jogovogo
Goto Top

IPSec Site-to-Site OPENsense - PFsense

Hallo zusammen!

Es geht um eine Verbindung zwischen den oben genannten Firewalls.

Der Tunnel baut sich in Phase eins sowie auch in Phase zwei auf.

Weitere VPN-Verbindung sind installiert und "up", teilweise von Subnetzen teilweise nur von einzelnen IP Adressen. Diese funktionieren auch in beide Richtungen.

Jetzt aktuell habe ich das Problem, dass diese eine Verbindung nur Pakete in eine Richtung zulässt.

Die Firewall Regeln sind so gut wie identisch gesetzt je nach IP Adresse oder Subnetz.

Eine Idee warum es nur in die eine Richtung funktioniert?

VG

Content-ID: 4573510416

Url: https://administrator.de/contentid/4573510416

Ausgedruckt am: 05.11.2024 um 11:11 Uhr

radiogugu
radiogugu 11.11.2022 um 07:34:30 Uhr
Goto Top
Morschen.

Bitte lade mal ein paar Bilder der Tunnel Einstellungen und der Regeln hoch.

Zensiere aber öffentliche IP Adressen und Hostnamen.

Wichtig wäre zu wissen welche Subnetze in der Phase zwei bei welchem Tunnel hinterlegt sind und wir die Regeln auf den Interfaces der beiden Seiten aussehen.

Gruß
Marc
jogovogo
jogovogo 11.11.2022 um 08:19:15 Uhr
Goto Top
Guten Morgen, vielen Dank für deine Antwort!

Das eine sozusagen die Startseite beim Kunden, die pfsense. Hier soll das Netz 192.168.0.5/24 das Terminal im RZ erreichen. (172.17.17.155)

Das Regelwerk ist erst mal "offen", um überhaupt zu prüfen, ob der Traffic funktioniert.

Bei der Firewall im Rechenzentrum kommen etliche VPN Verbindungen an, bei denen das einwandfrei funktioniert. Nur von dieser einen in dem Fall eine, pfsense, geht es nicht.
Die weiteren Verbindungen sind andere soft und Hardwarederivate.

Sprich, der Traffic, vom Terminal in das 192.168.5.0 Netzt geht einwandfrei, andersherum nicht.
Ich glaube, es liegt an der Auto-generierten Ip-sec Regel in der pfsense, die kriege ich nur nicht mal eben mehr weg...


untitled 6

untitled 9

Dies ist das RZ, eine pfsense.


untitled 5
untitled 8
radiogugu
radiogugu 11.11.2022 um 09:17:42 Uhr
Goto Top
Zitat von @jogovogo:
Sprich, der Traffic, vom Terminal in das 192.168.5.0 Netzt geht einwandfrei, andersherum nicht.
Ich glaube, es liegt an der Auto-generierten Ip-sec Regel in der pfsense, die kriege ich nur nicht mal eben mehr weg...

Ich sehe bei mir keine automatisch generierte Regel bei IPSec auf der PFSense. Wenn ich IPSec aktiviere, dann ist unter den Regeln auf dem IPSec Tab alles leer :|

Kannst du denn die Regel mal auf ein any to any umbiegen?

Gruß
Marc
jogovogo
jogovogo 11.11.2022 um 09:23:09 Uhr
Goto Top
Da ist oben rechts ein kleiner Pfeil, dann zeigt er dir die automatisch generierte Regel an.

Hab schon eine any to any erstellt, leider mit dem gleichem Resultat.
radiogugu
radiogugu 11.11.2022 aktualisiert um 09:30:42 Uhr
Goto Top
Zitat von @jogovogo:
Da ist oben rechts ein kleiner Pfeil, dann zeigt er dir die automatisch generierte Regel an.

Hab schon eine any to any erstellt, leider mit dem gleichem Resultat.

Das ist dann aber die OpnSense und nicht PFSense. Letztere erstellt keine Regel automatisch unter dem IPSec Tab.

Auf der PFSense Seite hattest du eine any to any Regel schon mal aktiv?

Denn aktuell zeigt ja IPSec mit einer any Source auf die 172.17.17.155 als Destination auf der PFSense Seite.

Gruß
Marc
jogovogo
jogovogo 11.11.2022 um 11:18:18 Uhr
Goto Top
Hi, ja automatisch ist es bei der opensense, die Regel hatte ich testweise auch schon erstellt, machte aber kein unterschied...
aqui
aqui 12.11.2022 um 17:31:36 Uhr
Goto Top
Hast du auf den LAN Ports irgendwelches Regelwerk was die Kommunikation einschränkt??
Wenn du auf dem IPsec Tunnelinterface, wie du schreibst, eine Any Any Scheunentor Regel hast dann kann es eigentlich nur ein Regelwerk an den entsprechenden LAN Interfaces sein.
Hast du mal ins Firewall Log gesehen wenn du Traffic in die geblockte Richtung sendest?
jogovogo
jogovogo 12.11.2022 um 18:37:56 Uhr
Goto Top
Hi, habe mir das Regelwerk angeschaut und auch das Firewall livelog.

Da wird einiges blockiert, wenn ich den Ping starte kommen dafür gar keine Einträge.

Hab dann auf das Log noch einen Filter gesetzt, ausschließlich für das ipsecinterface, block.
Erscheint leider auch nichts erhellendes...
jogovogo
jogovogo 12.11.2022 um 19:12:30 Uhr
Goto Top
So sieht es jetzt aktuell aus. Pakete gehen scheinbar auch raus und rein aber intern geht definitiv kein Ping oder was anderes zu der 172.17.17.155.

untitled 10
aqui
aqui 14.11.2022 um 13:19:36 Uhr
Goto Top
Nur zur Sicherheit gefragt: Ein korrektes Default Gateway ist aber auf der 172.17.17.155 eingetragen?
Ein einfacher IKEv2 Testaufbau mit einer Phase 2 SA mit /32er Prefix funktioniert hier problemlos.
jogovogo
jogovogo 15.11.2022 um 19:27:38 Uhr
Goto Top
Ja, da ist alles richtig. Ich hab jetzt auch noch mal die ipsec Verbindung auf beiden Seiten neu erstellt. Gleiches Ergebnis..., leider.

Da steht sowieso was neues an, denke das wir da jetzt auch eine aktuelle pfsense installieren werden.
aqui
aqui 16.11.2022 um 12:32:52 Uhr
Goto Top
Wie gesagt...bei pfSense latest 2.6 auf OPNsense latest mit den o.a. IP Credentials rennt das hier völlig unauffällig und problemlos mit IKEv2.
Übrigens auch auf Mikrotik und Cisco Gegenstellen. face-wink