IPsec Site2Site Problem - Traffic läuft trotz SPD-Eintrag nur kurz wie gewünscht

Started by opnboi, February 13, 2021, 08:42:47 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 13, 2021, 08:42:47 AM Last Edit: February 15, 2021, 08:25:10 AM by opnboi
Hallo,

ich gliedere jetzt den problematischen Part mal aus, denn das eigentliche Problem wurde ja gelöst, bzw. das Ziel erreicht:

https://forum.opnsense.org/index.php?topic=21385.0


Ausgangspunkt: Der IPsec Site2Site Tunnel zur entfernten FritzBox steht, und diese ist auch auch dem lokalen W(LAN) der OPNsense zu erreichen, sowie aus dem WireGuard Netz dank SPD-Eintrag.

Dies funktioniert jeweils ein paar Stunden, bis zu diesem ominösen Schluckauf, bei dem es scheinbar lokale DNS-Probleme gibt - die Geräte im (W)LAN der OPNsense melden dann nämnlich kein Internetzugang.

Nachdem Schluckauf funktioniert der IPsec-Tunnel dann nicht mehr richtig, der SPD-Eintrag ist zwar noch vorhanden aber der Traffic aus dem WireGuard VPN geht dann nicht mehr über die IPsec Schnittstelle - teilweise bricht auch der ganze IPsec-Tunnel zusammen und ich muss die OPNsense und ggf. sogar die FritzBox neustarten um den Tunnel wieder aufzubauen :-\

Ich frage mich wo hier der Fehlerteufel versteckt ist, habe ja eigentlich nichts ungewöhnliches konfiguriert - Unbound DNS läuft mit DNS over TLS, ansonsten fällt mir ad hoc nix weiter ein was hier mit reinspielen könnte.

Hat jemand schonmal ähnliches gehabt und/oder einen Tip für mich?

Danke und beste Grüße

February 13, 2021, 10:50:41 PM #1
wozu hast du DoH konfiguriert (hat meines wissen noch keine wirklichen vorteile)
hast du mal geschaut ob es ohne DoH stabiler läuft?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
February 14, 2021, 11:04:11 AM #2
Ich habe DoT konfiguriert und nicht DoH - über Vorteile/Nachteile kann man sicher auch streiten;)

Habe jetzt am Tunnel den Mode von Main auf Agressive geändert, mal schauen ob er jetzt wieder stabiler läuft...

Das andere Problem mit dem WireGuard Traffic sollte nichts mit dem Moder oder DoT/DoH zu tun haben...
February 15, 2021, 08:22:22 AM #3
So, zumindest steht der Tunnel selbst zur FritzBox wieder stabil - das Hauptproblem mit dem Traffic vom WireGuard Tunnel besteht weiterhin...

Hat keiner eine Idee?
February 15, 2021, 08:46:11 AM #4
Quote from: opnboi on February 15, 2021, 08:22:22 AM
So, zumindest steht der Tunnel selbst zur FritzBox wieder stabil - das Hauptproblem mit dem Traffic vom WireGuard Tunnel besteht weiterhin...

Hat keiner eine Idee?

Ich hab das Setup mehrmals im Einsatz: IPsec Tunnel zu unterschiedlichen Standorten und WireGuard-Einwahl als Road-Warrior. Hatte damit nie irgendwelche komischen Phänomene. Allerdings ist da keine Fritzbox als IPsec Partner im Spiel.
,,The S in IoT stands for Security!" :)
February 15, 2021, 09:22:18 AM #5 Last Edit: February 15, 2021, 09:24:01 AM by opnboi
Danke für deine Antwort :)

Nutzt du da auch SPD-Einträge?

Die FritzBox auf der Gegenseite kann man ja eigentlich ausschließen oder?

Nachdem "Schluckauf" geht ja der Traffic eben nicht mehr über das IPsec Interface, sondern über das WireGuard Interface, dies ist ja auf der OPNsense definitiv ersichtlich - daher sehe ich den Fehler hier auf der OPNsense, gerade auch wegen diesem omniösem Schluckauf....

Der "Schluckauf" müsste doch auch irgendwo in den Logs der OPNsense zu finden sein ???
February 15, 2021, 09:28:30 AM #6
Nein, alles per Phase2 Einträge. Keine SPD-Einträge.
,,The S in IoT stands for Security!" :)
Print
Go Up Pages1
User actions