IPsec Routing / Priorisierung

[kinch]

Hallo, guten Tag

Szenario:

3 Firewalls opnsense

Firewall 1 ist über IPsec zu Firewall 2 verbunden, nennen wir es IPsec12
Firewall 1 ist über IPsec zu Firewall 3 verbunden, nennen wir es IPsec13
Firewall 2 ist über Routing zu Firewall 3 verbunden, direkt über ein LAN-Kabel. Entsprechende Routing Einträge vorhanden.

Es funktioniert alles richtig. Ich kann egal wo her alle Netze erreichen

Aber ::::::::::

Wenn ich von einem Netz hinter Firewall 1 ein Netz von Firewall 3 erreichen möchte, nimmt es immer den Weg über das IPsec12/Firewall 2 und dann über das Routing zu Firewall 3.
Sobald ich das IPsec12 deaktiviere wird über IPsec13 kommuniziert.

Wie kann ich dies beeinflussen?
Können die IPsec Tunnels priorisiert werden?
Habe leider in der GUI keine Optionen gefunden für Prio der IPsec Tunnels oder entsprechende Routing Möglichkeiten.

Bin sehr dankbar für Hilfe.

Freundliche Grüsse
kinch

[JeGr]

Das muss ja irgendwo her kommen. Die Firewall1 kennt ja nicht von sich aus das Netz hinter 3. Theoretisch sollte sie da Netz nur via IPSEC Tunnel kennen. Wenn sie das aber via Firewall2 schickt, dann scheinst du das Netz ja auch dort in der Phase 2 zu pushen. Warum wenn es einen eingenen Tunnel dafür gibt?

Also hast du in deinem Routing einen Fehler eingebaut, da du dazu aber nichts schreibst ist alles andere Glaskugelleserei