Problem mit IPsec Policy based VPN

[atom]

In dem Szenario sind 3 Router im Spiel.
Ich habe einen Tunnel zu einem Lancom Router bei dem die Phase 2 Route-Based ist:

lokale IP: 10.10.30.1
Remote IP: 10.10.30.2

ipsec status con1
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Routed Connections:
        con1{1}:  CREATED, TUNNEL, reqid 1000
        con1{1}:   0.0.0.0/0 === 0.0.0.0/0
Security Associations (2 up, 0 connecting):
        con1[2]: ESTABLISHED 5 hours ago,  xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.2[xxx.xxx.xxx.2]
        con1{17}:  INSTALLED, TUNNEL, reqid 1000, ESP SPIs: c832b71d_i 619d2077_o
        con1{17}:   0.0.0.0/0 === 0.0.0.0/0


Ich habe einen zweiten Tunnel zu einem Router bei dem die Phase 2 Policy-Based ist:

ipsec status con2
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Security Associations (2 up, 0 connecting):
        con2[2]: ESTABLISHED 6 minutes ago, xxx.xxx.xxx.126[xxx.xxx.xxx.126]...xxx.xxx.xxx.7[xxx.xxx.xxx.7]
        con2{3}:  INSTALLED, TUNNEL, reqid 2000, ESP SPIs: c8feb218_i a441b3f9_o
        con2{3}:   10.20.50.0/24 === 10.10.30.0/24

Und immer wenn das Qellnetz vom Policy-based-Tunnel mein LAN-Netz ist dann wird eine Route in die Routing-Tabelle geschrieben, was falsch ist, denn dafür sind ja die SAs da. Wenn das Quellnetz ein anderes (VLAN-)Netz ist dann wird keine Route in die Routing-Tabelle geschrieben.

[mimugmail]

Ok, ein Schritt weiter.
Jetzt bitte von beiden Tunneln Screenshots von P1 und P2

[atom]

Von dem Policy-Based-Tunnel hatte ich die Screenshot ja schon angehangen. Hier jetzt noch die von dem Route-Based-Tunnel.

[mimugmail]

Bei route-based nimmst du als local und remote IP addressen die nicht existieren.

Also z.b. 192.168.255.1 + 2, dann wird die .1 als interface angelegt, du geht in System : Gateways : Single, legst ein gateway an mit .2 und dann System : Routes und eine route für das remote netz (10.10.30.0/24?) über das gateway.

[atom]

Ja, genau. Die sense hat die 10.10.30.1  und die Gegenseite die 10.10.30.2. ( wie auch im netstat zu sehen) Sonst ist das Netz unbenutzt.

[mimugmail]

Und wenn du jetzt gegenseitig Routen für die LANs anlegst, geht das dann?

[atom]

Mir fehlen ja keine Routen. Es ist eine unnötig:

10.10.30.0/24      xxx.xxx.xxx.1     US        ix0

Das wird ja bereits durch die SAs abgedeckt.

[mimugmail]

Und wo ist jetzt das Problem? Das Netz sollte ja wie gesagt unbenutzt sein? Hast du ein Verständnisproblem oder geht etwas nicht?

[atom]

Ich bin ja, wie man am Profil sehen kann, neu in der OPNsense-Welt. Vielleicht habe ich ja etwas falsch verstanden.
Ich bin immer von folgendem ausgegangen:
Ein Route-based-Tunnel hat eine SA mit 0.0.0.0/0 und die Netze der Gegenseite erreicht man mittels Routing.
Ein Policy-based-Tunnel hat SAs mit lokalen Netz und Remote-Netz.
Wenn mein Verständis so korrekt ist, dann sollte ein ein Policy-Based-Tunnel keine routen setzen, oder ?

[mimugmail]

Doch, werden auf das WAN gelegt und durch den Tunnel geschubst

[atom]

Okay. Dann habe ich das jetzt verstanden.

Vielen Danke für Deine Mühe.

Edit:
Das heißt aber auch, dass die Sense jetzt nicht von sich aus in das Netz der Gegenseite routet, sondern alles ins Internet geht. Lenke ich das per NAT zur Gegenseite ?

[mimugmail]

Bei routebased natürlich nur per route, policybased nur wenn Quelle und Ziel matchen