12
IPSec Site-to-Site OPENsense - PFsense
Hallo zusammen!
Es geht um eine Verbindung zwischen den oben genannten Firewalls.
Der Tunnel baut sich in Phase eins sowie auch in Phase zwei auf.
Weitere VPN-Verbindung sind installiert und "up", teilweise von Subnetzen teilweise nur von einzelnen IP Adressen. Diese funktionieren auch in beide Richtungen.
Jetzt aktuell habe ich das Problem, dass diese eine Verbindung nur Pakete in eine Richtung zulässt.
Die Firewall Regeln sind so gut wie identisch gesetzt je nach IP Adresse oder Subnetz.
Eine Idee warum es nur in die eine Richtung funktioniert?
VG
Es geht um eine Verbindung zwischen den oben genannten Firewalls.
Der Tunnel baut sich in Phase eins sowie auch in Phase zwei auf.
Weitere VPN-Verbindung sind installiert und "up", teilweise von Subnetzen teilweise nur von einzelnen IP Adressen. Diese funktionieren auch in beide Richtungen.
Jetzt aktuell habe ich das Problem, dass diese eine Verbindung nur Pakete in eine Richtung zulässt.
Die Firewall Regeln sind so gut wie identisch gesetzt je nach IP Adresse oder Subnetz.
Eine Idee warum es nur in die eine Richtung funktioniert?
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4573510416
Url: https://administrator.de/contentid/4573510416
Printed on: April 27, 2024 at 07:04 o'clock
12 Comments
Latest comment
Morschen.
Bitte lade mal ein paar Bilder der Tunnel Einstellungen und der Regeln hoch.
Zensiere aber öffentliche IP Adressen und Hostnamen.
Wichtig wäre zu wissen welche Subnetze in der Phase zwei bei welchem Tunnel hinterlegt sind und wir die Regeln auf den Interfaces der beiden Seiten aussehen.
Gruß
Marc
Bitte lade mal ein paar Bilder der Tunnel Einstellungen und der Regeln hoch.
Zensiere aber öffentliche IP Adressen und Hostnamen.
Wichtig wäre zu wissen welche Subnetze in der Phase zwei bei welchem Tunnel hinterlegt sind und wir die Regeln auf den Interfaces der beiden Seiten aussehen.
Gruß
Marc
Guten Morgen, vielen Dank für deine Antwort!
Das eine sozusagen die Startseite beim Kunden, die pfsense. Hier soll das Netz 192.168.0.5/24 das Terminal im RZ erreichen. (172.17.17.155)
Das Regelwerk ist erst mal "offen", um überhaupt zu prüfen, ob der Traffic funktioniert.
Bei der Firewall im Rechenzentrum kommen etliche VPN Verbindungen an, bei denen das einwandfrei funktioniert. Nur von dieser einen in dem Fall eine, pfsense, geht es nicht.
Die weiteren Verbindungen sind andere soft und Hardwarederivate.
Sprich, der Traffic, vom Terminal in das 192.168.5.0 Netzt geht einwandfrei, andersherum nicht.
Ich glaube, es liegt an der Auto-generierten Ip-sec Regel in der pfsense, die kriege ich nur nicht mal eben mehr weg...
Dies ist das RZ, eine pfsense.
Das eine sozusagen die Startseite beim Kunden, die pfsense. Hier soll das Netz 192.168.0.5/24 das Terminal im RZ erreichen. (172.17.17.155)
Das Regelwerk ist erst mal "offen", um überhaupt zu prüfen, ob der Traffic funktioniert.
Bei der Firewall im Rechenzentrum kommen etliche VPN Verbindungen an, bei denen das einwandfrei funktioniert. Nur von dieser einen in dem Fall eine, pfsense, geht es nicht.
Die weiteren Verbindungen sind andere soft und Hardwarederivate.
Sprich, der Traffic, vom Terminal in das 192.168.5.0 Netzt geht einwandfrei, andersherum nicht.
Ich glaube, es liegt an der Auto-generierten Ip-sec Regel in der pfsense, die kriege ich nur nicht mal eben mehr weg...
Dies ist das RZ, eine pfsense.
Zitat von @jogovogo:
Sprich, der Traffic, vom Terminal in das 192.168.5.0 Netzt geht einwandfrei, andersherum nicht.
Ich glaube, es liegt an der Auto-generierten Ip-sec Regel in der pfsense, die kriege ich nur nicht mal eben mehr weg...
