IPsec Verbindung geht nicht, wenn Connection Tracking an ist

m-jelinski
Goto Top
Hallo,

wir nutzen Mikrotik Router (z.B. Routerboard hEX S) mit jeweils aktueller Firmware.

Diese Router haben ein lokales Netz, eine IPsec Verbindung in unseres Zentrale (aktuell gegen eine Sophos UTM Cluster) und mind. eine Internetverbindung.

Solange die Internetverbindung über ether1 geht (z.B. indem eine feste IP und Route eingetragen ist), funktioniert alles gut. Es gehen sowohl Pings ins Internet, wie auch in das Netzwerk der Zentrale durch.

Wird eine Internetverbindung an einem anderen Interface (z.B. einem PPPoE Interface, welches auf ether 1 läuft oder eine Ethernet-Verbindung auf einem anderen Interface wie ether1) aufgebaut, bekommen wir folgendes Verhalten:

Wenn "/ip firewall connection tracking set enabled=yes" gesetzt ist, geht der Ping ins Internet durch, aber nicht in das Netzwerk der Zentrale.
Wenn "/ip firewall connection tracking set enabled=no" gesetzt ist, geht der Ping ins Internet nicht durch, aber das Netzwerk der Zentrale ist wieder erreichbar.
Aus der Zentrale ist der Router in beiden Zuständen erreichbar.

Hat da jemand einen Tipp, wie ich dem Fehler ausfindig machen kann?

Vielen Dank im Voraus!

Content-Key: 2372334835

Url: https://administrator.de/contentid/2372334835

Ausgedruckt am: 04.07.2022 um 05:07 Uhr

Mitglied: 1915348599
Lösung 1915348599 01.04.2022 aktualisiert um 17:04:19 Uhr
Goto Top
  • Hast du in der SRCNAT Chain die Netze der Zentrale auch vom Masquerading ausgenommen? Wenn nein nachholen!
  • Wie sehen die Firewall Regeln aus? (Bitte im Klartext Posten via /ip firewall export hide-sensitive
  • Hast du nach Anpassen des WAN-Interfaces auch die Interface-Liste fürs WAN aktualisiert?
  • Ist die neue Internetverbindung zusätzlich zur Vorhandenen (DualWAN) oder wird die bestehende ersetzt?
  • Von wo aus pingst du? Vom Router oder von einem Client? Wenn im Router hast du an die Definition der Absenderadresse/Interface gedacht?

Fragen über Fragen die sich mit einem einfachen Export der Config im Klartext in null komma nix hätten klären lassen, leider immer wieder das selbe hier ... 🤬
Mitglied: m-jelinski
m-jelinski 01.04.2022 um 17:04:47 Uhr
Goto Top
Hallo Pretty,

Dein Hinweis "Hast du in der SRCNAT Chain die Netze der Zentrale auch vom Masquerading ausgenommen?" hat ins Ziel getroffen.

Vielen lieben Dank!
Mitglied: 1915348599
1915348599 01.04.2022 aktualisiert um 17:14:06 Uhr
Goto Top
Na dann hat mein blindes Huhn sein Korn sogar am Freitag gefunden 🤪. Dachte schon an einen April-Scherz.
Mitglied: Xerebus
Xerebus 01.04.2022 um 22:53:27 Uhr
Goto Top
Sind sicher wie Quanten und verhalten sich merkwürdig wenn man sie ansehen will.