Author Topic: Fehler bei Fragmentierung über IPsec-Tunnel (Read 2506 times)

RalfOE · « **on:** August 20, 2021, 04:55:07 pm »

Hallo,

ich habe das Problem, dass die Übertragung über IPsec zu Fehlern führt, da größere Datenpakete nicht fragmentiert werden. Der Fehler tritt immer auf, wenn mindestens eine OPNsense-Firewall mit verwendet wird. Bei anderen Firewalls untereinander (Cisco, Sophos SG oder XG) habe ich das Problem nicht. Auch von OPNsense zu OPNsense tritt das Problem auf.

Pakete bis zu 1394 Bytes gehend durch, alles andere wird verworfen. Es betrifft auch nur die IPsec-Verbindungen alle anderen Verbindungen funktionieren fehlerfrei.

Ich habe mir jetzt schon einen Wolf gesucht, finde aber keine hilfreichen Hinweise.

Hat jemand eine Idee? Kann ja eigentlich nur eine Kleinigkeit sein.

Vielen Dank für die Unterstützung.

mimugmail · « **Reply #1 on:** August 21, 2021, 11:17:15 am »

Interfaces LAN MSS auf 1300 setzen.
Pmtu discovery wird irgendwo bei dir geblockt sein

RalfOE · « **Reply #2 on:** August 22, 2021, 03:08:46 pm »

Danke für die Antwort. Umstellung LAN MSS auf 1300 bringt leider keine Änderung.

Was heißt "Pmtu discovery wird irgendwo bei dir geblockt sein"? Was könnte "irgendwo" z.B. sein?

Die OPNsense-Firewalls sind alle frisch installiert und mir ist nicht bewusst, wo ich etwas mit Pmtu gesetzt hätte.

vpnuser · « **Reply #3 on:** August 23, 2021, 12:47:20 pm »

Wir hatten Probleme bei Home Office Mitarbeitern, welche über IPSec/IKEv2 und OPNSense eine VPN Verbindung aufbauten. Es lag am Ende an IPv4. Verbindungen über IPv6 waren die Lösung.

mimugmail · « **Reply #4 on:** August 23, 2021, 04:15:20 pm »

Was bekommst du zurück per CLI:

sysctl net.inet.icmp.reply_from_interface

vpnuser · « **Reply #5 on:** August 23, 2021, 04:41:34 pm »

Der zurückgegebene Wert ist 1

RalfOE · « **Reply #6 on:** August 23, 2021, 04:43:10 pm »

net.inet.icmp.reply_from_interface: 1

vpnuser · « **Reply #7 on:** August 23, 2021, 04:48:37 pm »

Wenn dies eine Frage sein soll, ja der zurückgegebene Wert ist 1. Hatte ich bereits geschrieben.

Code: [Select]

root@opns:~ # sysctl net.inet.icmp.reply_from_interface
net.inet.icmp.reply_from_interface: 1

Noch ein Hinweis. Am Anfang hatte ich ICMP durch die Firewall noch geblockt, trotzdem konnte ich bei manchen VPN Clients eine stabile Verbindung über IPv4 aufbauen. Nachdem ich Probleme mit einem Telekom Hybrid Anschluss hatte, hatte ich ICMP freigegeben. Trotzdem musste ich manuell auf dem Client die MTU auf 1340 setzen. Bei anderen Anschlüssen war unter anderem DS Lite mit IPv4 das Problem. Hier konnte eine stabile Verbindung über IPv6 aufgebaut werden.

mimugmail · « **Reply #8 on:** August 23, 2021, 07:08:04 pm »

https://github.com/opnsense/core/issues/4042

Author Topic: Fehler bei Fragmentierung über IPsec-Tunnel (Read 2506 times)

RalfOE

Fehler bei Fragmentierung über IPsec-Tunnel

mimugmail

Re: Fehler bei Fragmentierung über IPsec-Tunnel

RalfOE

Re: Fehler bei Fragmentierung über IPsec-Tunnel

vpnuser

Re: Fehler bei Fragmentierung über IPsec-Tunnel

mimugmail

Re: Fehler bei Fragmentierung über IPsec-Tunnel

vpnuser

Re: Fehler bei Fragmentierung über IPsec-Tunnel

RalfOE

Re: Fehler bei Fragmentierung über IPsec-Tunnel

vpnuser

Re: Fehler bei Fragmentierung über IPsec-Tunnel

mimugmail

Re: Fehler bei Fragmentierung über IPsec-Tunnel