es mit SHA256 versucht. Dabei wurden zwar die Tunnel auf beiden Enden grün, aber es kam nichts durch.

Hallo,

ich setze seit über 10 Jahren IPCops zur Verbindung unseren Büros und Depots mit IPSec ein. Jetzt möchte ich das ganze auf OPNsense migrieren.

Der Tunnel steht und wird auch mittels DPD Paketen am Leben erhalten. Die DPD Anfragen und Bestätigungen sind auch in den Logs auf beiden Seiten sichtbar. Leider bekomme ich keinen Verkehr in den IPSec Tunnel zwischen einem IPCop und der neuen OPNsense Firewall.

Auf beiden Seiten werden die Routen automatisch für die entfernten Netze gesetzt und keines der Firewall Logs zeigt einen DROP. Trotzdem kommt keines der Pakete beim anderen an. Bisher musste beim IPCop nichts zusätzliches gesetzt werden um den Tunnel zu nutzen. Muss hier bei der sense zusätzlich etwas konfiguriert werden?

Ich setze den letzen IPCop 2.1.9 ein und eine OPNsense 18.7.

Gruß
Jochen