Ping von opnSense shell ins IPSEC Netz

Started by damian6973, September 16, 2019, 12:43:47 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 16, 2019, 12:43:47 AM Last Edit: September 16, 2019, 12:57:33 AM by damian6973
Hallo zusammen,

ich habe das folgende Problem, das ich von der Shell aus keines der IPSEC Site to Site VPN - Netze per ping oder traceroute erreichen kann.

Von Clients aus den Netzen können funktioniert es ohne Probleme alles ohne Einschränkungen TCP, UDP, ICMP.

Hat jemand eine Idee wo da der Fehler liegt?

LG

Damian

September 17, 2019, 09:34:42 AM #1
Moin Mion,

das ist einfach zu beheben.
Beim Ping muss der Parameter -S für die Src_Addr angegeben werden.
Die Source IP wird dann auf die IP des LAN Interfaces gesetzt und der Ping läuft.
Beim Traceroute das gleiche Spiel, nur dort ist es der Parameter -s (klein s).

LG,
Ralf
September 17, 2019, 05:12:27 PM #2
Vielen Dank!

Wieder etwas dazu gelernt.

Dann tut sich aber gerade das nächste Problem auf, wo ich dachte das diese beiden Probleme nur eins sind.

Ich habe in Monit eine Ping Probe eingestellt, die ins IPSEC Netz pingt, aber diese schlagen immer fehl.
Muss ich dann dort auch die src_addr mit angeben?

LG


Damian
September 18, 2019, 08:13:59 AM #3
Moin,

das habe ich noch nicht getestet, aber ich würde mal ganz stark vermuten ja, auch dort muss die Source Adresse gesetzt werden.

LG,
Ralf
September 20, 2019, 10:47:54 PM #4
Hast du eine Ahnung wie das zu bewerkstelligen ist?
Habe leider nichts dazu gefunden...


LG

Damian
September 23, 2019, 12:30:58 PM #5
Moin,

das geht auch:

Man muss das leider in die /usr/local/etc/monitrc manuell eintragen und wenn man die Einstellungen
in der GUI speichert ist das wieder weg: (Hatte leider noch keine Zeit das mal in einen Feature Request zu packen)

check host Ping_VPN_1 address [DEST IP]
   if failed Ping ADDRESS [LAN IP] then alert

Aber dann geht der Ping auch mit der LAN IP raus.

LG,
Ralf
September 23, 2019, 03:58:51 PM #6
> das habe ich noch nicht getestet, aber ich würde mal ganz stark vermuten ja, auch dort muss die Source Adresse gesetzt werden.

Natürlich, ansonsten pingt Monit immer von seiner eigenen Adresse aus. Was soll es sonst tun?

Ansonsten ist das kein Fehler, sondern schlicht die Art wie eben IPSEC funktioniert. Du hast eine Phase 2 / Child SA und diese wird zwischen left-subnet und right-subnet definiert. Also deinem LAN bspw. und dem entfernten LAN. Wenn du dann von der Firewall oder von einem anderen Subnet da reingreifen willst geht das nicht - wird nicht geroutet, weil niemand erkennt, dass du zu der Phase gehörst. Entweder weitest du die Phase aus (zweite Phase 2 definieren) und packst da dein Mgmt/Monitoring Netz mit rein, dann geht einfach alles automatisch, oder du passt das wie Ralf schreibt oben mit der Source an. Was dann ein wenig häßlich ist.

Gruß
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 23, 2019, 10:47:34 PM #7 Last Edit: September 23, 2019, 10:55:58 PM by damian6973
Hallo JeGr,

da es auf meiner Seite noch kein Management Netz gibt, steht in der Phase 2 somit mein lokales Netz (links) und das Netz (rechts):

VPN1 = links 192.168.88.0/24 - rechts 192.168.1.0/24
VPN1 = links 192.168.88.0/24 - rechts 192.168.178.0/24

IP der opnsense = 192.168.88.254

Somit habe ich ja eigentlich alle nötigen Netze im Tunnel und sollte auch die Gegenstellen von der "sense" erreichen und nicht nur aus dem LAN (Clients im LAN) der "sense".


LG

Damian
September 23, 2019, 10:57:42 PM #8
Hallo Ralf,


das hat schon mal geklappt.
Vielen Dank!

Entweder ist es ein Bug oder ich habe doch irgendwo einen Fehler in der Config...


LG

Damian
Quote from: ralf.kirmis on September 23, 2019, 12:30:58 PM
Moin,

das geht auch:

Man muss das leider in die /usr/local/etc/monitrc manuell eintragen und wenn man die Einstellungen
in der GUI speichert ist das wieder weg: (Hatte leider noch keine Zeit das mal in einen Feature Request zu packen)

check host Ping_VPN_1 address [DEST IP]
   if failed Ping ADDRESS [LAN IP] then alert

Aber dann geht der Ping auch mit der LAN IP raus.

LG,
Ralf
September 24, 2019, 05:37:13 AM #9
Quote from: ralf.kirmis on September 23, 2019, 12:30:58 PM
Moin,

das geht auch:

Man muss das leider in die /usr/local/etc/monitrc manuell eintragen und wenn man die Einstellungen
in der GUI speichert ist das wieder weg: (Hatte leider noch keine Zeit das mal in einen Feature Request zu packen)

check host Ping_VPN_1 address [DEST IP]
   if failed Ping ADDRESS [LAN IP] then alert

Aber dann geht der Ping auch mit der LAN IP raus.

LG,
Ralf

Mach das bitte, hört sich einfach an einzupflegen
September 30, 2019, 08:13:04 AM #10
Moin,

da ist der hoffentlich richtige Request.

https://github.com/opnsense/core/issues/3733

LG,
Ralf
October 02, 2019, 12:18:48 PM #11
Super, da bin ich mal gespannt!

Vielen Dank!



Grüße

Damian
Print
Go Up Pages1
User actions