IKEv2 Tunnel mit Cisco

Started by Suraki, January 31, 2023, 01:50:24 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 31, 2023, 01:50:24 PM
Ich habe folgendes Phänomen mit einem IKEv2 Tunnel zu einer Cisco.

zwei IPs in Phase 2, wenn ich dann eine IP anpinge, geht kein Traffic zu der anderen mehr.

ungefähr so :

10.10.1.1/32  zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

ping von 192.168.1.1 auf 10.10.1.1 funktioniert, dann aber nicht mehr der Ping von 192.168.1.2 auf 10.10.1.2.

erst nach einem neuaufbau des Tunnels funktioniert der Ping von 192.168.1.2 auf 10.10.1.2 wieder, bis Traffic über die 192.168.1.1 geht, dann funktiniert nur noch 192.168.1.1.

scheint wie eine art Failover zu sein, aber bei VPN?

Hatte dieses Problem hier schon jemand?
January 31, 2023, 07:09:11 PM #1
Quote from: Suraki on January 31, 2023, 01:50:24 PM
10.10.1.1/32  zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

Ich nehme mal an, das sind wirklich zwei verschiedene Phase2 Einträge.
Schon mal die Option "Tunnel Isolation" in den OPNSense seitigen Phase1 Settings versucht ?
Das hat bei mir schon ähnliche Probleme mit CISCO Gegenstellen beseitigt.
February 01, 2023, 07:46:55 AM #2
Quote from: juere on January 31, 2023, 07:09:11 PM
Quote from: Suraki on January 31, 2023, 01:50:24 PM
10.10.1.1/32  zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

Ich nehme mal an, das sind wirklich zwei verschiedene Phase2 Einträge.
Schon mal die Option "Tunnel Isolation" in den OPNSense seitigen Phase1 Settings versucht ?
Das hat bei mir schon ähnliche Probleme mit CISCO Gegenstellen beseitigt.

Hallo juere,

vielen Dank für den Tipp, werde das nachher direkt mal ausprobieren, melde mich! :-)
February 01, 2023, 02:36:15 PM #3
Wir hatten das selbe Problem mit einer fortigate als Gegenstelle.
Als Lösung haben wir einfach zwei identische Phase 1 Einträge mit jeweils einem Phase 2 Eintrag angelegt.
February 01, 2023, 04:39:11 PM #4
Quote from: Suraki on February 01, 2023, 07:46:55 AM
Quote from: juere on January 31, 2023, 07:09:11 PM
Quote from: Suraki on January 31, 2023, 01:50:24 PM
10.10.1.1/32  zu 192.168.1.1
10.10.1.2/32 zu 192.168.1.2

Ich nehme mal an, das sind wirklich zwei verschiedene Phase2 Einträge.
Schon mal die Option "Tunnel Isolation" in den OPNSense seitigen Phase1 Settings versucht ?
Das hat bei mir schon ähnliche Probleme mit CISCO Gegenstellen beseitigt.

Hallo juere,

vielen Dank für den Tipp, werde das nachher direkt mal ausprobieren, melde mich! :-)

Genau das hat uns aus der Patsche geholfen, vielen dank! :-)
February 01, 2023, 04:43:48 PM #5
Quote from: mschmidt on February 01, 2023, 02:36:15 PM
Wir hatten das selbe Problem mit einer fortigate als Gegenstelle.
Als Lösung haben wir einfach zwei identische Phase 1 Einträge mit jeweils einem Phase 2 Eintrag angelegt.

Hatten wir auch kurz überlegt, aber dann wieder verworfen, weil nicht ganz so sauber.
Tunnel Isolation soll ja auch bei Fortigate Wunder wirken. (so jedenfalls der Hilfetext bei dem Schalter)
February 01, 2023, 04:48:58 PM #6
Jupp, hat mir 2016 gut geholfen die vererbte Fortigate aus dem Main Office mit OPNsense zu paaren.  ;)

https://github.com/opnsense/core/commit/fb5e78635378145


Grüsse
Franco
February 02, 2023, 07:59:29 AM #7
Bei uns hatte Tunnel Isolation nicht funktioniert.
February 02, 2023, 09:39:48 AM #8
Dafür gibt es keinen technischen Anhaltspunkt. Die Konfiguration ist letztlich identisch.


Grüsse
Franco
Print
Go Up Pages1
User actions