Messages

Hallo,

ich habe das Problem, dass die Übertragung über IPsec zu Fehlern führt, da größere Datenpakete nicht fragmentiert werden. Der Fehler tritt immer auf, wenn mindestens eine OPNsense-Firewall mit verwendet wird. Bei anderen Firewalls untereinander (Cisco, Sophos SG oder XG) habe ich das Problem nicht. Auch von OPNsense zu OPNsense tritt das Problem auf.

Pakete bis zu 1394 Bytes gehend durch, alles andere wird verworfen. Es betrifft auch nur die IPsec-Verbindungen alle anderen Verbindungen funktionieren fehlerfrei.

Ich habe mir jetzt schon einen Wolf gesucht, finde aber keine hilfreichen Hinweise.

Hat jemand eine Idee? Kann ja eigentlich nur eine Kleinigkeit sein.

Vielen Dank für die Unterstützung.

Hi,
alles klar, wird gemacht.
Danke

Hallo,

ich habe ein Problem mit der Multiwan-Konfiguration. Ich habe mich nach bestem Wissen an folgenden Anleitungen

https://docs.opnsense.org/manual/multiwan.html
https://www.thomas-krenn.com/de/wiki/OPNsense_Multi_WAN (Dank an Werner Fischer)

orientiert und alle Einstellungen mehrfach überprüft, nur leider funktioniert das nicht so, wie ich es mir vorstelle.

Wir haben zwei Internetverbindungen, 1 x Telekom DSL über Telekom-Router und 1 x Vodafone Kabel mit Fritz!Box, jeweils mit einer festen IP-Adresse.

Eingestellt habe ich folgendes:

- jeweils die OPNsense-Firewall als "Exposed Host" konfiguriert
- zwei Gateways eingerichtet
  WAN1_GWv4 (active) WAN1 IPv4 100 (upstream) 192.168.1.201 8.8.8.8 ~ ~ ~ Online WAN1_GWv4
  WAN2_GWv4              WAN2 IPv4 100 (upstream) 10.12.0.1     9.9.9.9 ~ ~ ~ Online WAN2_GWv4
- Gateway-Group eingerichtet
  Internet    Tier 1    WAN2_GWv4, Online
      Tier 2    WAN1_GWv4, Online
- DNS-Server eingerichtet
- Policy-basiertes Routing eingerichtet
   IPv4 TCP    10.12.1.25    *    *    25 (SMTP)    WAN1_GWv4
   IPv4 *          *       *    *       *       Internet
- Option "Sticky Connections" aktiviert

Was funktioniert:
- allgemeines Loadbalancing ausgehend
- gezieltes Routing nach außen, also z.B.
  - dass der Port 25 ausgehend über die Telekom-Leitung rausgeht
  - dass ein Traceroute auf eine bestimmte Adresse über einen definierten Port rausgeht
  - dass man gezielt einen Speedtest für eine der Leitungen durchführt

Was funktioniert nicht:
- gezieltes Ansprechen von WAN2 von außen

Beispiele hierfür:
Offene Ports auf der OPNsense sind meist nur über WAN1 erreichbar
Der Versuch ein IPsec-VPN zu WAN2 mit der öffentlichen IP-Adresse aufzubauen funktioniert manchmal, aber eben nicht stabil.

Ping zur öffentliche IP-Adresse funktioniert (landet bei der Fritz!Box) und von innen nach außen geht es auch, die Leitung ist also vorhanden.

Wahrscheinlich habe ich nur irgendwo einen Denkfehler, finde ihn aber leider nicht.

Ich liefere mal noch ein paar Screenshots nach, wenn ich das hinbekomme.

Vielen Dank für die Unterstützung.

Ralf

Ja, das mag sein. Vielleicht gehe ich von falschen Voraussetzungen aus.
Ich habe zwei öffentliche IP-Adressen
Adresse A kann ich fast immer von außen erreichen
Adresse B erreiche ich nur sehr selten
Es müssen aber beide Adressen von außen erreichbar sein (VPN, ...)

Hi,
danke für die Antwort.
Ja, auch hier schon verschiedene Einstellungen ausprobiert. Momentan stehen beide auf 1.

Hi,

same here. Just the gateway that is marked as (active) works. The other one is just sometimes reachable from outside and has as good as no traffic.

What may be the failure in the configuration?

Thank you for your assistance.

Kind regards
Ralf

Hi,
wir haben genau das selbe Problem.
Es funktioniert nur das Gateway, welches als (active) in der Liste der Gateways eingetragen ist. Das andere Gateway ist praktisch von außen nicht erreichbar und es geht so gut wie kein Traffic drüber. Egal was man wo einstellt.
Hat jemand eine Idee?
Vielen Dank für die Unterstützung.
Gruß
Ralf