IPSEC nur eine Verbindung gleichzeitig?



  • Hallo,

    ich habe auf meiner Fritzbox eine IPSEC-VPN zu einer pfsense-Firewall eingerichtet. Diese wird in zwei Subnetze aufgebaut, die an der Firewall hängen (2x Phase 2). Bei sind auch erreichbar.

    Wir nennen das Netz hinter der Fritzbox mal HOME und die anderen beiden hinter der Firewall A und B.

    SO:
    Wenn ich jetzt zwei Ping - t auf A und B von HOME mache. Sieht man immer schön, dass wenn ich bei dem anderen Zeitüberschreitung bekomme, der andere funktioniert. Habe auch mal eine RDP in Netz A aufgebaut und dann einen ping in Netz B abgesetzt. Und schon war die Verbindung weg. Beim Ping kann man schön sehen wie die sich bei den Verbindungen abwechseln.

    Die Frage:
    Ist das so gewollt? Wenn ja warum?

    Danke und VG



  • Wie sieht die Config-Datei(en) aus mit der du die Fritzbox fütterst? Hast du zwei oder eine Verbindung von der Fritzbox zur pfSense?
    Ich bin der Meinung das die Fritzbox zu doof für 2 mal Phase 2 ist, du müsstest 2 IPSec Verbindungen einrichten mit jeweils einer Phase 2.



  • @blinz said in IPSEC nur eine Verbindung gleichzeitig?:

    Wie sieht die Config-Datei(en) aus mit der du die Fritzbox fütterst? Hast du zwei oder eine Verbindung von der Fritzbox zur pfSense?

    Das ist ja iwie auch das witzige. Ich habe eine .cfg-Datei angelegt und da zwei Connections eingetragen. Die Fritzbox macht da 2 Connections drauß (also unter VPN sind zwei VPNs zu sehen).

    @blinz said in IPSEC nur eine Verbindung gleichzeitig?:

    du müsstest 2 IPSec Verbindungen einrichten mit jeweils einer Phase 2.

    Soll ich auf der Pfsense auch ne separate IPSEC anlegen oder die 2. Phase 2 belassen?

    Danke und VG



  • @blubb1992 said in IPSEC nur eine Verbindung gleichzeitig?:

    Soll ich auf der Pfsense auch ne separate IPSEC anlegen oder die 2. Phase 2 belassen?

    Ich würde sagen: Ausprobieren!

    Ich würde mit einer 2. IPSec Verbindung anfangen ... Die Frage ist wie man die auseinander hält ... ich würde wohl 2 verschiedene DNS-Namen nehmen, ggf. eine DynDns-Adresse und eine Subdomain die als CName darauf verweist.

    Zum Testen vielleicht einmal IP und einmal DynDns.

    Genau genommen würde ich das vielleicht ganz anders Lösung. Die pfSense kennt doch beide Zielnetze, eigentlich raucht es doch nur die richtige Regel um den Traffic da durch zu leiten ... aber die FritzBox weis es dann nicht und man müsste es dort als statische Route nachtragen ... alles nicht perfekt. Meine Lösung hätte ich wohl erst nach einigem herumprobieren.