IPsec routing?

shinduke

Hallo zusammen,

ich bin noch recht neu in PFsense und stehe bereits vor meinem ersten Problem.

Folgendes Scenario:

Ich habe einen IPsec tunnel eingerichtet und laut Übersicht ist dieser auch aktiv. Mein Gegenüber kann per "tracert" auf eine meiner IPs nachweisen, dass er direkt 2 Hops hat und auf der IP landet. Bei mir sieht das jedoch anders aus. Wenn ich die IP von meinem Gegenüber eingebe, bekomme ich als erste IP meine FW und dann geht er scheinbar ins Internet. Meine Vermutung ist, dass hier eine Route oder sowas fehlt.

Die Infos:

• unser Netz: 192.168.157.0 / 24
• Kundennetz: 10.1.100.0 / 24

Der IPsec Tunnel ist mit P1 und P2 eingerichtet.

NAT Outbound ist auf automatisch.

IPces Regeln sind mit IPv4 any to any offen

Ich hoffe ihr könnt mir helfen. Sollten Infos fehlen kann ich diese direkt nachreichen.
Ich hoffe ihr könnt mir hier helfen und mir sagen wo ich was einrichten muss.

JeGr

Der IPsec Tunnel ist mit P1 und P2 eingerichtet.

Wenn das korrekt eingerichtet ist, dann setzt IPSEC die Routen selbst, die tauchen leider auch nicht im System in der Routing Tabelle auf. Was bringt dich auf die Idee, dass es danach "scheinbar ins Internet" geht?

shinduke

Naja zum einen ist die IP Adresse des Ziels nicht pingbar und wenn ich nen tracert von einem Client aus unserem Netz auf die IP des Ziel-Servers mache kommen 30 Hops wovon nur der erste sichtbar ist.
Umgekehrt, wie gesagt macht der Kunde 2 Hops: 1 FW des Kunden 2 die Ip des Clients

shinduke

Hier der Status.

JeGr

kommen 30 Hops wovon nur der erste sichtbar ist.

Das heißt nicht, dass es ins Internet geht, ansonsten hättest du dort IPs stehen von extern/WAN Seite
Sternchen heißt nur dass er keine Antwort bekommt.

Umgekehrt, wie gesagt macht der Kunde 2 Hops: 1 FW des Kunden 2 die Ip des Clients

Das heißt lediglich dass deine Seite Pakete annimmt und durchreicht. Hat der Spezi auf der anderen Seite denn seine Firewall Regeln auf IPSEC Seite freigegeben? Sonst ists kein Wunder dass du nirgends hinkommst…

shinduke

Hmm…Guter Einwand... Ich geh dem Herren mal auf den zahn fühlen

JeGr

Fun Fact: Von mehreren Dutzend Support Anfragen von Firmen zu pfSense + IPSec (oder auch OpenVPN) waren komischerweise <10% Fehler der pfSense. Allermeistens waren es die Gegenstellen, die

1. falsch konfiguriert waren (einfach)
2. andere Werte zum Verbindungsaufbau genutzt haben (mittelschwer böse)
3. andere VPN Strecken oder Routen, an die man nicht mehr dachte, die überlappt haben und deshalb für Chaos gesorgt haben
4. oder sich die Gegenseite fast gar nicht um Standards geschert hat.

Insofern - lieber nochmal prüfen ;)