Sprich, der Traffic, vom Terminal in das 192.168.5.0 Netzt geht einwandfrei, andersherum nicht.
Ich glaube, es liegt an der Auto-generierten Ip-sec Regel in der pfsense, die kriege ich nur nicht mal eben mehr weg...
Ich sehe bei mir keine automatisch generierte Regel bei IPSec auf der PFSense. Wenn ich IPSec aktiviere, dann ist unter den Regeln auf dem IPSec Tab alles leer :|
Kannst du denn die Regel mal auf ein any to any umbiegen?
Gruß
Marc
Da ist oben rechts ein kleiner Pfeil, dann zeigt er dir die automatisch generierte Regel an.
Hab schon eine any to any erstellt, leider mit dem gleichem Resultat.
Hab schon eine any to any erstellt, leider mit dem gleichem Resultat.
Zitat von @jogovogo:
Da ist oben rechts ein kleiner Pfeil, dann zeigt er dir die automatisch generierte Regel an.
Hab schon eine any to any erstellt, leider mit dem gleichem Resultat.
Da ist oben rechts ein kleiner Pfeil, dann zeigt er dir die automatisch generierte Regel an.
Hab schon eine any to any erstellt, leider mit dem gleichem Resultat.
Das ist dann aber die OpnSense und nicht PFSense. Letztere erstellt keine Regel automatisch unter dem IPSec Tab.
Auf der PFSense Seite hattest du eine any to any Regel schon mal aktiv?
Denn aktuell zeigt ja IPSec mit einer any Source auf die 172.17.17.155 als Destination auf der PFSense Seite.
Gruß
Marc
Hi, ja automatisch ist es bei der opensense, die Regel hatte ich testweise auch schon erstellt, machte aber kein unterschied...
Hast du auf den LAN Ports irgendwelches Regelwerk was die Kommunikation einschränkt??
Wenn du auf dem IPsec Tunnelinterface, wie du schreibst, eine Any Any Scheunentor Regel hast dann kann es eigentlich nur ein Regelwerk an den entsprechenden LAN Interfaces sein.
Hast du mal ins Firewall Log gesehen wenn du Traffic in die geblockte Richtung sendest?
Wenn du auf dem IPsec Tunnelinterface, wie du schreibst, eine Any Any Scheunentor Regel hast dann kann es eigentlich nur ein Regelwerk an den entsprechenden LAN Interfaces sein.
Hast du mal ins Firewall Log gesehen wenn du Traffic in die geblockte Richtung sendest?
Hi, habe mir das Regelwerk angeschaut und auch das Firewall livelog.
Da wird einiges blockiert, wenn ich den Ping starte kommen dafür gar keine Einträge.
Hab dann auf das Log noch einen Filter gesetzt, ausschließlich für das ipsecinterface, block.
Erscheint leider auch nichts erhellendes...
Da wird einiges blockiert, wenn ich den Ping starte kommen dafür gar keine Einträge.
Hab dann auf das Log noch einen Filter gesetzt, ausschließlich für das ipsecinterface, block.
Erscheint leider auch nichts erhellendes...
So sieht es jetzt aktuell aus. Pakete gehen scheinbar auch raus und rein aber intern geht definitiv kein Ping oder was anderes zu der 172.17.17.155.
Nur zur Sicherheit gefragt: Ein korrektes Default Gateway ist aber auf der 172.17.17.155 eingetragen?
Ein einfacher IKEv2 Testaufbau mit einer Phase 2 SA mit /32er Prefix funktioniert hier problemlos.
Ein einfacher IKEv2 Testaufbau mit einer Phase 2 SA mit /32er Prefix funktioniert hier problemlos.
Ja, da ist alles richtig. Ich hab jetzt auch noch mal die ipsec Verbindung auf beiden Seiten neu erstellt. Gleiches Ergebnis..., leider.
Da steht sowieso was neues an, denke das wir da jetzt auch eine aktuelle pfsense installieren werden.
Da steht sowieso was neues an, denke das wir da jetzt auch eine aktuelle pfsense installieren werden.
Wie gesagt...bei pfSense latest 2.6 auf OPNsense latest mit den o.a. IP Credentials rennt das hier völlig unauffällig und problemlos mit IKEv2.
Übrigens auch auf Mikrotik und Cisco Gegenstellen.
Übrigens auch auf Mikrotik und Cisco Gegenstellen.