Problem mit IPsec Policy based VPN

[atom]

Hallo,

ich habe einen Route-Based Tunnel zu einem Lancom konfiguriert.
Wenn ich jetzt einen weiteren Policy-Based Tunnel konfiguriere zu einem anderen Router, dann wird der IPsec-seitig sauber eingerichtet, aber zusätzlich eine Route für das Netz an mein Default-WAN-Gateway eingetragen, die man mit "netstat -rn" sehen kann.  Dieses Verhalten tritt aber nur auf, wenn das lokale Netz das LAN-Netz ist. Wenn ich ein anderes lokales (VLAN-)Netz nehme dann, tritt das Verhalten nicht auf.

Viele Grüße,
atom

[mimugmail]

Bitte Screenshots von beiden Phase1 und Phase2 und von der Routingtabellte

[atom]

Hallo mimugmail,

ich kann leider nur 4 Änhänge mitsenden. Bei dem korrekten "netstat -4rn" fehlt nur die gelb.markierte Zeile.

Viele Grüße,
atom

[mimugmail]

Wo ist der route-based tunnel?

[atom]

Die Route-Based-Tunnel laufen über das ipsec100 .

[mimugmail]

Der Tunnel ist falsch aufgesetzt wo wie ich das sehe ...

[atom]

Der Route-Based-Tunnel funktioniert problemlos. Den habe ich nach der Anleitung hier aufgesetzt:
https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-route.html

[atom]

Ich habe den Route-Based-Tunnel mal testhalber abgeschaltet, so dass der auch im netstat nicht mehr auftaucht. Das Verhalten von dem Policy-Based-Tunnel ist immer noch identisch (falsch).

[atom]

Gibt es eine Möglichkeit zu debuggen wer oder was eine Route für die VPN-Strecke auf das default Gateway setzt ?

[mimugmail]

Das ist mir grade etwas zu gemischt alles .. also du hast route-based deaktiviert und hast jetzt EINEN policy-based VPN Tunnel, und der geht schon nicht, korrekt?

[atom]

Ich hatte erst einem Route-Based-Tunnel und dann versucht einen Policy-Based-Tunnel dazu zu konfigurieren.
Um auszuschließen, dass es an dem Route-Based-Tunnel liegt, habe ich den jetzt ausgeschaltet und danach noch einmal probiert den Policy-Based-Tunnel ans Laufen zu bringen. Erst mit mit lokal-Netz=LAN, was wieder nicht geht und danach mit lokal-Netz=anderes-(VLAN-)-Netz, was geht, ohne den zusätzlich falschen Eintrag in Routing Tabelle zu hinterlassen.

[mimugmail]

Du kannst mit einem Peer nicht beides mischen, du musst ja entweder Install Policy aktivieren oder raus nehmen.

[Patrick M. Hausen]

Bitte schreib doch nochmal die SAs Deines Policy Based Tunnels auf und die falsche Route, die installiert wird.

[atom]

Ich habe jetzt beide VPN-Tunnel noch einmal neu eingerichtet. Den von der Sense zum Lancom Route-Based und den zu dem anderen Route Policy Based.
Ich hatte vorher tatsächlich den Route-Based-Tunnel eine falsche Ziel-IP gegeben ( sich selbst und nicht die Gegenseite ). Hat komischerweise trotzdem funktioniert.
Die Routing-Tabelle sieht jetzt so aus. Die Änderungen gegenüber dem 1.Screenshot habe ich markiert.

Leider behebt das das Problem nicht, dass wenn ich zu dem Route-Based Tunnel einen weiteren Tunnel ( zu einem anderen Router ) Policy-Based hinzufüge. Die SA für den Policy-Based Tunnel sieht so aus:

ipsec status con2
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Security Associations (2 up, 0 connecting):
        con2[2]: ESTABLISHED 6 minutes ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.7[xxx.xxx.xxx.7]
        con2{3}:  INSTALLED, TUNNEL, reqid 2000, ESP SPIs: c8feb218_i a441b3f9_o
        con2{3}:   10.20.50.0/24 === 10.10.30.0/24

[mimugmail]

Leider behebt das das Problem nicht, dass wenn ich zu dem Route-Based Tunnel einen weiteren Tunnel ( zu einem anderen Router ) Policy-Based hinzufüge. Die SA für den Policy-Based Tunnel sieht so aus:

In deinen Antworten fehlt leider immer ein Detail
Was genau meinst du damit?

Du hast eine Phase1 zu einer IP und darin eine Phase2 die policybased und noch eine Phase2 die routebased ist?

Die Routingtabelle bringt nichts ohne die Details von P1 und P2