4 Standorte über IPSec verbinden

Started by Tokri, April 15, 2023, 09:02:15 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 15, 2023, 09:02:15 AM
Hallo alle zusammen,

Ich habe ein kleines Problem, wo ich gerne ein wenig Hilfe benötige. Ich habe 4 Standorte, die alle miteinander verbunden werden müssen. also ich muss z.B. von Standort 1 auf 2,3,4 zugreifen können und von den anderen Standorten genauso auf alle anderen zugreifen.

Ich habe dafür auf jeden Standort jeweils 3 IPSec Site-to-Site Verbindungen zu den anderen Standorten aufgebaut.
Ich bin mir aber nicht sicher, ob dies der richtige Weg ist. Denn ich kann zwar von den jeweiligen Standorten auf die anderen zugreifen, habe aber das Problem, dass andauernd die IPSec Verbindungen unterbrechen. Das wirkt sich so aus, dass auf einmal ein Standort nicht mehr erreichbar ist, obwohl der IPSec "Connected" anzeigt.

Habe ich da in meiner Denkweise einen Fehler oder liegt es nur an einer Fehlerhaften Konfig? Da sich mit der Zeit die Unterbrechungen häuften, vor habe ich nur als Test, einen Dauerping in einer cmd  von Standort A nach Standort C eingerichtet und seitdem habe ich keine Unterbrechungen mehr.

Ich hoffe, dass ich mein Problem erklären konnte. Kann es an der IPSec Konfiguration liegen? Das Bild ist zwar nicht meine Beste Zeichnung, aber es zeigt die derzeitige IPSec Konfig.
April 15, 2023, 11:20:36 AM #1
wie genau sind deine standorte angebunden, bitte noch ein paar mehr infos.
- screenshots IPSec config von mindestens 2 standorten
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
April 15, 2023, 07:29:53 PM #2
Hier sind Screenshots meiner Konfig von 2 Standorten. Ich kann auch noch gerne die anderen Standorte schicken, aber die sind alles gleich.

Leider hatte ich bis jetzt noch nie mehr als 2 Standorte mit IPSec S2S zu verbinden, deswegen bin ich mir auch nicht sicher, ob ich das richtig gemacht habe.
April 18, 2023, 03:11:45 PM #3 Last Edit: April 18, 2023, 05:30:27 PM by siegfried
Moin, dein Ansatz ist m.E. korrekt. Wenn dir die Tunnel zwischen den Standorten wegbrechen und nicht neu aufgebaut werden, kontrolliere ob du an den beiden Tunnelendpunkten die gleichen Parameter verwendest. Es kann auch passieren, dass auf einer Seite der Tunnel z.B. durch einen Leitungsaussetzer weg ist und die andere Seite davon nichts mitbekommt. Evtl. hilft dir da DPD/keepalive weiter. Ansonsten funktioniert es recht zuverlässig, daß wenn ein Tunnel aufgrund von Inaktivität abgebaut wird, auch recht zügig wieder (<= 1s) aufgebaut wird, wenn erneut Pakete durch den Tunnel zum anderen Standort sollen.
Hab selbst >10 Standorte per IPSec so verknüppert, nicht alle untereinander, aber zum großen Teil.
Print
Go Up Pages1
User actions