Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Firewall kann Server via IPSec nicht erreichen
« previous
next »
Print
Pages: [
1
]
Author
Topic: Firewall kann Server via IPSec nicht erreichen (Read 1284 times)
c-mu
Full Member
Posts: 210
Karma: 5
Firewall kann Server via IPSec nicht erreichen
«
on:
March 17, 2021, 03:45:00 pm »
Hallo,
ich habe hier ein routing Problem:
Eine Niederlassung ist via IPSec mit dem Haupstandort angebunden. Der Tunnel funktioniert, Clients aus der Niederlassung können z.B. die DNS und LDAP Server am Hauptstandort erreichen. Was jedoch nicht funktioniert:
die Firewall selbst kann keinen DNS und sonstige Server am Hauptstandort erreichen.
Das scheint mir eine eigeneart von IPSec zu sein. Ein anderer Standort ist mit identischem Regelwerk via OpenVPN verbunden und da klappt das Regelwerk wunderbar.
Was mich irritiert ist, dass ich auch via TCPDump keinen Traffic sehe, wenn ich z.B. LDAP abfragen zu meinem HQ schicke. Das firwall log auf opnsense schweigt auch zu dem Thema.
Dann habe ich schon versucht mit NAT Regeln das Thema vllt zu umgehen, leider auch ohne erfolg.
Hat jemand eine Idee was da noch krum läuft? Möchte wegen der Geschwindigkeit möglichst nicht auf IPSec verzichten müssen.
Danke!
Logged
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: Firewall kann Server via IPSec nicht erreichen
«
Reply #1 on:
March 17, 2021, 04:34:00 pm »
Das Problem ist, dass - wenn Dein Setup so aussieht wie die meisten - die Firewall ihre interne LAN-Adresse für all diese Verbindungen benutzen muss, damit sie in den Tunnel wandern.
Normalerweise wird sie aber aufgrund ihrer Routing-Tabelle versuchen, die Verbindung über das WAN in richtung Default-GW aufzubauen. Diese Adresse ist aber nicht Teil der IPsec-SA ...
Ich habe hier als einzige Anwendung, für die ich das brauche, einen BIND, der sich secondary Zonen aus der Zentrale zieht. Und bei dem kann man die Transfer Source Address einstellen.
Du müsstest Dir pro Dienst angucken, wie man das irgendwie hin hacken kann. Wenn Du dort wo die OPNsense steht "richtige Infrastruktur" hast, die Sense z.B. sowieso schon virtualisiert läuft, dann könntest Du eine kleine VM ins interne Netz packen, die mit Netcat ein TCP-Forward implementiert, für die Anwendungen, die Du brauchst.
An Methoden, das mit NAT hin zu pfriemeln, wäre ich auch interessiert
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Firewall kann Server via IPSec nicht erreichen