Der IPsec-Tunnel funktioniert nur in eine Richtung

[Anton]

Hallo zusammen. Könntet ihr mir bitte helfen herauszufinden, woran das Problem liegen könnte:

Ich habe einen IPsec-Tunnel zwischen meinem PC (über einen Mikrotik-Router) und einer Debian-VM (über eine OPNsense-VM) im Firmennetzwerk eingerichtet. Beide Phasen sind aktiv, und die Protokolle zeigen, dass alles ordnungsgemäß funktioniert.

Die Verbindung funktioniert jedoch nur in eine Richtung: Ich kann die Debian-VM von meinem PC aus anpingen, aber wenn ich versuche, meinen PC von der Debian-Seite aus anzupingen, gibt es keine Verbindung. Der Datenverkehr erreicht die private (nicht öffentliche) IP-Adresse der OPNsense, die Protokolle zeigen, dass alles in Ordnung ist, aber der Datenverkehr geht nicht weiter.

[Patrick M. Hausen]

Ein eingerichteter VPN-Tunnel bedeutet nicht gleichzeitig eine transparente Verbindung. Du brauchst Firewall-Regeln, die den Verkehr auch erlauben.

[Anton]

Ein eingerichteter VPN-Tunnel bedeutet nicht gleichzeitig eine transparente Verbindung. Du brauchst Firewall-Regeln, die den Verkehr auch erlauben.

Hier sind die Screenshots, wie die Firewall konfiguriert ist. Zusätzlich ist ICMP im Reiter ,,Floating" erlaubt.

[viragomann]

Mein Verdacht wäre eher auf die IPSec Regeln gefallen, aber diese eine LAN Regel mit dem "LAN_GW" kommt mir auch seltsam vor.

Was ist "LAN_GW" und welchen Sinn hat das in dieser Regel?

[Anton]

Mein Verdacht wäre eher auf die IPSec Regeln gefallen, aber diese eine LAN Regel mit dem "LAN_GW" kommt mir auch seltsam vor.

Was ist "LAN_GW" und welchen Sinn hat das in dieser Regel?

Diese Regel wird in der OPNsense-Dokumentation empfohlen.

[viragomann]

Da ist aber keine Gateway empfohlen.
Die Frage war nach dem Sinn der Regel MIT dem Gateway "LAN_GW".

Eine solche Regel leitet sämtlichen erlaubten Traffic direkt auf das Gateway. Das kann Sinn machen, wenn das Gateway mit einem anderen Interface verbunden ist, aber selten, wenn es mit demselben Interface verbunden ist.