[gelöst] IPsec Site2Site Verbindung aufgebaut, aber Routing falsch.

[theq86]

Hallo!

Ich habe bei Amazon AWS ein IPsec VPN konfiguriert. Die OPNsense habe ich entsprechend Amazons Daten konfiguriert. Ich kann den Tunnel erfolgreich aufbauen, aber irgendwie erreiche ich keine Clients der Gegenseite.

Hier meine Config:

Phase 1

Code: [Select]

Anschlussart: Sofort starten
Schlüsselaustauschversion: V1
Internet Protokoll: IPv4
Schnittstelle: WAN
Ferner Gateway: x.x.x.x (Adresse des VPN Gateways auf Amazon-Seite)

Authentifizierungsmethode: Mutual PSK
Bestimmungsmodus: main
Meine Kennung: Meine-IP-Adresse
Peer-Identifizierer: Peer IP-Adresse
Pre-Shared Schlüssel: der von AWS generierte Schlüssel
Crypto-Algo: aes128
Hash-Algo: SHA1
DH Group: 2 (1024 bit)
Lebenszeit 28800
ReKey, Reauth, Tunelisolation: unchecked
NAT Traversal: Aktivieren
MOBIKE: unchecked
DPD: 10/3

Phase 2

Code: [Select]

Modus: Tunnel IPv4
Lokales Netzwerk: Typ: LAN Subnetz
Entferntes Netzwerk: Typ: Netzwerk: 10.8.0.0 / 24
Protokoll: ESP
Algos: aes128
Hash-Algos: SHA1
PFS Gruppe: 2 (1024 bit)

Ich kann den Tunnel erfolgreich aufbauen, aber micht wundert die Routigtabelle:

Code: [Select]

Protokoll   Ziel                   Gateway            Mark.      Verw.  MTU       Interface
ipv4         10.8.0.0/24       62.214.63.93      US          0        1492      pppoe0/wan

Wenn ich also das Remote-Netzwerk erreichen will, geht er direkt über mein Gateway. Da stimmt doch was nicht.

Ich habe auch kein neues Interface für IPsec. Wird dort nicht wie bei OpenVPN ein Interface erstellt?

[theq86]

So, habs hinbekommen.

Das Routing scheint in der Tat korrekt zu sein. Und auch, dass kein extra Interface für IPsec existiert, wie bei OpenVPN. Es hat geholfen, im WAN den Haken bei "blockiere private Netze" zu entfernen.

[JeGr]

> Das Routing scheint in der Tat korrekt zu sein. Und auch, dass kein extra Interface für IPsec existiert, wie bei OpenVPN.

Was mich auch bei der Fehlersuche nach wie vor noch mehr stört ist, dass die per IPSec genutzten Remote Netze nicht in der normalen Routing Table auftauchen. Das macht neue Tunnel zu erstellen unnötig schwieriger sowie die Diagnose bei Fehlern ebenso, weil man sich alle Tunnel erstmal durchklicken muss ob vielleicht ein Netz doppelt genutzt wurde und welche Netze überhaupt geroutet werden müssten. Das ist mit ein Grund warum ich annähernd überall OVPN vorziehe (vom Konfigurationsaufwand abgesehen, der ebenfalls minimaler ist).

[theq86]

Tja, leider bietet Amazon keinen VPN Service auf Basis von OpenVPN. Und unser Admin weigert sich Netze anzubinden, die mit einem "selbst zusammengebastelten" VPN Gateway funktionieren.

Ich muss dazu sagen der wirkliche Tunnel wird später mit seiner liebsten Sophos XG aufgebaut werden. Ich habe die Sense jetzt nur mal getestet um zu gucken, dass alles funktioniert mit dem VPN.

Najo, es funzt. Nach mit die Sintflut :-D