IPSec VPN mit mehreren Phase 2 Einträgen - Tipps zur Fehlersuche benötigt

Started by seroal, June 05, 2025, 04:24:25 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 05, 2025, 04:24:25 PM
Moin,

ich wollte neulich einen Tunnel von Lokal:192.168.55.0/24 auf Entfernt:10.0.0.0/8 auf Lokal:192.168.55.0/24 auf Entfernt:10.150.10.0/24,10.150.11.0/24,10.150.12.0/24 umstellen. D.h. in der Phase 2 anstatt eines großen Netzes mehrere kleine verwenden. Der Tunnel läuft mit dem /8 einwandfrei. Die Umstellung hat jedoch nicht geklappt, da sich immer nur eine der Phasen aufgebaut hat. Ich habe sowohl die Variante, alle entfernten /24 Netze in einer SA anzugeben, also auch mehrere SAs mit den einzelnen Netzen zu konfigurieren versucht. Es hat immer nur ein Netz funktioniert.

Die Gegenstelle ist eine Cisco ASA und ich verwende die 25.1.7_4.

Woran kann das liegen? Was kann ich hier noch machen um das Problem zu lösen? Hat OPNSense hier generell bekannte Einschränkungen?

Das Problem ähnelt wohl diesem hier:
https://www.reddit.com/r/OPNsenseFirewall/comments/lktgbx/issue_with_multiple_ikev2_sas/



Danke für jede Idee...
June 18, 2025, 01:53:12 PM #1
Hallo Zusammen,

ich habe genau das auf Reddit beschriebene Szenario.
Meine Gegenstelle ist eine Cisco ASA 5506-X, ich nutze opnSense 25.1.8_1

Die "Children" sind auf das hier gesetzt:
192.168.125.0/24     172.20.16.168/32
192.168.125.0/24     172.20.16.169/32
192.168.125.0/24     172.20.16.107/32
192.168.125.0/24     172.20.16.108/32

Sobald jemand aus 192.168.125.0/24 auf einen Server, z.B. 172.20.16.168 zugreift tut es. Wenn nun ein weiterer Zugriff auf einen anderen Server erfolgt, z.B. 172.20.16.169 sind keine Zugriffe mehr möglich.

Die Logs sind unauffällig. IPSec Status etc. zeigen an, dass der Tunnel oben ist und in Phase 2 mehrere Verbindungen gelistet werden.

Auf der/meiner Firewall kann ich per tcpdump sehen, dass pings aus dem 192.168.125.x mit "bad cksum" angezeigt werden.

Wie gehe ich weiter vor ?

June 25, 2025, 11:45:20 AM #2
Könnte das hier noch immer ein Thema sein? https://forum.opnsense.org/index.php?topic=30525.0

Vorher gab es die Option "tunnel isolation". Die gibt es ja scheinbar nicht mehr. Wie wird das denn jetzt gelöst?
June 25, 2025, 09:15:41 PM #3
Du kannst mehrere Netze in ein Phase 2 Child schreiben oder mehrere mit je einem Netz anlegen.

Letzteres wäre dann wohl tunnel isolation.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 27, 2025, 09:28:57 AM #4
deleted.
June 27, 2025, 09:29:21 AM #5
Quote from: Patrick M. Hausen on June 25, 2025, 09:15:41 PMDu kannst mehrere Netze in ein Phase 2 Child schreiben oder mehrere mit je einem Netz anlegen.

Letzteres wäre dann wohl tunnel isolation.

Ok, verstehe. Das beantwortet zumindest schonmal eine Frage :)


Danke.
Print
Go Up Pages1
User actions