IPSec Site to Site über carp LAN Netze

[Rico_S]

Moin,

wir haben 2 FWs in einem HA Szenario. Das public IP Netz ist ein x.x.x.x/29 Netzwerk.
Da es Überschneidungen bei den Netzwerken hinter den Tunnels gab, haben wir virtuelle IPs auf den Firewalls eingerichtet.
Das ganze hat auf pfsense funktioniert. Allerdings ohne HA mit IP Aliases.

Auf den Firewalls
WAN
x.x.x.138 als carp auf fw01  wan
x.x.x.139 fest auf fw01 wan
x.x.x.140 fest auf fw02 wan

LAN (standard Client Netz)
10.64.128.1 als carp auf fw01 lan
10.64.128.2 fest auf fw01 lan
10.64.128.3 fest auf fw02 lan

Virtuell LAN (wegen Überschneidungen der getunnelten Netzwerke)
10.233.250.1/24 als carp auf fw01 LAN


Auf den Clients sind virtuelle IPs für die VPNs eingerichtet
ip a | grep "10.233.250"
    inet 10.233.250.19/24 scope global eth3

Das Routing auf den Clients ist dementsprechend eingerichtet
ip r s | grep "10.232.130.0"
10.232.130.0/24 via 10.233.250.1 dev eth3

Der Tunnel selber kommt nur zustande wenn ich "Richtline Installieren" in der Phase 1 aktiviere.
Auf der FW selbst kann ich dann den remote Server anpingen wenn ich einen gateway ins Netz 10.232.130.0/24 über den angelegten Gateway 10.233.250.1 setze.
Clients mit dem Netzwerk 10.233.250.0/24 haben keine möglichkeit der Kommunikation mit dem Netzwerk 10.232.130.0/24
Auf der FW IPSEC ist alles zugelassen was aus aus dem internen LAN kommt.
Hat da jemand eine Idee, woran es liegen könnte?

[Rico_S]

Vielen Dank für die zahlreichen Antworten.
Ich hab es jetzt gelöst mittels NAT bevore IPSec

https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html

Viele Grüße
Rico_s