Show Posts
1
German - Deutsch / Problem mit IPSec Site-to-Site Tunnel
« on: September 02, 2021, 12:45:36 pm »
Hallo,
ich habe ein Problem mit einem IPSec Site-to-Site Tunnel (Site A OPNSense, Site B SonicWall).
Der Tunnel wird aufgebaut, doch bei einem ping von Host Site A -> Host Site B kommen zunächst keine Antworten.
Nach einiger Zeit (mal 30 Pakete, mal einige hundert - scheint keinem Muster zu folgen) kommen dann Antworten.
Ein Mitschnitt auf WAN-Seite Site A zeigt dass ESP-Pakete für die Pings rausgehen aber keine Antwortpakete ankommen.
Auf der Gegenseite (Site B) konnte nachvollzogen werden dass ESP-Pakete für die Pings ankommen aber über einen nicht definierbaren Zeitraum (s.o.) nicht an den Ziel-Host weitergeleitet werden - danach werden Sie dann weitergeleitet.
Wenn dies dann geschieht kommen auch die Antworten bei Site A an.
Ich habe testweise die Verbindung kopiert und die Remote-IP & ID durch einen Test-Endpunkt (Debian + strongSwan, simuliertes Netz identisch realer Site B dahinter) ersetzt - da funktioniert die Kommunikation in beide Richtungen völlig problemlos.
Frage:
Hat irgendjemand eine Idee was man auf Site A kontrollieren / ändern könnte um das Problem zu lösen sodass es auch mit der SonicWall funktioniert?
Herzlichen Dank
ich habe ein Problem mit einem IPSec Site-to-Site Tunnel (Site A OPNSense, Site B SonicWall).
Der Tunnel wird aufgebaut, doch bei einem ping von Host Site A -> Host Site B kommen zunächst keine Antworten.
Nach einiger Zeit (mal 30 Pakete, mal einige hundert - scheint keinem Muster zu folgen) kommen dann Antworten.
Ein Mitschnitt auf WAN-Seite Site A zeigt dass ESP-Pakete für die Pings rausgehen aber keine Antwortpakete ankommen.
Auf der Gegenseite (Site B) konnte nachvollzogen werden dass ESP-Pakete für die Pings ankommen aber über einen nicht definierbaren Zeitraum (s.o.) nicht an den Ziel-Host weitergeleitet werden - danach werden Sie dann weitergeleitet.
Wenn dies dann geschieht kommen auch die Antworten bei Site A an.
Ich habe testweise die Verbindung kopiert und die Remote-IP & ID durch einen Test-Endpunkt (Debian + strongSwan, simuliertes Netz identisch realer Site B dahinter) ersetzt - da funktioniert die Kommunikation in beide Richtungen völlig problemlos.
Frage:
Hat irgendjemand eine Idee was man auf Site A kontrollieren / ändern könnte um das Problem zu lösen sodass es auch mit der SonicWall funktioniert?
Herzlichen Dank