IPSec VTI Routing Problem

[tblum]

Hi,
ich hab ne Frage zur Konfiguration eines VTI IPSec. Ich habe unter "VPN -> IPSec -> Virtual Tunnel Interfaces" zwei Interfaces angelegt:
1: Reqid: 30, Local address: <WAN1-IP>, Remote address: <Partner-IP>, Tunnel local address: 192.168.30.1 (willkürlich ausgewählt), Tunnel remote address: 192.168.30.2.
2: Reqid: 40, Local address: <WAN2-IP>, Remote address: <Partner-IP>, Tunnel local address: 192.168.40.1 (willkürlich ausgewählt), Tunnel remote address: 192.168.40.2

Also zwei VTIs zur gleichen Gegenstelle, je eine pro WAN-Interface, es werden auch beide Interfaces angelegt.

Unter "System -> Gateways -> Configuration" habe ich zwei Einträge hinzugefügt, bei denen ich jeweils das VTI ausgewählt habe und als IP Adresse habe ich die 192.168.30.1 bzw die 192.168.40.1 eingetragen. Ansonsten ist noch "Disable Gateway Monitoring" angehakt, sonst nichts.
Ich habe unter "System -> Routes -> Configuration" zwei Einträge hinzugefügt: für das Netz, das ich hinter dem Tunnel erreichen will, nennen wir es 10.10.0.0/24 und als Gateway jeweils eines der beiden angelegten. Eine dieser Routen hat immer den Haken bei "Deaktiviert".

Was ich erreichen möchte, ist, dass ich den Tunnel zur Gegenstelle über eines der beiden WAN-Interfaces aufbauen kann. Außerdem möchte ich in der Lage sein, den Tunnel abzubauen und über das andere WAN-Interface wieder aufzubauen. Der Tunnel kommt auch jeweils zustande, aber mit den Routen habe ich ein Problem. Ich bekomme unter "System -> Routes -> Status" keine Route nach 10.10.0.0/24 angezeigt. Und auch ein "route get 10.10.0.100" zeigt mir, dass die über das Defaultgateway geroutet werden.

Ich habe in den Firewall-Regeln für das LAN-Interface zwei Allow-Regeln mit jeweils einem der beiden angelegten Gateways unter "Gateway", von denen jeweils nur eine (ja, die richtige) aktiviert ist. Eigentlich müsste damit ja der Eintrag unter "System -> Routes" obsolet sein, aber ich würde auf jeden Fall erwarten, dass "route get" mir "ipsec30" bzw. "ipsec40" anzeigt.  Ein Ping geht natürlich auch nicht durch. Wo liegt mein Fehler?

[tblum]

Übrigens, bevor ich die 192.168.30.1 bzw. 192.168.40.1 in die Konfigurationen der Gateways eingetragen hatte (ich hatte ich das Feld IP Address zunächst leer gelassen), hatte ich folgendes unter "System -> Log Files -> General": ROUTING: not a valid ipsec40 interface gateway address: 'missing'.

[tblum]

Nur um sicher zu gehen: ist meine Frage zu doof oder weiß niemand was? 

[Monviech (Cedrik)]

Es ist eine sehr komplizierte Frage und es kommt halt darauf an ob jemand mit Erfahrung zu diesem Thema sie liest und bereit ist zu helfen.

[Patrick M. Hausen]

Ich habe überall nur policy based IPsec - bin halt old school. Und meine Gegenstellen setzen "enterprisiges" Zeug ein wie Cisco und Co., das macht das eben auch so.

[tblum]

Alles klar, aber danke, dass Ihr reingeguckt habt!

[tblum]

Übrigens, ich habe eine "Lösung" gefunden: https://forum.opnsense.org/index.php?topic=38137.msg186778#msg186778
Da scheint es bei der Opnsene noch Nachbesserungsbedarf zu geben. Wenn ich die deaktivierte Route lösche, funktioniert die verbleibende. Kann ich mit leben, muss ich die Route halt bei Bedarf umstellen, aber mir erschließt sich dann nicht der Sinn des "Deaktivieren"-Häkchens. Zumal ich das schon die ganze Zeit als inkonsistent empfunden habe: an den meisten Stellen bedeutet ein Häkchen "aktiv" und hier "inaktiv".