IPSEC zwischen OPNSense und Watchguard

Started by Z80ACPU, Today at 09:23:54 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 09:23:54 AM Last Edit: Today at 09:25:33 AM by Z80ACPU
Hallo liebe Leute,
ich hab da mal ein Verständnisproblem.
Ich betreibe diverse IPSEC-VPN zwischen unser Zentrale und den einzelnen Standorten, die "fremdgehostet" werden.

Bei den allermeisten VPN war das "straight forward" Phase1 aufgesetzt, Partner definiert und ein Child aufgesetzt, in dem drei lokale Netze mit einem Remote-Netz bekannt gemacht werden.
Dann noch nen Shared Secret austauschen und fertig ist die Laube. (Sorry für die laxe Ausdrucksweise)

Nun habe ich einen Standort, bei dem vom dortigen Betreiber eine Watchguard als VPN-Router/Firewall eingesetzt wird.

Hier, mit der Watchguard hatte ich wirkliche Schwierigkeiten, das Ganze ans Laufen zu bekommen.
Ich bekam immer nur ein einzelnes Netzwerk im Child ans Laufen. Die jeweils anderen Netzwerke waren angeblich installiert, jedoch null Datenverkehr (kein Ping, nix)
Noch toller: bei jedem Neustart der Verbindung lief (statistisch verteilt) immer ein anderes Netz und die beiden anderen nicht. Mal Netz"A" Netz"B" oder Netz"C".

Ich hab ne Weile gebraucht, um genau das zu bemerken.

Nun habe ich pro Netz ein Child definiert und alle drei Netze laufen.

Meine Frage ist nun:
Warum klappt das mit den "mehrere Netze in einem Child" mit den anderen VPN-Routern. (Da sind auch eineige OPenSenses dabei)
Warum gibt es Zicken mit dieser Wireguard?

Vielleicht könnte mir jemand klären, was der Unterschied ist zwischen "Mehrere Netze in einem Child"<->"Ein Netz pro Child"

Vielen Dank für Eure Gedanken im Voraus
Wolfgang

Today at 09:33:14 AM #1
Der unterschied ist dass für jedes Child eine eigene SA aufgebaut wird wenn es einzelne Einträge sind, und wenn alle kombiniert sind in einem Eintrag gelten sie als eine einzige SA.

Ein paar IPsec Implementierungen kommen nicht damit klar wenn in einem SA mehrere Traffic Selector (Children bei strongswan) sind.

Generell mit (älteren) Watchguard oder Sonicwall etc... als peer, viel Glück :)
Hardware:
DEC740
Today at 09:34:02 AM #2
Das ist nicht "zicken". Das ist entweder eine einzige Phase 2 SA mit mehreren Prefixen oder eine Phase 2 SA pro Prefix. Implementierungen können das eine oder das andere unterstützen oder beides. Watchguard offensichtlich nur letzteres.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 10:53:30 AM #3
Hallo Zusammen,
danke für die Aufklärung.

Nur als abschliessende Frage:
Gibt es einen funktionellen Unterschied?

Liebe Grüße
Wolfgang
Today at 11:18:43 AM #4
Nein.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions