Ping von OpnSense FW B durch IPSec VPN in Netz auf Seite A nicht möglich

[LHBL2003]

Hallo,

mir fehlt irgendwie die Erleuchtung. Ich hoffe einer von euch hat eine Idee.

Ich habe einen VPN Tunnel mit IPSec. Auf beiden Seiten mit opnSense
Mein Rechner auf Seite A kann mit Rechner auf Seite B kommunizieren (z.B. Ping). Ebenso funktioniert dies umgekehrt.

Nun möchte ich von der OpnSense FW aus den Rechner durch den Tunnel Pingen.

Host: 172.24.0.10
IP Protokoll: IPv4
Quelladresse: QuellnetzX

Dies funktioniert auch ohne Probleme.

Wenn ich das Quellnetz auf "Standard" ändere, dann funktioniert es nicht mehr.

Das Telegramm wird aber von Firewall B in den Tunnel geleitet.

Code Select Expand

Office_Netz 2022-04-12T13:20:19 10.10.12.18 10.10.10.41 esp IPsec: PHASE 1 (FEITFirewall100 - StandortX)
IPsec 2022-04-12T13:20:19 10.10.12.18 172.24.0.10 icmp let out anything from firewall host itself (force gw)

Ebenso kommt es auf Firewall A an.

Code Select Expand

Test_Netz_0000_IT Apr 12 13:20:19 10.10.12.18 172.24.0.10 icmp let out anything from firewall host itself

Frage:
Was fehlt mir nun, damit ich die Ping Antwort erhalte? (Außer mehr Kenntnisse zum Thema ;-)

Anhang ipSec Konfig
Meine IPSec Konfiguration befindet sich als Bild im Anhang. (Dementsprechend auf der anderen Seite gespiegelt mit Drehung der Quell und Ziel Adressen.)

Warum mache ich den ganzen Quark?

Eigentlich möchte ich auf der Seite B bei den Clients via DHCP das Gateway und die DNS Adresse der Firwall B angeben. Dies mache ich auf Seite A auch so.

Das Unbound DNS der Firewall B soll auf Seit A, meinen Windows DNS Server nach der Adresse fragen.

Das passiert auch, denn ich sehe im Windows DNS Server auf Seite A, dass Anfragen von Firewall B mit der Adresse 10.10.12.18 ankommen und beantwortet werden. Nur kommen diese scheinbar nicht an der Firewall B an.

Dabei habe ich Festgestellt, dass das Verhalten scheinbar beim Ping auch so ist. Deshalb erst einmal die "einfachere Hürde"

Vielen Dank für eure Unterstützung.

[zerwes]

ping -S ist dein Freund (wie fast immer bei IPSec) ...
ping -S SRCIP DESTIP
SRCIP ist dann die IP der opnsense selber (z.B. LAN), muss in einem phase2 gerouteten Netz liegen.
DESTIP ist dann etwas auf der anderen Seite des Tunnels ...
Bsp:
LAN (vtnet1)    -> v4: 10.10.8.1/25
# ipsec status | grep 10.224.0.0
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
    con1-002{2345}:   10.10.8.0/25 === 10.224.0.0/12
und dann
# ping -S 10.10.8.1 10.224.0.2
PING 10.224.0.2 (10.224.0.2) from 10.10.8.1: 56 data bytes
64 bytes from 10.224.0.2: icmp_seq=0 ttl=127 time=1.187 ms
64 bytes from 10.224.0.2: icmp_seq=1 ttl=127 time=0.989 ms

[zerwes]

Nachtrag zu unbound: hier muss dann in Services -> Unbound -> General das entsprechende Interface das innerhalb der p2 route liegt als src interface unter "Network Interfaces" ausgewählt werden ...