OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • IPSEC und CARP-HA Backup-Node nicht erreichbar
« previous next »
  • Print
Pages: [1]

Author Topic: IPSEC und CARP-HA Backup-Node nicht erreichbar  (Read 3026 times)

Wayne Train

  • Full Member
  • ***
  • Posts: 194
  • Karma: 12
    • View Profile
IPSEC und CARP-HA Backup-Node nicht erreichbar
« on: April 20, 2018, 10:59:18 am »
Hi,

wir betreiben die OPN als CARP-Cluster. Darüber hinaus ist unser Office mit einem anderen Standort über einen Site to Site Tunnel verbunden. Dieser läuft auch prima, nur das ich am zweiten Standort die Backup-Firewall über den Tunnel nicht erreichen kann.
Anfangs dachte ich, dass es eventuell eine Routing-Issue ist, mittlerweile vermute ich das Problem aber eher in IPSec. Ich vermute, dass die Backup-FW denkt, sie könnte ihre Pakete durch ihren eigenen Tunnel schicken, obwohl der Tunnel ja über die CARP-VIP bereits auf dem Master aufgebaut ist. Ich hoffe ich habe mich verständlich ausgedrückt. Hat jemand eine Idee wo ich mit dem Debuggen starten könnte um das Problem zu beheben ?

Ein Tipp wäre super. Danke!

MFG
Wayne
Logged

JeGr

  • Hero Member
  • *****
  • Posts: 1945
  • Karma: 227
  • old man standing
    • View Profile
Re: IPSEC und CARP-HA Backup-Node nicht erreichbar
« Reply #1 on: April 21, 2018, 10:47:02 am »
Das sollte auch genau der Grund sein. Selbst wenn ein Tunnel nicht oben ist, ist es m.W. so, dass die Route intern vorhanden ist und somit der Backup Node denkt, er kann die Pakete direkt zustellen, was nicht der Fall ist. Wenn du den Backup Node also via VPN erreichen können musst, geht das evtl nur mit einer manual Outbound NAT Regel, dass du den Traffic der vom Remote Netz an die Firewalls kommt mit einer Regel einfängst, so dass der Backup Node dann denkt, dass er von der anderen Firewall kommt und den dahin schickt.
Logged
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

Wayne Train

  • Full Member
  • ***
  • Posts: 194
  • Karma: 12
    • View Profile
Re: IPSEC und CARP-HA Backup-Node nicht erreichbar
« Reply #2 on: April 23, 2018, 10:30:19 am »
Hi,

nur damit ich dich richtig verstehe: Meinst du die remote Netze auf dem Backup auf die Carp-IP natten, oder die eigene WAN-IP auf die Carp-IP natten ?

Logged

Wayne Train

  • Full Member
  • ***
  • Posts: 194
  • Karma: 12
    • View Profile
Re: IPSEC und CARP-HA Backup-Node nicht erreichbar
« Reply #3 on: April 23, 2018, 11:35:04 am »
So...
ich natte jetzt mein remote Netz, mit dem ich auf die beiden Nodes zugreifen will, auf deren Interface-Adresse im jewiligen Netz und dann funktioniert der Zugriff auch. Also als Beispiel, falls noch jemand das Problem hat...

remote-net: 10.1.1.0/24
local-net: 10.2.2.0/24
fw1: 10.2.2.1
fw2: 10.2.2.2


NAT
source: 10.1.1.0/24
interface: local-net-interface
destination: Alias mit fw1 und fw2
translation-target: local-net-address

@JeGr: Dir nochmal vielen Dank für den Tipp. Ans natten habe ich garnicht mehr gedacht, da ich zu sehr auf IPsec fixiert war.

MFG
Wayne
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • IPSEC und CARP-HA Backup-Node nicht erreichbar
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2