IPSec / Verkehr nur in eine Richtung

[MartinN]

Hallo,

ersteinmal vor meiner ersten Frage vielen Dank für das Forum und den tollen Support hier.

Ich habe folgenden Netzaufbau:

   WAN0                      WAN1
                 :                        :
                 : KabelDeutschland       : Kabel Deutschland
                 :                        :
             .---+---.                 .--+--.
         
             '---+---'                 '--+--'
                 |                        |
        Ethernet |                        | Ethernet
                 |                        |
            .----+----.              .----+----.
            | Fritz   |    Router    | Fritz   |
            '----+----'              '----+----'
192.168.179.1/24 |                        | 192.168.178.1/24
                 |      .----------.      |
                 +------| OPNsense |------+
     192.168.179.250/24 '----+-----' 192.168.178.250/24
                             |
                         LAN | 10.6.1.0/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers)

Über WAN0 habe ich einen IPSEC Tunnel zu einem Lancom Router aufgebaut hier funktioniert der Datenfluss nur in eine Richtung vom Remotestandort in mein lokales Netz ... anderherum keine Chance ??!!??
Alle IP`s externen IP sind statisch in den Firewall Regeln habe ich nur einen IP4 * * LAN * * allow unter den IPSEC Regeln. Die Softwareversion der Opnsense ist die 18.7.4
Was mir aufgefallen ist, ist das der Tunnel mit der IP der FritzBox (192.168.179.1 ) auf den Router terminiert ...  und das das ehr ein generelles Problem ist ... hat evt jemand einen Lösungsansatz für mich ?

Gruss und Danke 

[JeGr]

Ich hab die Skizee mal in TT Tags gepackt, dann kann man die auch sinnvoll lesen

> Was mir aufgefallen ist, ist das der Tunnel mit der IP der FritzBox (192.168.179.1 ) auf den Router terminiert ...  und das das ehr ein generelles Problem ist ... hat evt jemand einen Lösungsansatz für mich ?

Wie ist das gemeint? Hast du im IPSec als Identifier die IP eingetragen und WAN0 als Interface oder wie ist das eingestellt? Da du hinter einem NAT sitzt, würde hier NAT-T greifen müssen, da die Verbindung dann nicht direkt mit der externen IP aufgebaut wird sondern deine interne mit drinsteckt. Daher wäre ein Name oder manuelle IP als ID sinnvoller.

[MartinN]

Hallo,

danke für die schnelle Antwort und das hübsch machen :-)

In der Phase 1 habe ich als identifier "bedeutender Benutzername" in form einer Mail Adresse ...
Im tracert sehe ich nur das der Ping nach der opnsense stirbt ...
Der Tracert des Remote Standortes läuft sauber durch

aber was ich gerade in den Firewall Logs sehe ist das mein Traffic in die default deny Roule läuft ? Welche Firewallregel hab ich Vollpfosten vergessen?

Edit: Der Fehler scheint im Lancom bzw. in meiner VPN einrichtung zu liegen ... die Pakete erreichen die Lancom und werden dann dort mit: "no sa available: give up" verworfen

Oct 12 15:08:18   filterlog: 12,,,0,em1,match,block,in,4,0x0,,48,55492,0,none,17,udp,409,xx.xxx.xxx.xx,192.168.179.250,161,162,389
Oct 12 15:08:18   filterlog: 12,,,0,em1,match,block,in,4,0x0,,48,55488,0,none,17,udp,375,xx.xxx.xxx.xx,192.168.179.250,161,162,355
Oct 12 15:08:15   filterlog: 12,,,0,em1,match,block,in,4,0x0,,48,55443,0,none,17,udp,409,xx.xxx.xxx.xx,192.168.179.250,161,162,389
Oct 12 15:08:15   filterlog: 12,,,0,em1,match,block,in,4,0x0,,48,55439,0,none,17,udp,375,xx.xxx.xxx.xx,192.168.179.250,161,162,355


Edit: Der Fehler scheint im Lancom bzw. in meiner VPN einrichtung zu liegen ... die Pakete erreichen die Lancom und werden dann dort mit: "no sa available: give up" verworfen ... also noch mal Tunnel neu basteln :-)