IPSec lässt Traffic nur in eine richtung durch

Started by ManDal, February 10, 2026, 09:29:56 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 10, 2026, 09:29:56 AM
Hallo zusammen
Ich stehe an einem Problem das ich nicht gelöst bekomme, habe zwei OPNsense in der Version 26.1.1 die eine lauffähigen IPSec Tunnel haben über die neue Tunnel Konfiguration. Die Firewall Regeln auf beiden seiten lassen aktuell any von dem eigenen subnetz zum anderen, jetzt ist es aber so das ich nur von einer seite aus die Systeme Pingen und erreichen kann, von der anderen Seite obwohl identisch konfiguriert geht es nicht.

Die Anfragen werden immer mit "Default deny / state violation rule" geblockt, obwohl alles offen sein müsste.

Evtl. kann mir da jemand einen Tipp geben...

Grüsse
February 10, 2026, 09:32:17 AM #1
Auf der Seite wo der Ping läuft oder auf der anderen, wo er nicht ankommt? Du brauchst natürlich auch auf der jeweiligen Remote-Seite eine "allow" Regel auf dem IPsec-Interface bzw. der Interface-Gruppe.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 10, 2026, 10:15:20 AM #2
Habe auf beiden seiten vom internen subnetz zum remote subnetz und retour eine Regel auf dem IPsec Interface mit any, kann das am neuen und alten Firewall interface liegen? habe aktuell noch alles im "alten" teil...
February 10, 2026, 10:25:25 AM #3
Zeig doch mal die Regeln ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 10, 2026, 10:34:34 AM #4
Hoffe man sieht etwas, gibt noch die identische Regel in die andere richtung...
February 10, 2026, 10:37:49 AM #5
Tja - dann tcpdump anwerfen und von Interface zu Interface gucken, wo es stecken bleibt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 11, 2026, 03:10:50 PM #6
Ein Trace-Route direkt von den beiden Firerwalls kann dir auch schon weiterhelfen.
February 12, 2026, 02:18:00 PM #7
Quote from: osmom on February 11, 2026, 03:10:50 PMEin Trace-Route direkt von den beiden Firerwalls kann dir auch schon weiterhelfen.
Wenn sich das in 26.1 nicht geändert hat, erfordert dies aber eine statische Route für das Remote-Netz auf eine lokale Interface IP. So jedenfalls bei policy-based IPSec. Die IP muss dann auch in der Policy der Remoteseite stehen.
Today at 10:56:49 AM #8
Quote from: ManDal on February 10, 2026, 09:29:56 AMDie Anfragen werden immer mit "Default deny / state violation rule" geblockt, obwohl alles offen sein müsste.
Auf welcher Seite werden sie denn geblockt?

Quote from: ManDal on February 10, 2026, 10:15:20 AMHabe auf beiden seiten vom internen subnetz zum remote subnetz und retour eine Regel auf dem IPsec Interface
Welche Regeln gibt es denn für das Interface des jeweiligen subnets? Wenn es da evtl. schon geblockt wird, bringen dir die Regeln auf dem IPSec-Interface gar nichts.
Print
Go Up Pages1
User actions