IPSec RW <-> DC1 <-> DC2 wie klappt der Zugriff auf DC2



  • Hallo Fachleute,

    ich versuche schon seit einger Zeit als Testszenario folgendes hinzubekommen:

    RW <-> DC1 <-> DC2

    Roadwarrior ist ein iOS iPad welches sich mit DC1 via IPSec ikev2 Allways-ON VPN verbindet, dass klappt wunderbar nun muss dieses iPad aber auch Dienste aus DC2 nutzen diese sind jedoch
    nicht erreichbar obwohl zwischen DC1 und DC2 eine IPSec ikev2 Verbindung besteht. Ein reines Outbound NAT auf DC2 geht so nicht ganz und zu bemerken wäre das dass iPad das Internet von DC1 benutzen muss.

    Bei OpenVPN weiss ich das man zusätzlichen Routen pushen kann, jedoch kann und will ich OpenVPN nicht benutzen weil dieses ja kein Allways ON VPN in iOS kann.

    Vieleicht kann ja jemand mir auf die Sprünge helfen wie ich dies bewerkstelligen kann.

    Achso ist klar das DC1 und DC2 jeweils PFSense als Router benutzen.

    Viele Grüße
    aus Berlin


  • LAYER 8 Moderator

    ja kein Allways ON VPN in iOS kann.

    So ich un1que und die OVPN Settings vom Client verstanden habe, kann es das doch.

    Vieleicht kann ja jemand mir auf die Sprünge helfen wie ich dies bewerkstelligen kann.

    Da du für die Einwahl des RW in DC1 sehr wahrscheinlich ein eigenes Subnetz definiert hast(?) müsstest du dieses Netz als zusätzliche Phase 2 zwischen DC1 und DC2 noch einrichten. Also nicht nur das DC1-lokale Netz, sondern auch das DC1-RW Netz als lokales und DC2-Netz als Remote eintragen.
    Dann in die Konfiguration von der RW Einwahl in DC1 noch das DC2 Netz eintragen, damit das iPad auch Routen für das DC2 Netz gepusht bekommt.

    Dann sollte das eigentlich laufen. :)



  • Hier müsstest du mal schauen was nicht geht.
    Normalerweise hat das iPad eine ip aus einem VPN Netz.

    Jetzt weis dc1 wie er da hin kommt da der Tunnel bei ihm endet. Dc2 weis es nicht. Er wird den Traffic vom iPad an das default fw. geben was wohl nicht dc1 sein dürfte. Somit kommt es nicht an.

    Diese These zu testen ist einfach. Schau auf dc2 mit wireshark oder ähnlichen Tools nach ob Pakete ankommen und welche Absender ip diese Pakete haben. Siehst du Pakete vom iPad Bingo.
    Die Lösung ist dann auf dem default Gw eine Route zu setzen die zu dc1 zeigt. Dies führt aber zu asynchronem routing

    Ist das Setup aber anders z.b. iPad <- VPN -> pfSense < - Network -> dc1 hast du ein anderes zenario.
    Dann wäre von Interesse wie du das von auf der pfsense konfiguriert hast. Wenn du hier ein paar Details schreibst können wir dir sicher weiterhelfen.

    Gruß blex


Log in to reply