Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    LAN und IPSEC als Failover?!?

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 318 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      anohles
      last edited by

      Hallo zusammen,

      ich verzweifle hier gerade an meinem Verständnis für die pfsense Konfig.
      Ich habe hier eine Punkt-zu-Punkt Verbindung zu einem Netz und dazu passend einen IPSEC Tunnel in das gleiche Netz.
      Jetzt will ich ein Failover realisieren bei dem zu erst die P2P Verbindung und anschließend die IPSEC genommen wird.

      Ich habe ein Routing um den P2P anzusprechen und dachte in meinem jugendlichen Wahn, dass ich einfach eine Gateway Gruppe mit dem P2P und dem IPSEC bilde. Aber Pustekuchen, ich kann kein IPSEC Gateway für eine Gruppe erstellen, weil mir die Konfig Möglichkeit nicht gegeben wird.

      Für OpenVPN habe ich Beispiele gesehen, da habe ich auch ein passendes Gateway, aber das kann ich mit der Gegenstelle nicht nutzen.

      Jetzt zu den Fragen, geht das überhaupt?
      Kann ich das über Gateway Gruppen lösen oder ist das sowieso der falsche Ansatz und ich muss das anders lösen?
      Reicht es mir bereits die Firewall Regel für die Kommunikation in beide Bereiche (IPSEC und AusgangsLAN) anzulegen und das findet sich schon?

      Viele Grüße

      Alex

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @anohles
        last edited by

        @anohles said in LAN und IPSEC als Failover?!?:

        Ich habe ein Routing um den P2P anzusprechen und dachte in meinem jugendlichen Wahn, dass ich einfach eine Gateway Gruppe mit dem P2P und dem IPSEC bilde. Aber Pustekuchen, ich kann kein IPSEC Gateway für eine Gruppe erstellen, weil mir die Konfig Möglichkeit nicht gegeben wird.

        Das liegt schlicht daran, dass Standard IPsec mit Phase 2 Policies KEIN Routing via Gateways, sondern via Policies macht. Wenn du ein Routing mit Gateways willst und an der Stelle brauchst, müsstest du einen IPsec Tunnel via VTI in Phase 2 machen. Dann wird lediglich eine Art Transfernetz wie auch bei OVPN angelegt und du kannst über das Gateway der jeweils anderen Seite ganz reguläre Systemrouten und dann auch Gateway Gruppen erstellen. Stichwort ist VTI in der IPsec Dokumentation :)

        Ansonsten geht das aber auch via OpenVPN mit zugewiesenem Interface oder mit dem neuen Wireguard ebenfalls mit zugewiesenem Interface.

        Cheers
        \jens

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.