Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pfsense VTI idle

Mitglied: TheOnlyOne

TheOnlyOne (Level 1) - Jetzt verbinden

02.06.2019 um 09:45 Uhr, 570 Aufrufe, 8 Kommentare

Hallo zusammen,

ich habe mehrere VPN Tunnel über mehrere Standorte eingerichtet:

Standort A:
192.168.0.0/24
VTI Interface: 10.888.20.1

Standort B:
192.168.6.0/24
VTI Interface: 10.888.20.2

Standort C:
10.2.16.0/24
Kein VTI

Von Standort A geht ein Tunnel mit VTI zu B.
Von Standort C geht ein Tunnel zu B.

Jetzt möchte ich von A auf B zugreifen über C.

Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI. Das Ende vom Lied ist das er am Standort B damit in das Internet geht
Irgendwie findet er die Route dann nicht mehr am Standort B.

Das zweite "Problem" seit der Umstellung auf VTI zwischen A & B ist das der Tunnel nach ein paar Minuten Idle keinen traffic mehr drüber lässt.
Der Tunnel ist zwar up, aber erreichbar ist die gegenseite nicht mehr. Ist das eine Einstellungssache?

Danke euch!
Mitglied: St-Andreas
02.06.2019 um 11:14 Uhr
Moin,

10.888.20.x?
Bitte warten ..
Mitglied: ketanest112
02.06.2019 um 11:18 Uhr
Hallo TheOnlyOne,

existiert denn eine Route am Standort B nach C und funktioniert diese auch? Also kannst du bspw. von B aus nach C pingen? Wie genau ist C an B angebunden? Ich nehme an 10.2.16.0/24 an Standort C ist das lokale LAN. Welches Transfernetz existiert denn zwischen B und C? Die Route auf B nach 10.2.16.0/24 an Standort C muss die Transfernetz (B-C) IP von Standort C als Gateway nutzen.
Und dann sollten natürlich die Firewallregeln auf allen Geräten stimmen und Forwarding aktiviert sein (was ohnehin der Fall ist, wenn es alles PfSense Geräte sind.

Ein paar weitere Infos (Konfigurationen/Screenshots/Routingtabellen) wären zur Troubleshooting ganz gut

Gruß
Ketanest
Bitte warten ..
Mitglied: aqui
02.06.2019, aktualisiert um 11:28 Uhr
VTI Interface: 10.888.20.1
Sehr interessante IP Adresse !
Kein Wunder das das scheitert. Verwunderlich ist nur das die pfSense solche IPs akzeptiert...?!
Aber mal zu den ToDos...
Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI.
Welches VTI ???
Das grße Problem ist das du hier mit keinerlei Infos schiclderst welche Peer Beziehungen es gibt ?
So können wir nur im freien Fall raten....
Essentiell wäre es also zu wissen ob...
  • B und C sternförmig an A hängen
  • ...oder sternförmig an B
  • ...oder ob es ein Kaskade ist A zu B und B zu C
  • usw. usw.
Durch die wechselnde Konfig einmal mit VTI und einmal ohne musst du in den VTIs statische Routen verwenden in den Tunneln ohne VTP aber die Routen über die Phase 2 SA austauschen lassen.
Erster Anlaufpunkt für dich ist immer die Routing Tabelle auf der pfSense. Dort kannst du genau sehen welches IP Netz er über welches Interface "kennt".
Grundlagen zu VTIs auch hier am Beispiel von GRE Tunnel die quasi das gleiche sind nur eben eine andere Encapsulation nutzen.
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
Bitte warten ..
Mitglied: TheOnlyOne
02.06.2019 um 11:25 Uhr
Hallo Ketanest,

zwischen Standort B und C existiert ein normaler iPSec ohne VTI. Standort C ist leider nur eine FritzBox. Daher scheidet VTI schon mal aus.

Das wird glaube ich auch das Grundproblem sein?

Unter Dia -> Routes taucht am Standort B die route Richtung 10.2.16.0/24 nicht auf.

Das 10.2.16.0/24 Netz ist das lokale Netz des Standortes C, ja
Bitte warten ..
Mitglied: aqui
02.06.2019, aktualisiert um 11:33 Uhr
Unter Dia -> Routes taucht am Standort B die route Richtung 10.2.16.0/24 nicht auf.
Deswegen musst du dort ohne VTI diese Route in den Phase 2 SAs propagieren !! Ansonsten routet dieser Hop dann Pakete für dieses Netz via default Route und damit dann Richtung Provider ins Nirwana...
Traceroute und die Routing Tabelle sind hier wie immer deine Freunde !
Bitte warten ..
Mitglied: TheOnlyOne
02.06.2019 um 15:49 Uhr
Danke aqui,
das macht Sinn
Ich muss praktisch eine zweite Phase 2 zwischen A und B aufbauen.

Jetzt stellt sich mir nur die Frage warum nach kurzer zeit kein Traffic mehr zwischen A und B geht (VTI)

hast du da eine Idee?
Tunnel steht aber kein troughput.
Bitte warten ..
Mitglied: TheOnlyOne
02.06.2019 um 17:33 Uhr
Sorry diesen ausführlichen Kommentar habe ich zuerst nicht gesehen.
Ich habe das eben mal in Visio shematisch dargestellt.
vti - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
04.06.2019, aktualisiert um 13:06 Uhr
ch muss praktisch eine zweite Phase 2 zwischen A und B aufbauen.
Nein !
Du musst nur die remoten Netze dort angeben. Oder, sofern dein VPN Decive nicht die Konfiguration mehrere remoter Netze supportet musst du die Subnetzmaske des remoten Netzes entsprechend aufweiten.
Z.B. 10.2.0.0 Maske: 255.255.0.0 routet dir ALLE 10.2er Netze in den Tunnel auch wenn du mit einem /24er Prefix z.B. arbeitest.
Das setzt natürlich dann eine homogene IP Adressierung auf der remoten Seite voraus !

Außerdem fehlt noch eine statische Route auf A zum FritzBox Netz. A kann so die FB nie erreichen.
10.2.16.0 255.255.255.0 Gateway: 10.8.222.1
Bitte warten ..
Ähnliche Inhalte
Windows 8
IDL Installations Probleme
Frage von FragnantWindows 83 Kommentare

Hallo, ich bin dabei IDL auf einem Userpc zu Installieren & hänge momentan an folgendem Fehler fest. Habe schon ...

Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Neue Wissensbeiträge
Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 10 StundenWindows 10

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Off Topic
Computermuseum Stuttgart
Tipp von NixVerstehen vor 17 StundenOff Topic1 Kommentar

Hallo zusammen, letzte Woche habe ich mit meinem 16-jährigen Sohn das Computermuseum Stuttgart (Uni Stuttgart) besucht, um ihm und ...

Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 22 StundenWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 1 TagWindows 105 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Heiß diskutierte Inhalte
Server
Wie kommunizieren Server ?
gelöst Frage von A12345Server25 Kommentare

Hallo liebe Forumsgemeinde, ich bin ein absoluter Neuling und habe nicht viel Ahnung von der IT. Allerdings habe ich ...

Server
ODBC Verbindung zu MYSQL funktioniert beim Einrichten nicht
Frage von martenkServer22 Kommentare

Guten Tag, versuche gerade von meinem PC eine ODBC Testverbindung zu meinem Server (bei 1und1) aufzubauen habe dazu mysql ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement20 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk19 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...