4
IPsec Verbindung geht nicht, wenn Connection Tracking an ist
Hallo,
wir nutzen Mikrotik Router (z.B. Routerboard hEX S) mit jeweils aktueller Firmware.
Diese Router haben ein lokales Netz, eine IPsec Verbindung in unseres Zentrale (aktuell gegen eine Sophos UTM Cluster) und mind. eine Internetverbindung.
Solange die Internetverbindung über ether1 geht (z.B. indem eine feste IP und Route eingetragen ist), funktioniert alles gut. Es gehen sowohl Pings ins Internet, wie auch in das Netzwerk der Zentrale durch.
Wird eine Internetverbindung an einem anderen Interface (z.B. einem PPPoE Interface, welches auf ether 1 läuft oder eine Ethernet-Verbindung auf einem anderen Interface wie ether1) aufgebaut, bekommen wir folgendes Verhalten:
Wenn "/ip firewall connection tracking set enabled=yes" gesetzt ist, geht der Ping ins Internet durch, aber nicht in das Netzwerk der Zentrale.
Wenn "/ip firewall connection tracking set enabled=no" gesetzt ist, geht der Ping ins Internet nicht durch, aber das Netzwerk der Zentrale ist wieder erreichbar.
Aus der Zentrale ist der Router in beiden Zuständen erreichbar.
Hat da jemand einen Tipp, wie ich dem Fehler ausfindig machen kann?
Vielen Dank im Voraus!
wir nutzen Mikrotik Router (z.B. Routerboard hEX S) mit jeweils aktueller Firmware.
Diese Router haben ein lokales Netz, eine IPsec Verbindung in unseres Zentrale (aktuell gegen eine Sophos UTM Cluster) und mind. eine Internetverbindung.
Solange die Internetverbindung über ether1 geht (z.B. indem eine feste IP und Route eingetragen ist), funktioniert alles gut. Es gehen sowohl Pings ins Internet, wie auch in das Netzwerk der Zentrale durch.
Wird eine Internetverbindung an einem anderen Interface (z.B. einem PPPoE Interface, welches auf ether 1 läuft oder eine Ethernet-Verbindung auf einem anderen Interface wie ether1) aufgebaut, bekommen wir folgendes Verhalten:
Wenn "/ip firewall connection tracking set enabled=yes" gesetzt ist, geht der Ping ins Internet durch, aber nicht in das Netzwerk der Zentrale.
Wenn "/ip firewall connection tracking set enabled=no" gesetzt ist, geht der Ping ins Internet nicht durch, aber das Netzwerk der Zentrale ist wieder erreichbar.
Aus der Zentrale ist der Router in beiden Zuständen erreichbar.
Hat da jemand einen Tipp, wie ich dem Fehler ausfindig machen kann?
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2372334835
Url: https://administrator.de/contentid/2372334835
Printed on: April 26, 2024 at 03:04 o'clock
4 Comments
Latest comment
- Hast du in der SRCNAT Chain die Netze der Zentrale auch vom Masquerading ausgenommen? Wenn nein nachholen!
- Wie sehen die Firewall Regeln aus? (Bitte im Klartext Posten via
/ip firewall export hide-sensitive - Hast du nach Anpassen des WAN-Interfaces auch die Interface-Liste fürs WAN aktualisiert?
- Ist die neue Internetverbindung zusätzlich zur Vorhandenen (DualWAN) oder wird die bestehende ersetzt?
- Von wo aus pingst du? Vom Router oder von einem Client? Wenn im Router hast du an die Definition der Absenderadresse/Interface gedacht?
Fragen über Fragen die sich mit einem einfachen Export der Config im Klartext in null komma nix hätten klären lassen, leider immer wieder das selbe hier ... 🤬
2
Hallo Pretty,
Dein Hinweis "Hast du in der SRCNAT Chain die Netze der Zentrale auch vom Masquerading ausgenommen?" hat ins Ziel getroffen.
Vielen lieben Dank!
Dein Hinweis "Hast du in der SRCNAT Chain die Netze der Zentrale auch vom Masquerading ausgenommen?" hat ins Ziel getroffen.
Vielen lieben Dank!
Na dann hat mein blindes Huhn sein Korn sogar am Freitag gefunden 🤪. Dachte schon an einen April-Scherz.
Sind sicher wie Quanten und verhalten sich merkwürdig wenn man sie ansehen will.
