Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec mit VTI, kein automat. Start bei Datenverkehr
« previous
next »
Print
Pages:
1
[
2
]
Author
Topic: IPsec mit VTI, kein automat. Start bei Datenverkehr (Read 8723 times)
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #15 on:
September 19, 2019, 03:26:35 pm »
War das jetzt ne Frage oder ein alter Screenshot oder geht jetzt alles?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
GaardenZwerch
Full Member
Posts: 104
Karma: 2
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #16 on:
September 19, 2019, 03:45:32 pm »
Hallo,
ja ipsec1000 ist da, Danke, und sorry für meine Blindheit.
Letzte Frage: 'Manual SPD' macht hier wohl keinen Sinn. Habe ich eine chance ein src NAT hinzukriegen mit diesem setup?
Danke
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #17 on:
September 19, 2019, 04:22:29 pm »
manual spd müsste funktionieren, keine Ahnung auf welchem Interface. Ich glaub das hat mal einer zum Laufen gebracht.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
GaardenZwerch
Full Member
Posts: 104
Karma: 2
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #18 on:
September 19, 2019, 04:47:00 pm »
Hallo,
ich krieg das im Moment nicht gebacken. Traffic geht in ipsec1000 (und enc0), aber das NAT greift nicht.
Vielleicht müsste mein NAT jetzt auf ipsec1000 arbeiten und nicht meht auf enc0.
Danke
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #19 on:
September 19, 2019, 04:58:06 pm »
Quote from: mimugmail on September 19, 2019, 04:22:29 pm
... keine Ahnung auf welchem Interface.
Einfach testen ...
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
GaardenZwerch
Full Member
Posts: 104
Karma: 2
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #20 on:
September 20, 2019, 09:25:25 am »
Hallo,
in der NAT config kann ich als Interface ja nur 'IPsec' auswählen. Generiert wird dann 'enc0' in der config.xml. Auf der Gegenseite sehe ich dann nur original SRC Adressen auf enc0 und ipsec1000.
Wenn ich aber in der config.xml enc0 durch ipsec1000 ersetze und neu starte oder opnsense-shell reload mache passiert folgendes
auf enc0 sowie auf ipsec1000 sehe ich geNATtete SRC Adressen
das SPI ist das gleiche wie auf der Gegenseite
auf der Gegenseite herrscht Stille auf enc0 und ipsec1000, obwohl ipsec neu aufbaut
es werden keinerlei Pakete mehr zwischen den beiden Gateways ausgetauscht
Wenn ich in der Konfig wieder auf enc0 zurückwechsle beim NAT, dann kommen dir Pakete wieder drüben an, aber mit original SRC.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #21 on:
September 20, 2019, 09:31:48 am »
Bei Routed IPSec wird ein neues Interfaces angelegt, das kannst du assignen und dann kannst du das auch als NAT Interface auswählen. Steht das nicht in der Doku?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
GaardenZwerch
Full Member
Posts: 104
Karma: 2
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #22 on:
September 20, 2019, 10:34:09 am »
Ja stimmt. War mir gar nicht aufgefallen da es sogar automatischt assigned wird und den Namen aus der Description der Phase1 übernimmt.
Leider ändert es nichts an dem Verhalten:
wähle ich IPsec als interface im NAT, wird nicht geNATet, wähle ich ipsec1000, wird sieht es nach NAT aus, aber auf der Gegenseite kommt nichts mehr an, obwohl IPsec richtig verbindet, die route nach "192.168.2.0/24 10.111.1.2 UGS ipsec1000" da ist...
Logged
alh
Full Member
Posts: 123
Karma: 6
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #23 on:
September 18, 2020, 02:37:52 am »
Hast du das mit dem NAT lösen können? Ich stehe nämlich vor genau dem gleichen Problem.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: IPsec mit VTI, kein automat. Start bei Datenverkehr
«
Reply #24 on:
September 18, 2020, 11:30:27 am »
NAT und route-based IPsec ist momentan schwierig.
Du könntest mal die tuning parameter hier testen:
https://github.com/opnsense/docs/pull/279/files
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages:
1
[
2
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec mit VTI, kein automat. Start bei Datenverkehr