Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - developer01

Pages1
#1
German - Deutsch / Re: IPsec VPN - ARP request no response
April 12, 2024, 03:19:25 PM
was mir auch ein wenig komisch vorkommt, wenn der Ping vom Client Network erfolgt -> 10.40.221.80 auf 172.16.1.5 abgesetzt wird, passiert auf der OPNsense folgendes

tcpdump auf Interface ,,enc0" (IPsec)

Code Select

root@fw1:~ # tcpdump -i enc0 -vvv
tcpdump: listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 262144 bytes
15:11:01.386007 (authentic,confidential): SPI 0xc1430158: IP (tos 0x0, ttl 63, id 43460, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 30535, seq 0, length 64
15:11:02.391551 (authentic,confidential): SPI 0xc1430158: IP (tos 0x0, ttl 63, id 50052, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 30535, seq 1, length 64
15:11:03.397562 (authentic,confidential): SPI 0xc1430158: IP (tos 0x0, ttl 63, id 42567, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 30535, seq 2, length 64
15:11:04.402567 (authentic,confidential): SPI 0xc1430158: IP (tos 0x0, ttl 63, id 57660, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 30535, seq 3, length 64
15:11:05.407557 (authentic,confidential): SPI 0xc1430158: IP (tos 0x0, ttl 63, id 45121, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 30535, seq 4, length 64
15:11:06.408574 (authentic,confidential): SPI 0xc1430158: IP (tos 0x0, ttl 63, id 5459, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 30535, seq 5, length 64
15:11:07.417374 (authentic,confidential): SPI 0xc1430158: IP (tos 0x0, ttl 63, id 63397, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 30535, seq 6, length 64

ICMP Pakete kommen rein und werden über das IPsec Interface auf den ServerA weitergeleitet.
Die ARP requests von ServerA kommen aber nur auf dem Interface vlan01 zurück und werden nicht in das IPsec Interfaces geroutet

Code Select
root@fw1:~ # tcpdump -i vlan01 -vvv
tcpdump: listening on vlan01, link-type EN10MB (Ethernet), capture size 262144 bytes
15:14:21.425119 IP (tos 0x0, ttl 62, id 8189, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 39495, seq 0, length 64
15:14:21.425877 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.40.221.80 tell 172.16.1.5, length 42
15:14:22.426864 IP (tos 0x0, ttl 62, id 31335, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 39495, seq 1, length 64
15:14:22.427795 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.40.221.80 tell 172.16.1.5, length 42
15:14:23.428380 IP (tos 0x0, ttl 62, id 22637, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 39495, seq 2, length 64
15:14:23.429669 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.40.221.80 tell 172.16.1.5, length 42
15:14:24.429901 IP (tos 0x0, ttl 62, id 36673, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 39495, seq 3, length 64
15:14:25.437929 IP (tos 0x0, ttl 62, id 4907, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 39495, seq 4, length 64
15:14:25.438873 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.40.221.80 tell 172.16.1.5, length 42
15:14:26.439852 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.40.221.80 tell 172.16.1.5, length 42
15:14:26.441959 IP (tos 0x0, ttl 62, id 31773, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 39495, seq 5, length 64
15:14:27.441760 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.40.221.80 tell 172.16.1.5, length 42
15:14:27.442479 IP (tos 0x0, ttl 62, id 48677, offset 0, flags [none], proto ICMP (1), length 84)
    10.40.221.80 > 172.16.1.5: ICMP echo request, id 39495, seq 6, length 64

und dann gehst nicht mehr weiter bzw. wird der "no response found" von OPNsense zu ServerA geschickt.

#2
German - Deutsch / IPsec VPN - ARP request no response
April 12, 2024, 01:21:39 PM
Hallo zusammen,

es handelt sich um eine OPNsense Installation auf einem Hetzner dedicated Server.
Ziel des ganzen ist, mehrere verteilte dedicated Server über einen IPsec VPN Tunnel erreichbar zu machen.

Für die Server, die via Site2Site VPN erreichbar sein sollen, wurde bei Hetzner ein separater vSwitch (VLAN ID 4043) angelegt und die jeweiligen dedicated Server diesem vSwitch zugewiesen.

OPNsense:
- Allgemeine Konfiguration
   - Wurde ein VLAN Interface ,,vlan01", als Parent das WAN-Interface mit der VLAN-ID 4043 angelegt.
   - Dem ,,vlan01" Interface habe ich eine Statisch IP ,,172.16.1.1/24" zugewiesen.

- IPsec VPN konfiguration
   - Local Network: 172.16.1.0/24
   - Remote Network: 10.40.221.0/24

Für Testzwecke wurden auf dem Interfaces ,,IPsec" und ,,vlan01"  erstmal ANY TO ANY Firewall Rules angelegt.
Von meinem Büro aus, konnte ich auch mit einer Sophos den IPsec Tunnel zu OPNsense herstellen.
Der Tunnel ist Online.

ServerA -> dedicated Hetzner Server, soll via IPsec VPN erreichbar sein.
Auf dem Server wurde ein neues VLAN Interface ,,enp5s0.4043" konfiguriert und die IP 172.16.1.5 zugewiesen.
Sowohl die pings von OPNsense zu ServerA (172.16.1.1 -> 172.16.1.5)
sowie ServerA zu OPNsense (172.16.1.5 -> 172.16.1.1) sind erfolgreich.

Ein Ping, von meinem Büro IP 10.40.221.80 auf ServerA 172.16.1.5 liefert keinen Response und einen
Timeout zurück.

Die OPNsense leitet den ping aber erfolgreich an ServerA (172.16.1.5) weiter und wird nicht gedropt.
Code Select
PR  DIR SRC  DEST   STATE    AGE       EXP     PKTS    BYTES

icmp  In  10.40.221.80:34799   172.16.1.5:34799   0:0            00:00:08  00:00:10        9      756


Ein tcpdump, ausgeführt auf ServerA und dem VLAN-Interface ,,enp5s0.4043" zeigt mir auch, dass die ICMP Pakete ankommen
Code Select
[root@fs network-scripts]# tcpdump -i enp5s0.4043 -n

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp5s0.4043, link-type EN10MB (Ethernet), capture size 262144 bytes

14:50:13.478342 IP 10.40.221.80 > 172.16.1.5: ICMP echo request, id 60946, seq 0, length 64

14:50:13.478380 ARP, Request who-has 10.40.221.80 tell 172.16.1.5, length 28

14:50:14.479344 ARP, Request who-has 10.40.221.80 tell 172.16.1.5, length 28

14:50:14.483351 IP 10.40.221.80 > 172.16.1.5: ICMP echo request, id 60946, seq 1, length 64

14:50:15.481331 ARP, Request who-has 10.40.221.80 tell 172.16.1.5, length 28 

Ein ARP request an die OPNsense liefert ein "no response found" zurück.

Ein OPNsense tcpdump auf auf dem Interface "vlan01" zeigt dass die ARP anfrage ankommt, diese aber auch
keinen Response zu "Who has 10.40.221.80 Tell 172.16.1.5" zurückbekommt.
Wireshark Screenshots von den ServerA / OPNsense dump füge ich anbei.

Die Client IP bzw. MAC Addr im Tunnel wird nicht gefunden.
Wo liegt hier das Problem?

Vielen Dank für eure Hilfe

Pages1