Problem mit Regel (IPSec)

[Somebody]

Hallo,

ich versuche gerade einen zweiten IPSec Tunnel auf meiner OPNsense zu konfigurieren.
Das hat soweit eigentlich auch ganz gut geklappt, ich habe aktuell noch erleichterte Bedingungen da die beiden FW´s nebeneinander stehen und ich erstmal die ganzen Policys usw. konfigurieren wollte bevor sie dann an die Außenstelle kommt.

Ich habe das Tutorial von OPNsense benutzt um das Szenario zu konfigurieren inklusive den zusätzlichen Gateways welche Vorgeschlagen werden wenn man zwei OPNsense nebeneinander mit einem Netzwerkkabel verbindet.

Leider bin ich hier jetzt auf ein Problem gestoßen welches ich nicht nachvollziehen kann.
Der Ping von Standort A auf Standort B läuft in beide Richtungen, mit Firewall A komme ich auch auf das Webinterface von Firewall B. Aber wenn ich RDP / HTTPS von Standort B auf Standort A starten möchte werden meine Pakete von der Firewall A immer geblockt, meiner Ansicht nach sind die Firewall Regeln aber korrekt gesetzt. Ich habe es auch schon mit einer "pass ALL ALL ALL" Regel beiden Interfaces (LAN und IPSec) getestet.

Aber ich erhalte auf Firewall A immer folgende "blocks" in der Log:

Code Select Expand


Jan 16 13:19:29 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24440,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51044,3389,0,S,4230192352,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:19:26 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24423,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51044,3389,0,S,4230192352,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:19:14 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24322,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51039,3389,0,S,2784949483,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:19:11 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24279,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51039,3389,0,S,2784949483,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:18:55 filterlog: 55,,,0,em0,match,pass,out,4,0x0,,126,24080,0,none,1,icmp,60,192.168.1.24,192.168.0.116,datalength=40
Jan 16 13:18:55 filterlog: 62,,,0,enc0,match,pass,in,4,0x0,,127,24080,0,none,1,icmp,60,192.168.1.24,192.168.0.116,datalength=40


Kann mir da vielleicht jemand helfen?

Vielen Dank und Grüße
Somebody

[chemlud]

...aber da ist nicht zufällig die "Block private networks" Regel auf dem WAN gesetzt?

[Somebody]

Hallo chemlud,

nein, das ist auf beiden Interfaces deaktiviert.

Vielleicht kennt jemand einen Weg um diese Regel 11 zu finden? Soweit ich das in den Live-View nachvollziehen kann agiert die Regel auf mehreren Interfaces, also müsste es die Default Block Regel sind, allerdings bin ich auch schon her gegangen und habe die IP´s und Ports explizit freigegeben.
Aber auch eine ALL ALL ALL Regel sollte ja seinen zweck erfüllen, wenn diese auf dem IPSec Interface und auf dem LAN Interface gesetzt ist....

Hab aktuell echt keine Idee mehr :/

Grüße
Somebody

[Somebody]

Okay, alles gut, ich bin bescheuert   :-\

Es lag einfach daran das ich die Regeln nicht unter "IPSec" konfiguriert habe und dann sind sie in die default deny policy gerutscht.

Irgendwie war ich gedanklich irritiert und habe Gedacht mein erster IPSec Tunnel wird unter "IPSec" konfiguriert und die Regeln vom zweiten dann unter meinem Interface "IPSecTest" .... Naja... wer lesen und denken kann ist klar im Vorteil.

Vielen Dank für die Hilfe, ich habe dadurch auf jeden Fall wieder einiges über die Logs der OPNsense gelernt und wie ich Port Probe verwenden kann  ;)

Kann man hier eigentlich einen Thread als "Gelöst" markieren?

Grüße
Somebody

[chemlud]

For die Akten:

Code Select Expand

pfctl -vvPnf /tmp/rules.debug

gibt dir eine Liste der Regeln.

Quelle:

https://forum.opnsense.org/index.php?topic=10763.msg49743#msg49743