Fehler bei Fragmentierung über IPsec-Tunnel

Started by RalfOE, August 20, 2021, 04:55:07 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 20, 2021, 04:55:07 PM Last Edit: August 22, 2021, 03:05:33 PM by RalfOE
Hallo,

ich habe das Problem, dass die Übertragung über IPsec zu Fehlern führt, da größere Datenpakete nicht fragmentiert werden. Der Fehler tritt immer auf, wenn mindestens eine OPNsense-Firewall mit verwendet wird. Bei anderen Firewalls untereinander (Cisco, Sophos SG oder XG) habe ich das Problem nicht. Auch von OPNsense zu OPNsense tritt das Problem auf.

Pakete bis zu 1394 Bytes gehend durch, alles andere wird verworfen. Es betrifft auch nur die IPsec-Verbindungen alle anderen Verbindungen funktionieren fehlerfrei.

Ich habe mir jetzt schon einen Wolf gesucht, finde aber keine hilfreichen Hinweise.

Hat jemand eine Idee? Kann ja eigentlich nur eine Kleinigkeit sein.

Vielen Dank für die Unterstützung.
August 21, 2021, 11:17:15 AM #1
Interfaces LAN MSS auf 1300 setzen.
Pmtu discovery wird irgendwo bei dir geblockt sein
August 22, 2021, 03:08:46 PM #2
Danke für die Antwort. Umstellung LAN MSS auf 1300 bringt leider keine Änderung.

Was heißt "Pmtu discovery wird irgendwo bei dir geblockt sein"? Was könnte "irgendwo" z.B. sein?

Die OPNsense-Firewalls sind alle frisch installiert und mir ist nicht bewusst, wo ich etwas mit Pmtu gesetzt hätte.
August 23, 2021, 12:47:20 PM #3
Wir hatten Probleme bei Home Office Mitarbeitern, welche über IPSec/IKEv2 und OPNSense eine VPN Verbindung aufbauten. Es lag am Ende an IPv4. Verbindungen über IPv6 waren die Lösung. 
August 23, 2021, 04:15:20 PM #4
Was bekommst du zurück per CLI:

sysctl net.inet.icmp.reply_from_interface

August 23, 2021, 04:41:34 PM #5
Der zurückgegebene Wert ist 1
August 23, 2021, 04:43:10 PM #6
net.inet.icmp.reply_from_interface: 1
August 23, 2021, 04:48:37 PM #7 Last Edit: August 23, 2021, 04:59:04 PM by vpnuser
Wenn dies eine Frage sein soll, ja der zurückgegebene Wert ist 1. Hatte ich bereits geschrieben.
Code Select

root@opns:~ # sysctl net.inet.icmp.reply_from_interface
net.inet.icmp.reply_from_interface: 1

Noch ein Hinweis. Am Anfang hatte ich ICMP durch die Firewall noch geblockt, trotzdem konnte ich bei manchen VPN Clients  eine stabile Verbindung über IPv4 aufbauen. Nachdem ich Probleme mit einem Telekom Hybrid Anschluss hatte, hatte ich ICMP freigegeben. Trotzdem musste ich manuell auf dem Client die MTU auf 1340 setzen. Bei anderen Anschlüssen war unter anderem DS Lite mit IPv4 das Problem. Hier konnte eine stabile Verbindung über IPv6 aufgebaut werden. 
August 23, 2021, 07:08:04 PM #8
Print
Go Up Pages1
User actions