site to site Tunnel steht, aber keine Kommunikation zwischen den sites möglich

Started by kurbler, February 21, 2024, 09:16:28 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 21, 2024, 09:16:28 AM
Hallo zusammen,

ich habe zwischen zwei opnsense (beide 24.1.2) einen  IPsec Tunnel (site to site) mittels Connections eingerichtet.
Da ich cgnat habe ist der Tunnel über ipv6 aufgebaut, lt. Status steht der Tunnel, ich habe bei remote und local die jeweiligen ipv4 netze eingegeben. Ich kann aber nicht von einer Seite auf die andere Seite pingen. Unter Firewall => Rules => IPsec habe ich auf beiden Seiten ipv4 any any konfiguriert.
Wenn ich einen tcpdump auf den enc0 interface mache, sehe ich auch keine icmp pakete wenn ich pinge, stattdesen kann ich sie auf den WAN Interface sehen.
Wenn ich netstat -rn mache sehe ich auch keine routen für die jeweiligen genenüberliegende Netze, deswegen gehen die Pakete auch über WAN interface ist ja das Gateway.
Muss ich noch was konfigurieren, ich komm irendwie nicht weiter.


Danke
vg
Peter
[/img]
February 21, 2024, 09:22:23 AM #1
In Phase 2 den Haken bei "Policies" gesetzt?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 21, 2024, 09:28:02 AM #2
ich benutze das neue Menü Connection und nicht Tunnel Settings [legacy] da gibt es keine Phase 2 oder?
February 21, 2024, 09:29:45 AM #3
In deinem Screenshot vom "Status Overview" steht ziemlich klar "Phase 1" und "Phase 2".
"Children" ist das im Setup-Menü. Natürlich gibt es weiterhin Phase 1 und Phase 2, so funktioniert IPsec nunmal.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 21, 2024, 09:36:58 AM #4
Danke für die Erklärung
ja bei beiden ist da der Hacken
February 21, 2024, 10:08:22 PM #5
Hallöchen,

so wie ich das sehe, fehlen die Firewall-Einstellungen für  PORT 500(ISAKMP), 4500(IPsec NAT-T) und Protocol ESP am WAN-Port
schau mal hier:
https://docs.opnsense.org/manual/vpnet.html#firewall-rules

LG
February 23, 2024, 10:37:47 AM #6
Danke für die Antwort

ja die Rules für ESP, UDP 500 und 4500 auf den WAN sind auf beiden Seiten vorhanden, ich denke sonst würde der Tunnel auch nicht stehen.

Hat einer noch eine Idee?

Eine Vertändnisfrage, sollte ich mit netstat -rn eine route sehen von den jeweiligen gegenüberliegenden Netz das auf das enc0 zeigt?

Danke für euere Hilfe

vg
Peter
February 23, 2024, 10:46:26 AM #7
Quote from: kurbler on February 23, 2024, 10:37:47 AM
Eine Vertändnisfrage, sollte ich mit netstat -rn eine route sehen von den jeweiligen gegenüberliegenden Netz das auf das enc0 zeigt?
Bei einem Policy Based Tunnel nicht.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 27, 2024, 09:54:09 AM #8
hat keiner noch eine Idee, wo ich ansetzen kann

Danke schon mal

vg
Peter
April 16, 2024, 03:43:41 PM #9 Last Edit: April 16, 2024, 04:00:16 PM by Reiner030
Hast Du den Ping Test zwischen den Firewalls direkt probiert oder von einem Client aus?

Wenn man von einer FW direkt pingt, geht die Route fehlerhaft über WAN ohne NAT/Verschlüsselung raus, weswegen man ein GW auf dem LAN Interface und Route für das Zielnetz anlegen muss...
Bin gerade aauf der Suche danach, wie man das "richtig" machen sollte, daher noch keine bessere Antworrt dazu möglich...
EDIT: Workaround Lösung ist wohl wie bei pfSense über ein extra GW, falls man benötigte Services nicht am LAN Interface binden kann:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html#static-route-workaround

Aber falls noch nicht gelöst, einfach mal mit tcpdump oder per Webinterface bei "Packet Capture" mal Pings zum Remote Netzwerk über alle Interfaces loggen... kann man per WebGUI oder per Download/Wireshark dann je Interface einsehen und auswerten.
April 16, 2024, 04:46:08 PM #10
hab ich schon probiert, hab auch einen tcpdump mitlaufen lassen und hab dann auf den wan interface die pings gesehen und sie sollten eigentlich durch den Tunnel laufen.

ich hab mal nochmal einen Screenshot mit dran gehangen, das ist von beiden die status page Ansicht, hab ich da was evtl. verkehrt mit den Source und Destination gemacht?

vielen Dank

April 16, 2024, 07:07:24 PM #11
hab das mit dem Gateway ausprobiert, hat leider auch nichts geholfen
April 17, 2024, 01:35:15 PM #12
es funktioniert!!!!!!

das mit dem Gateway war es, anscheinend hab ich vor lauter Verzzeiflung das letzte mal an den Local und Remote subnets rumgeschraubt und mal vs versa eingetragen, hab das mir nochmal angeschaut und auch mal alle subnets gelöscht und dann probiert, hat nicht funktioniert. Dann habe ich die local und remote subnets RICHTIG wieder eingetragen und es funktioniert.

kann von beiden seiten jeweils die opnsense Adresse des jeweiligen LAN pingen und auch auf dem enc0 interface mit tcpdump die Pakete sehen.

Danke für den Tipp mit dem Gateway!!!!!
April 19, 2024, 12:03:49 AM #13
Gerne... ich hatte den auch bei dieser Suche angewandt, weil meine Pings zwar von Instanzen / Clients liefen, aber nicht von den FWs aus und hatte gut geklappt.

Das Problem ist, dass man bei bestimmten Problemen dann teilw. zu viel ändert ^^...
Am WE war mir das GW irgendwie "weggebrochen" - wobei hier viellecht auch noch unbekannte Remote Wartungsarbeiten vorhanden waren (Tunnel waren "INSTALLED" aber keinerlei Traffic kam zurück).
Und da ich nicht mit Pings von der FW aus testen konnte, hatte ich mehr mehr und "verzweifelt" auch nicht wenige Anpassungen bei meinen "Wiederherstellungsversuchen" versucht, aber zum Glück nur zwei von weiteren Phase 2 Tunneln, so dass ich eine einfache "Vorlage" zum überprüfen und zurücksetzen hatte..
Print
Go Up Pages1
User actions