3
Routingproblem IPsec Tunnel
Hallo,
folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider und ist somit der Weg zum default Gateway (5.1.1.9/30), an eth2 (77.1.1.1/24) liegt das zugewiesene Netz vom Provider an und eth3 (192.168.1.1/24) ist das Netz für interne Clients. Nun soll über die IP Adresse "77.1.1.1" welche an eth2 anliegt ein IPsec Tunnel aufgebaut werden. Laut Firewall ist phase 1 + phase 2 erfolgreich aufgebaut. Dies wird auch von der Gegenseite bestätigt.
Bei den Clients ist als default Gateway die IP Adresse "192.168.1.1" - also Interface eth3 der Firewall - hinterlegt. Wenn nun ein Client Pakte verschickt die an das VPN Netz adressiert sind welches wiederum die Firewall erreichen sollte, so kommen diese Pakete wie zu erwarten am Interface eth3 der Firewall an, werden aber von dort aus dann nicht in den VPN Tunnel geroutet.
Nun ist mir zu Ohren gekommen, dass der IPsec Endpoint ein Interface sein muss, an dem direkt ein default Gateway konfiguriert ist. Das wäre in diesem Fall eth1 (5.1.1.10/30). Stimmt das? Kann der IPsec Tunnel nür über das Interface eth1 (5.1.1.10/30) und nicht über das Interface eth2 (77.1.1.1/24) der Firewall korrekt aufgebaut werden? Wenn ja, warum? Routingtechnisch sind doch beide Interfaces über das Internet erreichbar?
LG
folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider und ist somit der Weg zum default Gateway (5.1.1.9/30), an eth2 (77.1.1.1/24) liegt das zugewiesene Netz vom Provider an und eth3 (192.168.1.1/24) ist das Netz für interne Clients. Nun soll über die IP Adresse "77.1.1.1" welche an eth2 anliegt ein IPsec Tunnel aufgebaut werden. Laut Firewall ist phase 1 + phase 2 erfolgreich aufgebaut. Dies wird auch von der Gegenseite bestätigt.
Bei den Clients ist als default Gateway die IP Adresse "192.168.1.1" - also Interface eth3 der Firewall - hinterlegt. Wenn nun ein Client Pakte verschickt die an das VPN Netz adressiert sind welches wiederum die Firewall erreichen sollte, so kommen diese Pakete wie zu erwarten am Interface eth3 der Firewall an, werden aber von dort aus dann nicht in den VPN Tunnel geroutet.
Nun ist mir zu Ohren gekommen, dass der IPsec Endpoint ein Interface sein muss, an dem direkt ein default Gateway konfiguriert ist. Das wäre in diesem Fall eth1 (5.1.1.10/30). Stimmt das? Kann der IPsec Tunnel nür über das Interface eth1 (5.1.1.10/30) und nicht über das Interface eth2 (77.1.1.1/24) der Firewall korrekt aufgebaut werden? Wenn ja, warum? Routingtechnisch sind doch beide Interfaces über das Internet erreichbar?
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308925
Url: https://administrator.de/contentid/308925
Printed on: April 19, 2024 at 02:04 o'clock
3 Comments
Latest comment
Entscheidend ist was in der Routing Tabelle der UTM steht, denn das bestimmt das Forwarding auf Layer 3 (IP). Leider machst du dazu keinerlei Angaben hier so das man nur blind raten kann... 
Nur so viel. In den IPsec Credentials wird fest definiert wie das remote VPN Netzwerk lautet und das lokale. Ist der IPsec Tunnel etabliert kommt es darauf an ob Split Tunneling definiert ist oder ein Gateway Redirect. Ist die Phase 1 und 2 erfolgreich und der Tunnel wirjlich etabliert, wird diese Netzwerk Information in die L3 Forwarding Tabelle übernommen. Leider auch dazu keine Information oben..
Du strebst vermutlich ein Split Tunneling an, so das nur jeweils Traffic des remoten VPN Netzes in den Tunnel geroutet wird und nicht der gesamte Traffic wie bei einem Redirect.
Man kann nur vermuten das du bei der Konfiguration der local und remote Credentials einen Fehler gemacht hast, so das die Pakete nicht geroutet werden.
Wie gesagt ein Posting der Routing Tabelle der UTM wäre hier von großem Vorteil für eine zielführende Antwort.
Nur so viel. In den IPsec Credentials wird fest definiert wie das remote VPN Netzwerk lautet und das lokale. Ist der IPsec Tunnel etabliert kommt es darauf an ob Split Tunneling definiert ist oder ein Gateway Redirect. Ist die Phase 1 und 2 erfolgreich und der Tunnel wirjlich etabliert, wird diese Netzwerk Information in die L3 Forwarding Tabelle übernommen. Leider auch dazu keine Information oben..
Du strebst vermutlich ein Split Tunneling an, so das nur jeweils Traffic des remoten VPN Netzes in den Tunnel geroutet wird und nicht der gesamte Traffic wie bei einem Redirect.
Man kann nur vermuten das du bei der Konfiguration der local und remote Credentials einen Fehler gemacht hast, so das die Pakete nicht geroutet werden.
Wie gesagt ein Posting der Routing Tabelle der UTM wäre hier von großem Vorteil für eine zielführende Antwort.
Warum man die Pakete nicht im Tunnel sah lag an einem Firewall Bug. Trotzdem danke 
Uuhhh böses Faul ! Mit pfSense wär das nicht passiert 
