Pfsense VTI idle
Hallo zusammen,
ich habe mehrere VPN Tunnel über mehrere Standorte eingerichtet:
Standort A:
192.168.0.0/24
VTI Interface: 10.888.20.1
Standort B:
192.168.6.0/24
VTI Interface: 10.888.20.2
Standort C:
10.2.16.0/24
Kein VTI
Von Standort A geht ein Tunnel mit VTI zu B.
Von Standort C geht ein Tunnel zu B.
Jetzt möchte ich von A auf B zugreifen über C.
Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI. Das Ende vom Lied ist das er am Standort B damit in das Internet geht
Irgendwie findet er die Route dann nicht mehr am Standort B.
Das zweite "Problem" seit der Umstellung auf VTI zwischen A & B ist das der Tunnel nach ein paar Minuten Idle keinen traffic mehr drüber lässt.
Der Tunnel ist zwar up, aber erreichbar ist die gegenseite nicht mehr. Ist das eine Einstellungssache?
Danke euch!
ich habe mehrere VPN Tunnel über mehrere Standorte eingerichtet:
Standort A:
192.168.0.0/24
VTI Interface: 10.888.20.1
Standort B:
192.168.6.0/24
VTI Interface: 10.888.20.2
Standort C:
10.2.16.0/24
Kein VTI
Von Standort A geht ein Tunnel mit VTI zu B.
Von Standort C geht ein Tunnel zu B.
Jetzt möchte ich von A auf B zugreifen über C.
Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI. Das Ende vom Lied ist das er am Standort B damit in das Internet geht
Irgendwie findet er die Route dann nicht mehr am Standort B.
Das zweite "Problem" seit der Umstellung auf VTI zwischen A & B ist das der Tunnel nach ein paar Minuten Idle keinen traffic mehr drüber lässt.
Der Tunnel ist zwar up, aber erreichbar ist die gegenseite nicht mehr. Ist das eine Einstellungssache?
Danke euch!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 458414
Url: https://administrator.de/forum/pfsense-vti-idle-458414.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo TheOnlyOne,
existiert denn eine Route am Standort B nach C und funktioniert diese auch? Also kannst du bspw. von B aus nach C pingen? Wie genau ist C an B angebunden? Ich nehme an 10.2.16.0/24 an Standort C ist das lokale LAN. Welches Transfernetz existiert denn zwischen B und C? Die Route auf B nach 10.2.16.0/24 an Standort C muss die Transfernetz (B-C) IP von Standort C als Gateway nutzen.
Und dann sollten natürlich die Firewallregeln auf allen Geräten stimmen und Forwarding aktiviert sein (was ohnehin der Fall ist, wenn es alles PfSense Geräte sind.
Ein paar weitere Infos (Konfigurationen/Screenshots/Routingtabellen) wären zur Troubleshooting ganz gut
Gruß
Ketanest
existiert denn eine Route am Standort B nach C und funktioniert diese auch? Also kannst du bspw. von B aus nach C pingen? Wie genau ist C an B angebunden? Ich nehme an 10.2.16.0/24 an Standort C ist das lokale LAN. Welches Transfernetz existiert denn zwischen B und C? Die Route auf B nach 10.2.16.0/24 an Standort C muss die Transfernetz (B-C) IP von Standort C als Gateway nutzen.
Und dann sollten natürlich die Firewallregeln auf allen Geräten stimmen und Forwarding aktiviert sein (was ohnehin der Fall ist, wenn es alles PfSense Geräte sind.
Ein paar weitere Infos (Konfigurationen/Screenshots/Routingtabellen) wären zur Troubleshooting ganz gut
Gruß
Ketanest
VTI Interface: 10.888.20.1
Sehr interessante IP Adresse !Kein Wunder das das scheitert. Verwunderlich ist nur das die pfSense solche IPs akzeptiert...?!
Aber mal zu den ToDos...
Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI.
Welches VTI ???Das grße Problem ist das du hier mit keinerlei Infos schiclderst welche Peer Beziehungen es gibt ?
So können wir nur im freien Fall raten....
Essentiell wäre es also zu wissen ob...
- B und C sternförmig an A hängen
- ...oder sternförmig an B
- ...oder ob es ein Kaskade ist A zu B und B zu C
- usw. usw.
Erster Anlaufpunkt für dich ist immer die Routing Tabelle auf der pfSense. Dort kannst du genau sehen welches IP Netz er über welches Interface "kennt".
Grundlagen zu VTIs auch hier am Beispiel von GRE Tunnel die quasi das gleiche sind nur eben eine andere Encapsulation nutzen.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Unter Dia -> Routes taucht am Standort B die route Richtung 10.2.16.0/24 nicht auf.
Deswegen musst du dort ohne VTI diese Route in den Phase 2 SAs propagieren !! Ansonsten routet dieser Hop dann Pakete für dieses Netz via default Route und damit dann Richtung Provider ins Nirwana...Traceroute und die Routing Tabelle sind hier wie immer deine Freunde !
ch muss praktisch eine zweite Phase 2 zwischen A und B aufbauen.
Nein !Du musst nur die remoten Netze dort angeben. Oder, sofern dein VPN Decive nicht die Konfiguration mehrere remoter Netze supportet musst du die Subnetzmaske des remoten Netzes entsprechend aufweiten.
Z.B. 10.2.0.0 Maske: 255.255.0.0 routet dir ALLE 10.2er Netze in den Tunnel auch wenn du mit einem /24er Prefix z.B. arbeitest.
Das setzt natürlich dann eine homogene IP Adressierung auf der remoten Seite voraus !
Außerdem fehlt noch eine statische Route auf A zum FritzBox Netz. A kann so die FB nie erreichen.
10.2.16.0 255.255.255.0 Gateway: 10.8.222.1