Problem mit IPsec Policy based VPN

Started by atom, September 24, 2020, 09:40:45 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
September 25, 2020, 03:50:21 PM #15 Last Edit: September 25, 2020, 04:03:59 PM by atom
In dem Szenario sind 3 Router im Spiel.
Ich habe einen Tunnel zu einem Lancom Router bei dem die Phase 2 Route-Based ist:

lokale IP: 10.10.30.1
Remote IP: 10.10.30.2

ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
        con1{1}:  CREATED, TUNNEL, reqid 1000
        con1{1}:   0.0.0.0/0 === 0.0.0.0/0
Security Associations (2 up, 0 connecting):
        con1[2]: ESTABLISHED 5 hours ago,  xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.2[xxx.xxx.xxx.2]
        con1{17}:  INSTALLED, TUNNEL, reqid 1000, ESP SPIs: c832b71d_i 619d2077_o
        con1{17}:   0.0.0.0/0 === 0.0.0.0/0


Ich habe einen zweiten Tunnel zu einem Router bei dem die Phase 2 Policy-Based ist:

ipsec status con2
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Security Associations (2 up, 0 connecting):
        con2[2]: ESTABLISHED 6 minutes ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.7[xxx.xxx.xxx.7]
        con2{3}:  INSTALLED, TUNNEL, reqid 2000, ESP SPIs: c8feb218_i a441b3f9_o
        con2{3}:   10.20.50.0/24 === 10.10.30.0/24

Und immer wenn das Qellnetz vom Policy-based-Tunnel mein LAN-Netz ist dann wird eine Route in die Routing-Tabelle geschrieben, was falsch ist, denn dafür sind ja die SAs da. Wenn das Quellnetz ein anderes (VLAN-)Netz ist dann wird keine Route in die Routing-Tabelle geschrieben.
September 25, 2020, 04:22:46 PM #16
Ok, ein Schritt weiter.
Jetzt bitte von beiden Tunneln Screenshots von P1 und P2 :)
September 25, 2020, 04:44:29 PM #17
Von dem Policy-Based-Tunnel hatte ich die Screenshot ja schon angehangen. Hier jetzt noch die von dem Route-Based-Tunnel.
September 25, 2020, 06:38:08 PM #18
Bei route-based nimmst du als local und remote IP addressen die nicht existieren.

Also z.b. 192.168.255.1 + 2, dann wird die .1 als interface angelegt, du geht in System : Gateways : Single, legst ein gateway an mit .2 und dann System : Routes und eine route für das remote netz (10.10.30.0/24?) über das gateway.
September 25, 2020, 07:02:04 PM #19
Ja, genau. Die sense hat die 10.10.30.1  und die Gegenseite die 10.10.30.2. ( wie auch im netstat zu sehen) Sonst ist das Netz unbenutzt.
September 26, 2020, 07:05:21 AM #20
Und wenn du jetzt gegenseitig Routen für die LANs anlegst, geht das dann?
September 26, 2020, 11:42:58 AM #21
Mir fehlen ja keine Routen. Es ist eine unnötig:

10.10.30.0/24      xxx.xxx.xxx.1     US        ix0

Das wird ja bereits durch die SAs abgedeckt.
September 26, 2020, 01:50:09 PM #22
Und wo ist jetzt das Problem? Das Netz sollte ja wie gesagt unbenutzt sein? Hast du ein Verständnisproblem oder geht etwas nicht?
September 26, 2020, 05:15:42 PM #23
Ich bin ja, wie man am Profil sehen kann, neu in der OPNsense-Welt. Vielleicht habe ich ja etwas falsch verstanden.
Ich bin immer von folgendem ausgegangen:
Ein Route-based-Tunnel hat eine SA mit 0.0.0.0/0 und die Netze der Gegenseite erreicht man mittels Routing.
Ein Policy-based-Tunnel hat SAs mit lokalen Netz und Remote-Netz.
Wenn mein Verständis so korrekt ist, dann sollte ein ein Policy-Based-Tunnel keine routen setzen, oder ?
September 26, 2020, 07:04:06 PM #24
Doch, werden auf das WAN gelegt und durch den Tunnel geschubst
September 26, 2020, 08:46:15 PM #25 Last Edit: September 26, 2020, 09:18:06 PM by atom
Okay. Dann habe ich das jetzt verstanden.

Vielen Danke für Deine Mühe.

Edit:
Das heißt aber auch, dass die Sense jetzt nicht von sich aus in das Netz der Gegenseite routet, sondern alles ins Internet geht. Lenke ich das per NAT zur Gegenseite ?
September 26, 2020, 10:51:10 PM #26
Bei routebased natürlich nur per route, policybased nur wenn Quelle und Ziel matchen
Print
Go Up Pages 1 2
User actions