1
German - Deutsch / Route based IPSec IPv6 Site to Site ungewünschter IPv4 Fallback
« on: May 17, 2021, 02:42:39 pm »
Hallo zusammen,
ich habe zwischen zwei OPNSense einen route based IPSec Site to Site Tunnel konfiguriert.
Das ganze geht über IPv6 mit FQDNs, die Verbindung kommt auch zustande.
Wenn der Tunnel initial steht, sehe ich die richtige IPv6 als Remote Host im Status Overview und die Tunnel Adresse der Gegenseite ist mit ping (IPv4) erreichbar.
Nach etwa 5-10 pings hört das allerdings direkt auf und der Remote Host ändert sich von der IPv6 der Gegenstelle auf die IPv4 Adresse des WAN Interface (beide male jeweils private IP Adresse). Ich habe über das Regelwerk IPv4 Isakmp, NAT-T und ESP am WAN interface eingehend verboten.
Nun habe ich den Tunnel neu gestartet und das Phänomen tritt erneut auf. Diesmal mit den IPv4 Adressen der jeweiligen Firewalls der Peer to Peer OpenVPN Tunnel..
Zusätzlich finde ich im Log keine Zeilen, die auf eine Kommunikation über Port 500 hindeuten - dabei ist NAT-T explizit deaktiviert.
Der Auszug aus der Config des Responders:
conn con3
aggressive = no
fragmentation = yes
keyexchange = ikev2
mobike = yes
reauth = yes
rekey = yes
forceencaps = no
installpolicy = no
type = tunnel
dpdaction = restart
dpddelay = 10s
dpdtimeout = 60s
left = 2a00:6020:1000:[omitted]:2983:1356
right = initiate.mydomain.de
leftid = respondonly.mydomain.de
ikelifetime = 86400s
lifetime = 28800s
ike = aes128gcm16-sha256-modp2048!
leftauth = pubkey
rightauth = pubkey
leftcert = /usr/local/etc/ipsec.d/certs/cert-3.crt
leftsendcert = always
rightca = "/C=DE/ST=NRW/L=COE/O=mydomain/emailAddress=my@mail.com/CN=OPN-01-COE-CA/"
rightid = initiate.mydomain.de
reqid = 8
rightsubnet = 0.0.0.0/0
leftsubnet = 0.0.0.0/0
esp = aes128gcm16!
auto = add
Update: Hab das Problem selbst lösen können. Hierzu musste ich das IKEv2 MOBIKE Protokoll in Phase 1 deaktivieren.
ich habe zwischen zwei OPNSense einen route based IPSec Site to Site Tunnel konfiguriert.
Das ganze geht über IPv6 mit FQDNs, die Verbindung kommt auch zustande.
Wenn der Tunnel initial steht, sehe ich die richtige IPv6 als Remote Host im Status Overview und die Tunnel Adresse der Gegenseite ist mit ping (IPv4) erreichbar.
Nach etwa 5-10 pings hört das allerdings direkt auf und der Remote Host ändert sich von der IPv6 der Gegenstelle auf die IPv4 Adresse des WAN Interface (beide male jeweils private IP Adresse). Ich habe über das Regelwerk IPv4 Isakmp, NAT-T und ESP am WAN interface eingehend verboten.
Nun habe ich den Tunnel neu gestartet und das Phänomen tritt erneut auf. Diesmal mit den IPv4 Adressen der jeweiligen Firewalls der Peer to Peer OpenVPN Tunnel..
Zusätzlich finde ich im Log keine Zeilen, die auf eine Kommunikation über Port 500 hindeuten - dabei ist NAT-T explizit deaktiviert.
Der Auszug aus der Config des Responders:
conn con3
aggressive = no
fragmentation = yes
keyexchange = ikev2
mobike = yes
reauth = yes
rekey = yes
forceencaps = no
installpolicy = no
type = tunnel
dpdaction = restart
dpddelay = 10s
dpdtimeout = 60s
left = 2a00:6020:1000:[omitted]:2983:1356
right = initiate.mydomain.de
leftid = respondonly.mydomain.de
ikelifetime = 86400s
lifetime = 28800s
ike = aes128gcm16-sha256-modp2048!
leftauth = pubkey
rightauth = pubkey
leftcert = /usr/local/etc/ipsec.d/certs/cert-3.crt
leftsendcert = always
rightca = "/C=DE/ST=NRW/L=COE/O=mydomain/emailAddress=my@mail.com/CN=OPN-01-COE-CA/"
rightid = initiate.mydomain.de
reqid = 8
rightsubnet = 0.0.0.0/0
leftsubnet = 0.0.0.0/0
esp = aes128gcm16!
auto = add
Update: Hab das Problem selbst lösen können. Hierzu musste ich das IKEv2 MOBIKE Protokoll in Phase 1 deaktivieren.