VPN IPsec Problem mit HTTP / HTTPS Zugriff auf Webinterface

[User123]

Hallo zusammen,

Ich habe aktuell ein Problem mit einer IPsec VPN Verbindung, wofür ich nach langem suchen bisher noch keine Lösung finden konnte.
Zwischen zwei Standorten (A und B) mit jeweils einer OPNsense als Firewall habe ich eine VPN Site2site Verbindung mittels IPsec eingerichtet. Jetzt ist ein dritter Standort (C) mit einer weiteren OPNsense dazugekommen, die auch wieder per IPsec eingebunden wurde. Das Ganze funktioniert grundsätzlich auch problemlos, der Zugriff von A nach B, und auch umgekehrt klappt einwandfrei. Auch von C nach A und B gibt es keine Probleme. Auch von A oder B kann z.B. auf NAS-Laufwerke bzw. Drucker usw. zugegriffen werden, d.h. Routing und Firewallregeln sollten eigentlich in Ordnung sein.
Das merkwürdige ist allerdings, dass nach einer gewissen Zeit kein Zugriff auf das Webinterface von OPNsense C bzw. auch anderen Geräten (z.B. Drucker, Switch, ...) in Netzwerk C aus A oder B nicht mehr möglich ist. Nach dem Neustart von C ist der Zugriff wieder möglich, nach einiger Zeit jedoch sind die Webinterfaces nicht mehr erreichbar. Ping, Drucken oder Zugriff auf SMB Freigaben im Netz sowie DNS Anfragen an C klappt aber weiterhin. Es sind sowohl HTTP als auch HTTPS betroffen.
Die Zeitspanne, nachdem der Zugriff nicht mehr möglich ist, ist auch unterschiedlich und betrifft nicht gleichzeitig A und B,  sondern mal klappt der Zugriff noch von A und von B schon nicht mehr, nach einer Weile geht dann aber beides nicht mehr.
Auch nach einer Neuinstallation von OPNsense C und Einspielen der vorab gesicherten Konfiguration kommt es zum selben Verhalten.

Hat jemand eine Idee, wo der Fehler hier zu suchen sein könnte?
Das merkwürdige ist ja, dass der Rest über den Tunnel weiterhin läuft, nur keine Webinterfaces geöffnet werden können.

Vielen Dank!

Mit freundlichen Grüßen

[superwinni2]

Sehr mysterious...
Hilft mir ein Neustart der kompletten OPNsense oder reicht bereits ein Neustart der IPSec VPN?

Überschneiden sich die IP Netze? Oder hat wirklich alles seinen eigenen Bereich? 1:1NAT im Einsatz?

Von welchen Zeitintervallen reden wir? Minuten? Stunden? Tage? Wochen?

Was ist auf C noch in Einsatz? HAProxy oder ähnliches? Vielleicht irgendwas, was von dort die beiden Ports abgreift?

Spaßeshalber mal versucht den eingegeben VPN Traffic bei C zu NATten?

Gesendet von meinem LG-H815 mit Tapatalk

[User123]

Hilft mir ein Neustart der kompletten OPNsense oder reicht bereits ein Neustart der IPSec VPN?

Ein Neustart von IPsec reicht nicht, bisher half nur ein kompletter Neustart.

Überschneiden sich die IP Netze? Oder hat wirklich alles seinen eigenen Bereich? 1:1NAT im Einsatz?

IP Netze sind alle unterschiedlich und überschneiden sich nicht, 1:1 NAT ist auch nicht im Einsatz.

Es handelt sich um ich sag mal halbe Stunde bis Stunden. Möglicherweise tritt der Fehler auch nach Leerlauf vom VPN Traffic auf, da meistens zuerst die Verbindung vom B zu C abbricht und hier weniger Daten übertragen werden.

An C ist ansonsten eigentlich nichts im Einsatz, außer aktuell noch ein OpenVPN Server für den Notfallzugriff, wenn IPsec nicht mehr klappt und BIND für DNSBL, wobei ich beides schon testweise deaktiviert habe.

Habe gerade noch festgestellt, dass die automatische Weiterleitung von HTTP auf HTTPS beim Opnsense Webinterface noch klappt, die Seite wird dann allerdings nicht mehr geladen.

Spaßeshalber mal versucht den eingegeben VPN Traffic bei C zu NATten?

Wie genau mache ich das?

Ansonsten sind sämtliche IPsec und Firewall Regeln die den VPN Traffic betreffen auf allen drei Firewalls identisch.

Einziger Unterschied ist, dass auf C der VPN Traffic nicht nach LAN, sondern in ein zweites LAN geroutet wird, welches vom default LAN getrennt ist.

Was ich noch vergessen habe zu erwähnen:
Die Zugriffsversuche werden bei beiden Firewalls als erlaubt angezeigt, wenn man währenddessen die Liveansicht verfolgt.

[robgnu]

Hallo,

wenn du noch per SSH auf die Kiste kommst, versuch doch mal a) den PHP Dienst und/oder b) den Webserver neu zu starten.

Gruß
Robert

[User123]

Guten Morgen,

habe gerade ein "Reload all services" versucht, leider ohne Änderung.
Wie kann ich nur den Webserver bzw. PHP neustarten?