IPSec site2site firewall routing

[Shcshc]

Ich habe einen ipsec Tunnel (Mode Tunnel IPv4)zwischen A (192.168.1.0/24) und B(172.17.95.0/24) aufgebaut.

Firewall A IP:192.168.1.254
Firewall B IP:172.17.95.254

Rechner in A können mit Rechnern in B kommunizieren.
Alles gut.

Was nicht geht:

Die Firewall A selbst kann nicht mit Netz B kommunizieren.
Anders herum ebenfalls nicht.

Wenn ich über die Shell der Firewall A einen Ping an die Firewall B absetzte, kommt immer vom WAN GW der Firewall A die Rückmedlung, dass B nicht erreichbar ist.
Warum nutzt die Firewall selbst nicht den ipsec Tunnel?
Wo die Netzte es doch machen.




Gesendet von iPad mit Tapatalk Pro

[Patrick M. Hausen]

Du musst beim ping die Source-Adresse mit angeben, die vom LAN.

Eine IPsec policy ist keine Route. Deshalb schiebt die Firewall das per Default zum WAN raus und nutzt dann auch ihre WAN-Adresse als Source. Das ist einfach ein Mechanismus im Kernel, der guckt sich ein Paket an - Source, Destination - hab ich da eine IPsec policy für? Ja? Einpacken.

[Shcshc]

Das Problem ist aber, dass z. B. Unbound DNS auf A nicht den DNS Server im Netz B erreicht. Für Domain overrides.

Und mein Web Proxy auf A kann anscheinend auch keine ,,Sites" im Netz B erreichen.


Gesendet von iPhone mit Tapatalk Pro

[juere]

Das Problem ist aber, dass z. B. Unbound DNS auf A nicht den DNS Server im Netz B erreicht. Für Domain overrides.

Das lässt sich lösen, indem du in der Unbound Konfiguration unter General -> Outgoing Interfaces explizit ein Interface mit IP Adresse "im" Tunnel (in deinem Fall wohl LAN) setzt. Dann sollten die Domain Overrides klappen :)

[chemlud]

Ggf. unter Services -> Unbound -> Access List schauen, ob das Netz A dort überhaupt für den Unbound in B erlaubt ist...

[Shcshc]

Der Hinweis von goodomens42 hat geholfen. Dankeschön. Jetzt muss ich noch schauen wie ich das mit dem Web Proxy löse.


Gesendet von iPhone mit Tapatalk Pro