tvprog1
Goto Top

Routingproblem IPsec Tunnel

Hallo,

folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider und ist somit der Weg zum default Gateway (5.1.1.9/30), an eth2 (77.1.1.1/24) liegt das zugewiesene Netz vom Provider an und eth3 (192.168.1.1/24) ist das Netz für interne Clients. Nun soll über die IP Adresse "77.1.1.1" welche an eth2 anliegt ein IPsec Tunnel aufgebaut werden. Laut Firewall ist phase 1 + phase 2 erfolgreich aufgebaut. Dies wird auch von der Gegenseite bestätigt.

Bei den Clients ist als default Gateway die IP Adresse "192.168.1.1" - also Interface eth3 der Firewall - hinterlegt. Wenn nun ein Client Pakte verschickt die an das VPN Netz adressiert sind welches wiederum die Firewall erreichen sollte, so kommen diese Pakete wie zu erwarten am Interface eth3 der Firewall an, werden aber von dort aus dann nicht in den VPN Tunnel geroutet.

Nun ist mir zu Ohren gekommen, dass der IPsec Endpoint ein Interface sein muss, an dem direkt ein default Gateway konfiguriert ist. Das wäre in diesem Fall eth1 (5.1.1.10/30). Stimmt das? Kann der IPsec Tunnel nür über das Interface eth1 (5.1.1.10/30) und nicht über das Interface eth2 (77.1.1.1/24) der Firewall korrekt aufgebaut werden? Wenn ja, warum? Routingtechnisch sind doch beide Interfaces über das Internet erreichbar?

LG

Content-ID: 308925

Url: https://administrator.de/contentid/308925

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

aqui
aqui 05.07.2016 aktualisiert um 08:41:34 Uhr
Goto Top
Entscheidend ist was in der Routing Tabelle der UTM steht, denn das bestimmt das Forwarding auf Layer 3 (IP). Leider machst du dazu keinerlei Angaben hier so das man nur blind raten kann... face-sad
Nur so viel. In den IPsec Credentials wird fest definiert wie das remote VPN Netzwerk lautet und das lokale. Ist der IPsec Tunnel etabliert kommt es darauf an ob Split Tunneling definiert ist oder ein Gateway Redirect. Ist die Phase 1 und 2 erfolgreich und der Tunnel wirjlich etabliert, wird diese Netzwerk Information in die L3 Forwarding Tabelle übernommen. Leider auch dazu keine Information oben..
Du strebst vermutlich ein Split Tunneling an, so das nur jeweils Traffic des remoten VPN Netzes in den Tunnel geroutet wird und nicht der gesamte Traffic wie bei einem Redirect.
Man kann nur vermuten das du bei der Konfiguration der local und remote Credentials einen Fehler gemacht hast, so das die Pakete nicht geroutet werden.
Wie gesagt ein Posting der Routing Tabelle der UTM wäre hier von großem Vorteil für eine zielführende Antwort.
tvprog1
tvprog1 12.07.2016 um 18:29:22 Uhr
Goto Top
Warum man die Pakete nicht im Tunnel sah lag an einem Firewall Bug. Trotzdem danke face-smile
aqui
aqui 16.07.2016 um 13:13:39 Uhr
Goto Top
Uuhhh böses Faul ! Mit pfSense wär das nicht passiert face-wink