IPsec keine Verbindung von Firewall

nona · September 05, 2018, 04:36:58 PM

Hallo,

habe IPsec eingerichtet und Tunnel steht. Verbindung von LAN klappt in beide Richtungen.
Was ich nicht hin bekomme, Verbindung von der Firewall in entferntes Netz.
Also z.B. DNS, Ping, ... aus OPNsense zum entfernten Netz.

Was ich gefunden habe
https://www.netgate.com/docs/pfsense/vpn/ipsec/accessing-firewall-services-over-ipsec-vpns.html
Wenn ich dies so einstelle bekomme ich beim Ping
PING 172.30.1.1 (172.30.1.1): 56 data bytes
36 bytes from 172.27.255.2: Redirect Network(New addr: 172.27.255.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 ffe9 0 0000 40 01 2283 172.27.255.1 172.30.1.1

36 bytes from localhost (127.0.0.1): Time to live exceeded
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 ffe9 0 0000 01 01 6183 172.27.255.1 172.30.1.1

Gibt es hier einen Trick oder habe ich etwas übersehen.

OPNsense 18.7.1_3

Besten Dank
Norbert

nona · September 06, 2018, 05:18:52 PM

Hallo,

noch ein paar Infos.
lokales Netz 172.27.x.x
remoute Netz 172.30.x.x
OPNsense WAN 192.168.4.10

Paketaufzeichnung Ping von Rechner:
OPNsense Schnittstelle: IPsec
16:40:47.122805 (authentic,confidential): SPI 0xcca7f8a1: IP 172.27.1.6 > 172.30.2.15: ICMP echo request, id 1, seq 136, length 40
16:40:47.167410 (authentic,confidential): SPI 0xc3c30a8d: IP 172.30.2.15 > 172.27.1.6: ICMP echo reply, id 1, seq 136, length 40
OPNsense Schnittstelle: WAN
16:45:10.204434 IP 192.168.4.10 > 172.30.2.15: ICMP echo request, id 27146, seq 486, length 64
Aufzeichnung im WAN Netz
17:03:06.164580 IP 192.168.4.10 > 172.30.2.15: ICMP echo request, id 27146, seq 1509, length 64
17:03:06.669683 IP 192.168.4.10.4500 > 188.194.137.196.4500: UDP, length 96
17:03:06.713170 IP 188.194.137.196.4500 > 192.168.4.10.4500: UDP, length 96

Paketaufzeichnung Ping von FW localhost:
OPNsense Schnittstelle: IPsec
nichts
OPNsense Schnittstelle: WAN
16:51:30.331216 IP 192.168.4.10 > 172.30.2.15: ICMP echo request, id 27146, seq 848, length 64
Aufzeichnung im WAN Netz
17:06:59.815813 IP 192.168.4.10 > 172.30.2.15: ICMP echo request, id 55503, seq 2, length 64
17:07:00.022548 IP 192.168.4.10 > 172.30.2.15: ICMP echo request, id 27146, seq 1732, length 64
17:07:01.086139 IP 192.168.4.10 > 172.30.2.15: ICMP echo request, id 27146, seq 1733, length 64

Was auffällt,
1. der Ping vom Rechner aus geht und läuft über den Tunnel, aber trotzdem taucht auf dem WAN Netz ein
192.168.4.10 > 172.30.2.15: ICMP echo request auf.
2. Bei einem Ping von der OPNsense gehen die Daten überhaupt nicht über den Tunnel sondern über WAN

Routen
ipv4   default         192.168.4.254   UGS   23277   1500     igb0   wan
ipv4   127.0.0.1        link#6      UH   8306     16384   lo0
ipv4   172.27.1.0/24      172.27.255.2   UGS   1828     1500     igb2   LAN
ipv4   172.27.255.0/29   link#3      U   0     1500     igb2   LAN
ipv4   172.27.255.1      link#3      UHS   105     16384   lo0
ipv4   172.30.0.0/16      192.168.4.254   US   20044   1500     igb0   wan
ipv4   192.168.4.0/24      link#1      U   2     1500     igb0   wan
ipv4   192.168.4.10      link#1      UHS   0     16384   lo0

PatrickM · October 23, 2018, 02:31:54 PM

@nona It seems I've opened a similar thread on the english forum here: https://forum.opnsense.org/index.php?topic=9995.0
I'm curious if you've made any progress with it?

IPsec keine Verbindung von Firewall

nona

September 05, 2018, 04:36:58 PM

nona

September 06, 2018, 05:18:52 PM #1

PatrickM

October 23, 2018, 02:31:54 PM #2