GRE Setup komisches Routing

Started by jonsch, September 17, 2021, 09:24:48 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 17, 2021, 09:24:48 AM
Hallo Com!

Ich möchte gerne einen GRE zwischen zwei OPNsense bauen. Durch den GRE sollen die Routen der Standorte über BGP ausgetauscht werden. Soweit so gut, der GRE konnte aufgebaut werden, allerdings sehe ich in den Logs ein merkwürdiges Routing.

Code Select
### OPNsense #1
Parent interface                      WAN
GRE remote address        Public IP
GRE tunnel local address      172.16.20.17
GRE tunnel remote address  172.16.20.18

gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
options=80000<LINKSTATE>
tunnel inet 78.46.81.158 --> 213.188.121.69
inet 172.16.20.17 --> 172.16.20.18 netmask 0xfffffffc
inet6 fe80::250:56ff:fe01:5a9%gre0 prefixlen 64 scopeid 0xf
groups: gre
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

root@fw01:~ # ping -S 172.16.20.17 -c 10 172.16.20.18
PING 172.16.20.18 (172.16.20.18) from 172.16.20.17: 56 data bytes

--- 172.16.20.18 ping statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss


Code Select
### OPNsense #2
Parent interface                      WAN
GRE remote address        Public IP
GRE tunnel local address      172.16.20.18
GRE tunnel remote address  172.16.20.17

gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
options=80000<LINKSTATE>
tunnel inet 213.188.121.69 --> 78.46.81.158
inet 172.16.20.18 --> 172.16.20.17 netmask 0xfffffffc
inet6 fe80::2e4:7cff:fe68:1b82%gre0 prefixlen 64 scopeid 0xb
groups: gre
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

root@fw02:~ # ping -S 172.16.20.18 -c 10 172.16.20.17
PING 172.16.20.17 (172.16.20.17) from 172.16.20.18: 56 data bytes

--- 172.16.20.17 ping statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss


Die anderen Checkboxen sind nicht ausgewählt.

Ich habe dann den gre0 assigned und dem Interface noch die passende MTU 1476 und MSS 1436 verpasst, dass wars. Die Firewall hat für das GRE erstmal ein IPv4* any any in beiden Richtungen.

Nun kann ich MANCHMAL von der OPNsense #2 durch den GRE die OPNsense #1 erreichen, aber nicht umgekehrt. Meistens ist ein ICMP aber nicht möglich. In den Firewall Logs der OPNsense #2 sieht man nur ausgehende ICMP's von beiden IP's (s. Anhang).
Für das BGP neighboring sehe ich die eigene Local Tunnel IP jeder Firewall eingehend in den GRE senden, welche geblockt werde (s. Anhang).

Hat jemand eine Ahnung was ich falsch gemacht habe?

VG
September 21, 2021, 09:03:07 AM #1
Niemand eine Idee?
Problem besteht immer noch.
Print
Go Up Pages1
User actions