Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Problem bei mehreren IPSEC VPN gleichzeitig
« previous
next »
Print
Pages: [
1
]
Author
Topic: Problem bei mehreren IPSEC VPN gleichzeitig (Read 2029 times)
cds
Newbie
Posts: 15
Karma: 0
Problem bei mehreren IPSEC VPN gleichzeitig
«
on:
July 11, 2022, 08:14:48 am »
Hallo zusammen!
Ich bin gerade in den letzten Zügen meiner Umstellung von einer Zywall USG auf OPNsense.
In meiner Config sind zwei IPSEC VPNs, bei denen ich ein sehr komisches Verhalten habe: Das Routing funktioniert immer nur zu EINEM von beiden, die Verbindung wird aber bei beiden als aktiv angezeigt.
Kurzer Umriss der Konfig:
Lokales Netz: 10.0.0.0/8
Remote 1: 10.10.0.0/16
Remote 2: 10.11.0.0/16
Wenn nur eine der beiden Phase 1 aktiviert ist, dann funktioniert die Verbindung und das Routing einwandfrei.
Sobald aber beide aktiv sind, funktioniert nur eine der beiden, wobei bei der nicht-funktionalen im Status zwar eine aktive Verbindung, aber bei den Details keine weiteren Infos angezeigt werden.
Die Konfiguration hat auf der USG wunderbar funktioniert
Irgendwelche Tips?
Carsten
Logged
franco
Administrator
Hero Member
Posts: 17682
Karma: 1613
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #1 on:
July 11, 2022, 08:57:42 am »
Es funktioniert immer nur der letzte Tunnel, stimmt das?
Dann Phase 1 "Tunnel Isolation" aktivieren.
Grüsse
Franco
Logged
cds
Newbie
Posts: 15
Karma: 0
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #2 on:
July 11, 2022, 09:35:22 am »
Hallo!
Ja, es ist immer der letzte Tunnel der funktioniert.
"Tunnel Isolation" ändert daran leider nichts.
Gruß
Carsten
Logged
Patrick M. Hausen
Hero Member
Posts: 6884
Karma: 578
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #3 on:
July 11, 2022, 10:10:39 am »
Kannst du das lokale Netz mal so verkleinern, dass es nicht mit den beiden Remotes überlappt?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
cds
Newbie
Posts: 15
Karma: 0
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #4 on:
July 11, 2022, 10:14:22 am »
Leider nicht ohne weiteres - dann müsste ich ja die Konfig auf den Remotes auch ändern.
Die sind leider recht weit weg, so das ich Bedenken habe mich auszusperren ....
Logged
Patrick M. Hausen
Hero Member
Posts: 6884
Karma: 578
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #5 on:
July 11, 2022, 10:52:48 am »
OK, das war jetzt auch mehr so ein Schuss aus der Schrotflinte. Das ist natürlich prinzipiell möglich, so eine Konfiguration. Man kann auch 0.0.0.0/0 in einer SA haben - natürlich nur auf einer Seite ;-)
Dann musst du wohl das Logging hochdrehen und mal die Methode des scharfen Ansehens einsetzen.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
cds
Newbie
Posts: 15
Karma: 0
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #6 on:
July 11, 2022, 12:48:27 pm »
OK,
habe ganz scharf geschaut, und das was mir verdächtig vorkommt ist folgende Meldung, nur was sagt mir das?
3[NET] ignoring IKE_SA setup from 77.4.65.219, per-IP half-open IKE_SA limit of 5 reached
Das würde genau die Verbindung betreffen die nicht geht ....
Logged
Patrick M. Hausen
Hero Member
Posts: 6884
Karma: 578
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #7 on:
July 11, 2022, 01:11:00 pm »
Die Gegenseite schickt ein "open" aber wir haben schon einen solchen Vorgang am laufen. Bist du hinter NAT? Sind die Gegenstellen hinter NAT? Ist NAT-T aktiviert?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
cds
Newbie
Posts: 15
Karma: 0
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #8 on:
July 11, 2022, 02:44:46 pm »
Hallo!
Ich bin auf keiner Seite hinter NAT, entspechend ist NAT-T auch nicht aktiviert.
Exakt diese Konfig lief mit der Zyxel USG...
Logged
Patrick M. Hausen
Hero Member
Posts: 6884
Karma: 578
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #9 on:
July 11, 2022, 03:23:20 pm »
Mach ma tcpdump und guck, ob deine Seite Antworten an die Gegenseite schickt etc. Evtl. versackt da ja was.
Ein Log/Debug auf der Gegenseite ist auch hilfreich.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
cds
Newbie
Posts: 15
Karma: 0
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #10 on:
July 11, 2022, 04:31:10 pm »
Hallo Again...
so, ich konnte das Problem jetzt isolieren.
Offensichtlich hat der IPSec Server ein Problem damit wenn zwei Phase1 Konfigs den selben Peer Identifier verwenden (ich hatte aus Bequemlichkeit bei beiden 0.0.0.0 eingetragen), obwohl der Peer ja schon eindeutig durch die Source-Address identifiziert wurde. Bei der ZyWall hat das funktioniert hat.
Gruß
Carsten
Logged
Patrick M. Hausen
Hero Member
Posts: 6884
Karma: 578
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #11 on:
July 11, 2022, 04:40:18 pm »
OK - ich hab noch nie was anderes als genau die Peer ID eingetragen, meistens die IP-Adresse bei Site2Site, klar. Ich bin bisher davon ausgegangen, wenn die IDs nicht matchen, kommt keine Verbindung zustande.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
cds
Newbie
Posts: 15
Karma: 0
Re: Problem bei mehreren IPSEC VPN gleichzeitig
«
Reply #12 on:
July 11, 2022, 05:31:34 pm »
Naja,
die Auswahl der korrekten Phase1 - nebst zugehörigem PSK - funktioniert ja wohl auch auf Basis der öffentlichen Client IP. Warum der Rest dann nicht ist mir nicht einsichtig.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Problem bei mehreren IPSEC VPN gleichzeitig