Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VTI IPsec + routing
« previous
next »
Print
Pages: [
1
]
Author
Topic: VTI IPsec + routing (Read 169 times)
MaDe
Newbie
Posts: 20
Karma: 0
VTI IPsec + routing
«
on:
November 14, 2024, 09:49:36 am »
Moin zusammen,
ich habe ein Problem mit dem Routing in zwei VTI Tunneln.
Zwischen FW-A und FW-B bestehen zwei Tunnel. Hinter FW-B gibt es ein Netz das ich erreichen will, 10.3.2528/29.
Also habe ich zweit GWs mit unterschiedlicher Prirotität angelegt, einmal 10 für primary und einmal 254 als secondary. Wenn ich nun eine Route eintrage für das GW Prio 10 funktioniert alles sobald ich aber die zweite Route eintrage mit dem GW Prio 254 wird diese bevorzugt behandelt. Und der Traffic geht dann nur noch über das GW 254. Disable ich die Route mit Prio 254, droppt der Traffic. Nur wenn ich die Route mit Prio 254 lösche wird der Traffic wieder über die Router mit Prio 10 geroutet.
Ich hoffe ich habe das irgendwie verständlich ausgedrückt.
Habe ich da irgendwie ein Fehler drin, dachte das ich mit der GW Prio das static routing beeinflussen kann. Oder muss ich GW Gruppen anlegen?
Versions
OPNsense 24.7.8-amd64
Danke,
MaDe
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1620
Karma: 177
Re: VTI IPsec + routing
«
Reply #1 on:
November 14, 2024, 09:53:38 am »
Was soll denn passieren, willst du load balancing zwischen den IPsec Tunneln?
Wenn es ein Routing Problem ist, schau dir mal dynamic Routing an.
https://docs.opnsense.org/manual/dynamic_routing.html
https://docs.opnsense.org/manual/dynamic_routing.html#ospf-ospfv3-open-shortest-path-first
https://docs.opnsense.org/manual/how-tos/dynamic_routing_ospf.html#ipsec-failover-with-vti-and-ospf
Logged
Hardware:
DEC740
MaDe
Newbie
Posts: 20
Karma: 0
Re: VTI IPsec + routing
«
Reply #2 on:
November 14, 2024, 10:19:27 am »
Hi,
der Gedanke ist das ich zwei Gateways mit unterschiedlicher Priorität habe und dazu zwei routen. Fällt ein Gateway aus soll der Traffic über das Gateway laufen was noch aktiv ist.
Ja dynamic routing mache ich auch aber soll in diesem Fall nicht eingesetzt werden.
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1620
Karma: 177
Re: VTI IPsec + routing
«
Reply #3 on:
November 14, 2024, 11:22:16 am »
Ich habe das immer mit dynamic routing gemacht wo das perfekt funktioniert.
Mit anderen Konfigurationen kann man immer wieder Probleme haben, vor allem mit den Firewall States. Vielleicht in dem Fall mit Stateless Regeln arbeiten.
Kommt halt drauf an ob man Ruhe haben will oder gerne immer wieder Troubleshooting Zeit aufbringen will.
Logged
Hardware:
DEC740
MaDe
Newbie
Posts: 20
Karma: 0
Re: VTI IPsec + routing
«
Reply #4 on:
November 14, 2024, 01:21:23 pm »
Wie gesagt dynamic ist in diesem Fall keine Option. Aber danke.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VTI IPsec + routing