Problem bei Zugriff auf DSL Router zwischen IPSec S2S Tunnel

[jelly-b92]

Hallo zusammen

Ich habe nun einige Zeit investiert und mehrere Stunden Troubleshooting hintermir. Jedoch ohne Erfolg.
Folgendes Szenario.

Ich habe 2 Standorte welche mit einem IPSec S2S Tunnel verbunden sind.
Der Zugriff zwischen den 2 LANs über den S2S Tunnel funktioniert tadellos.

Jedoch kann ich nicht von LAN1 auf den DSL Router von Standort2 zugreifen und umgekehrt.

Zur Veranschaulichung:

Code Select Expand

                                                                                                                   
                                                                                                                   
                                                                                                                   
+--------------+                   Internet                +--------------+                                       
|  Standort1   | ----------------------------------------- |  Standort1   |                                       
|  DSL Router1 |                                           |  DSL Router1 |                                       
+--------------+                                           +--------------+                                       
        | 192.168.1.1/24                                           | 192.168.3.1/24                               
        |                                                          |                                               
        | 192.168.1.2/24                                           | 192.168.3.2/24                               
  +----------+                                               +----------+                                         
  |          |                IPSEC Tunnel                   |          |                                         
  | OPNSense1|      -------------------------------------    |OPNSense2 |                                         
  |          |      10.10.12.2                    10.10.12.1 |          |                                         
  |          |                                               |          |                                         
  +----------+                                               +----------+                                         
       |  192.168.2.1/24                                          |  10.10.1.1/24                                 
       |                                                          |                                               
       |                                                          |                                               
+---------------+                                          +---------------+                                       
|    LAN1       |                                          |    LAN2       |                                       
|192.168.2.0/24 |                                          | 10.10.1.0/24  |                                       
|               |                                          |               |                                       
+---------------+                                          +---------------+                                       




Ich habe schon diverse Packet Traces und Firewall Logs analysiert.
Folgender Usecase:
Ping von
Client1: 192.168.2.181
Destination: 192.168.3.1

Strecke:
192.168.2.181 -> 192.168.2.1 -> 10.10.12.2 - 10.10.12.1 -> 192.168.3.2 -> 192.168.3.1
und zurück für den Echo Reply. (Fett sind die Gateways)

Funktioniert nicht. Laut Packet Trace bleibt der Echo Reply von WAN Interface von Standort2 und danach auf dem IPSec Interface von Standort 2 nicht mehr sichtbar.

Wenn ich nun folgendes versuche klappt es jedoch ohne Probleme

Ping von:
10.10.12.2
Destination: 192.168.3.1

Strecke:
10.10.12.2 - 10.10.12.1 -> 192.168.3.2 -> 192.168.3.1


Technisch gesehen habe ich eine Route auf der OPNSense2 konfiguriert:
Network: 192.168.2.0/24; Gateway IPSEC_GW - 10.10.12.1

Hat jemand eine Idee wo hier das Problem liegen könnte?

Gruss & danke Jelly

[tpf]

Sevus,
sofern den jeweiligen Stellen die Moden-Zugriffsadressen bekannt sind, das Routing also stimmt, verweigert das Modem vermutlich Zugriff von IPs außerhalb des jeweiligen Modem-Subnetzes.

Das lässt sich mit einer Outbound-NAT-Regel auf das Modem-Interface regeln. Zugriff vom VPN-Netz auf Interface-Adresse des Modems NATten.

Grüße

[jelly-b92]

Ciao TPF

Top! Ich habe den NAT Modus von "automatic" auf Hybrid umgestellt und dann noch eine Regel für mein LAN2 Netzwerk definiert.
Danach hat es geklappt.
Danke für die schnelle Hilfe :-*