Schnittstelle-Diagnose-Ping; zu IP hinter IPsec, Schlägt ohne Quelladresse fehl

Started by adlerauge1980, May 05, 2025, 10:06:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 05, 2025, 10:06:58 PM
Hallo liebe Community

Meine Monit Überwachung der IPsec Peer-to-Peer VPN bekomme ich nicht zum laufen.
Genauer, der Ping auf die OpnSense der Seite B, ab der OpnSense der Seite A scheint nicht zu gehen.
Als würde OpnSense die Seite B nicht kennen.

Aus meinen verschiedenen LAN-Netzen von Seite A komme ich nach B, mit Ping / 443 ect. (also der VPN funktioniert einwandfrei).

Wenn ich auf der OpnSense (Seite A) unter Schnittstellen/Diagnose/Ping einen Ping nach OpenSense B absetze dann folgendes Resultat:

Ping nach 192.168.110.254 (ohne Quellangabe) -> 100% Lost
Ping nach 192.168.110.254 (mit Quellangabe Bsp. 192.168.10.254 IP OpnSense Seite A) -> 0% Lost

Was muss ich auf der OpnSense Seite A noch einstellen, dass diese selbst das Netz auf Seite B kennt?


Aufbau:
Seite A: 192.168.10.0/24 -> OpnSense IP 192.168.10.254
Seite B: 192.168.110.0/24 -> OpnSense IP 192.168.110.254
VPN Tunnel: Typ IPsec, Eingerichtet auf der Seite Verbindung und mit Key Pairs (Nach der Doku, "neue Konfigurationsart")

Danke für eure Hilfe
May 05, 2025, 10:24:35 PM #1
Bei einem Policy Based IPsec hast du keine Tunnel-Adresse, also kein Transfernetz. Damit geht das fundamental nicht ohne Angabe einer Source-IP-Adresse.

Du kannst einen Routing Based Tunnel aufsetzen oder auf WireGuard umsteigen. Oder das Monitoring nicht auf der OPNsense zu implementieren versuchen, sondern z.B. ein Uptime-Kuma auf einem Docker-Host im LAN verwenden ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 05, 2025, 10:30:27 PM #2
Hallo Patrick

Danke für deine super schnelle Antwort.

Dann werde ich mich mit WireGuard auseinander setzen.
Irgend wo hatte ich gelesen, dass für eine Verbindung zwischen 2 OpnSense diese Policy Based IPsec Verbindung Sinn macht.
May 05, 2025, 10:40:45 PM #3
Naja, du hast dann eine klassische LAN-LAN-Kopplung. Das ist mit zwei Sophos oder zwei Cisco ASA oder oder oder ... auch nicht anders. Dein Problem ist der Monit, der keine zum VPN passende Source-Adresse hat bzw. dem man keine solche konfigurieren kann. Mit einem (wie schon geschrieben) Monitoring-Host im LAN hast du das Problem nicht.

Aber Wireguard ist für LAN-LAN ziemlich geil, finde ich. Für Road Warrior fehlt die externe Authentifizierung und eine dynamische IP-Adress-Vergabe, aber LAN-LAN ... sehr fein.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 09, 2025, 01:18:36 PM #4
Ich habe jetzt grad nicht kurz schauen können, aber hat Monit vielleicht irgendwo ein Setting mit dem man das Binding verändert kann, also auf welche IP er gebunden wird/hört? Wenn man die aufs LAN setzt, was im P2 von IPsec mit drin ist, sollten die Abfragen von Monit eigentlich klappen können. Ansonsten wäre aber ein Monitoring außerhalb der Firewall eh sinnvoller, denn dann hat man die Daten und Infos/Notifications/Status etc. auch dann wenn die Firewall mal selbst die Grätsche macht :) Da ist jetzt weniger unbedingt ein anderes VPN benötigt, als mehr die Frage ob das Monitoring so Sinn macht ;)

Cheers :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 26, 2025, 06:24:11 PM #5
Hallo @Patrick Habe mich unterdessen mit Wireguard auseinandergesetzt.
Zugriff auf beide Opnsense ab Mobile funktioniert und habe ich soweit hinbekommen.

Beim Lan to Lan happert es irgend wie noch.

Habe mir zwei Instanzen erstellt, Instanz_Clients und Instanz_Sitebsite

Habe ich schon richtig verstanden (Wiki) für Lan to Lan benötige ich folgende Konfig:

Site A
- Instanz
- Peer (mit Public Key aus Instanz B)

Site B
- Instanz
- Peer (mit Public Key aus Instanz A)
July 26, 2025, 06:54:20 PM #6
An Site A kommt das LAN von Site B in die AllowedIPs beim Peer und umgekehrt. Und dann noch eine Firewall-Regel auf dem WG-Interface auf jeder Seite, sonst hast du zwar eine Verbindung, aber es darf nichts durch.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 26, 2025, 07:03:34 PM #7
Moin Patrick

Danke für die rasche Antwort.
Ich glaube mein problem ist, dass ich 2 Instanzen erstellt habe auf gleichem Port.

ich ändere das mal auf eine.

Momentan bekomme ich noch gar keine Verbindung hin. also Tunnel baut sich nicht auf.

July 26, 2025, 07:04:52 PM #8
Oder du nimmst einen anderen Port. Deine Vermutung ist richtig - zwei Instanzen auf einem kann nicht funktionieren.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 26, 2025, 07:39:11 PM #9
Hallo Patrick

nun hat es geklappt.
noch nicht ganz klar ist die IP Geschichte für das Tunneling.

Lan Site A 192.168.10.0/24 und weitere.
Lan Site B 192.168.110.0/24

Nun bekommen ja beide WG Instanzen Tunneladressen.

Habe ich bei Site A Instanz 192.168.30.224/27 definiert.
Instanz B gleichen Range verwenden? 192.168.30.224/27

und sage beim Peer von Seite B Zugelassene IPs 192.168.30.225/32 sowie LAN A (und weitere, sofern darauf zugegriffen werden darf)

und umgekehrt kann ich dann folgendes bei B verwenden:

und bei Peer von Seite a zugelassen 192.168.30.226/32 sowie Lan B

Wenn ich das dann richtig verstehe, sind ja dann auch die Mobile Clients von beiden OpnSense in diesem netz, aber durch Zugelassen IP's kann ich die dann routen. (in dem ich ein Lan zulasse oder nicht)



August 02, 2025, 05:05:05 PM #10
Hallo Zusammen

etwas ist mir noch nicht ganz klar:

Wenn ich 2 OPNsense per Wireguard verbinde (Site by Site) muss ich dann:
Beidseitig den gleichen IP Range im Tunnel bei der Instanz verwenden? oder können das unterschiedliche sein?
Print
Go Up Pages1
User actions