Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Ping auf VPN (IPsec) nur aus den Netzen möglich nicht von der Firewall selbst
« previous
next »
Print
Pages: [
1
]
Author
Topic: Ping auf VPN (IPsec) nur aus den Netzen möglich nicht von der Firewall selbst (Read 631 times)
groove21
Jr. Member
Posts: 67
Karma: 1
Ping auf VPN (IPsec) nur aus den Netzen möglich nicht von der Firewall selbst
«
on:
January 28, 2024, 07:09:20 pm »
Hallo zusammen,
ich habe eine OPNsense und dort alle Standorte mit einem /16er-Netz angebunden.
Ich kann auch zwischen den /16er Netzen jeweils hin und herspringen, gemäß den Regeln.
Möchte ich das /16er-Netz jedoch direkt von der Firewall pingen, funktioniert dies nicht.
Ich glaube ich sehe den Wald gerade vor lauter Bäumen nicht.
Hat jemand einen Tipp?
Gruß
groove21
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: Ping auf VPN (IPsec) nur aus den Netzen möglich nicht von der Firewall selbst
«
Reply #1 on:
January 28, 2024, 08:01:03 pm »
"Eine OPNsense" und "alle Standorte" - das ist leider nicht so ohne weiteres verständlich. Auch wenn ich @micneu für seine Standard-Antwort manchmal "haue", in deinem Fall brauchen wir wirklich einen Netzplan. Was genau sind diese Standorte und wie sind die mit der OPNsense verbunden?
Alle Verbindungen, alle Netze bitte.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
groove21
Jr. Member
Posts: 67
Karma: 1
Re: Ping auf VPN (IPsec) nur aus den Netzen möglich nicht von der Firewall selbst
«
Reply #2 on:
January 28, 2024, 11:06:35 pm »
Habe nach langem Suchen hier die Lösung gefunden:
https://forum.opnsense.org/index.php?topic=22198.msg111049#msg111049
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Ping auf VPN (IPsec) nur aus den Netzen möglich nicht von der Firewall selbst
«
Reply #3 on:
January 29, 2024, 05:32:22 pm »
Da der Link nicht wirklich zielführend ist hierzu zwei einfache Punkte:
1) IPsec hat im Normalfall keine Interface IP - ein Ping mit "automatisch" haut also oft schlicht nicht hin, weil der Ping ggf. vom falschen Netz gesendet wird. Um das zu Umgehen genügt es bei "Source Address" im Ping eine IP der Firewall anzugeben, die in der IPsec Phase 2 auch enthalten ist, sonst kommt da kein Ping auf die andere Seite an.
Bspw.: IPsec Phase 2 zwischen 192.168.5.0/24 und 192.168.45.0/24, lokale IP der Sense im LAN ist 192.168.5.1
Dann beim Ping als Source die .5.1 angeben, damit der Ping von der korrekten IP kommt.
2) Ähnliches Problem existiert bei DNS wenn man auf den jeweilig gegenüberliegenden Seiten DNS der Remote Seite hinterlegen will, damit man deren Namen lokal ebenfalls auflösen kann. Einfach ein Domain Override mit Ziel Remote IP kann ggf. nicht funktionieren, da auch hier wieder die falsche Source IP vorliegt, die ggf. nicht in der P2 enthalten ist.
Um das zu korrigieren hat der DNS Forwarder (dnsmasq) beim Domain Override eine Source IP die man angeben kann - auch hier einfach die LAN IP nutzen die in der P2 enthalten ist, dann klappt die Abfrage. Beim Resolver (unbound) ist das per GUI nicht möglich. Bei pfSense gibt es hier den Trick, statt dessen das outgoing network Interface auf "LAN" zu setzen. Ob der Trick auch hier funktioniert (nur sichtbar mit adv. options an) kann ich aktuell nicht sagen, da mir der Testaufbau fehlt.
Das sind aber die typischen 2 Probleme in dieser Konstellation, da einfach eine IP auf dem virtuellen Tunnelinterface fehlt.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Ping auf VPN (IPsec) nur aus den Netzen möglich nicht von der Firewall selbst