Ping auf per VPN verbundene Netzwerke vom OPNsense host nicht möglich

Started by rider4448, March 09, 2019, 05:35:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 09, 2019, 05:35:01 PM
Guten Tag,

Ich suche jetzt schon ein weilchen aber kann irgendwie nicht fündig werden deshalb hier die Bitte um Hilfe.

Ich habe 4 OPNsense Boxen per TincVPN vernetzt was auch alles funktioniert. Nun möchte ich per Monit überwachen das die Verbindung bestehen bleibt bzw. eine Warnung erhalten wenn Verbindungen wegfallen. Bei 3 der Boxen klappt das per Ping zu den anderen Boxen auch gut allerdings funktioniert es bei der letzten Box nicht. Diese ist übers VPN erreichbar allerdings stellte ich fest das von der Box aus nur Pings ins direkt dahinter liegende Netz funktionieren nicht aber in die anderen per VPN verbundenen Netze. Auf Geräten die im lokalen Netz stehen wiederum funktioniert Ping auch in die anderen Netze. Ich nehme an das irgendwo eine Regel hinterlegt ist die entweder ICMP von der Firewall blockt oder das irgendetwas bei den Routen nicht stimmt. Die Firewall Regeln habe ich aber abgeglichen - für LAN, WAN, Floating und Tinc sind diese je auf allen Boxen identisch. Die Routing Tabelle soweit ich das sehen kann sollte auch passen.

Hat vielleicht jemand eine Idee wo sich hier noch eine Einstellung verstecken könnte die mein Problem verursachen könnte?

Danke und Gruß 
March 09, 2019, 08:09:12 PM #1
Hi.

Wie sieht deine Regel für OpenVPN aus, ist der Source Port auf "any"?

DTAG VDSL 50/10
Modem: DrayTek Vigor 130,
APU1D4 with OpnSense 19.1,
Supermicro A2SDi-4C-HLN4F with pfSense 2.4.5
March 10, 2019, 01:41:10 PM #2
Ich nutze TincVPN aber ja der Source Port ist auf any (Source */Port * - IP v4/v6 UDP/TCP) also weitestgehend offen

Ich denke es liegt eher an irgendeiner Einstellung welche von der Firewall ausgehende Pings blockiert.
March 10, 2019, 01:48:00 PM #3


Quote from: rider4448 on March 10, 2019, 01:41:10 PM
Ich nutze TincVPN aber ja der Source Port ist auf any (Source */Port * - IP v4/v6 UDP/TCP) also weitestgehend offen

Dann mach mal nochmals eine Regel in der es nicht um UDP/TCP geht sondern um ICMP ;)
Ping ist kein UDP oder TCP Paket sondern ein ICMP :)

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
March 11, 2019, 10:20:55 PM #4
Die Regel mit ICMP ist selbstverständlich innerhalb des VPN vorhanden - zum Aufbau des VPN selbst braucht es nur UDP/TCP deshalb ist auch nur das auf dem WAN Interface offen.
March 11, 2019, 10:23:23 PM #5
Wie erwähnt habe ich das Setup auch mehrmals parallel aufgesetzt und die Regeln abgeglichen - es funktioniert nur auf der einen Box nicht weshalb es wahrscheinlich nicht an den "normalen" Firewallregeln (NAT, WAN, LAN, VPN) liegt.
Print
Go Up Pages1
User actions