IpSec Site to Site Zugriff auf Lan erst nach einem Ping

mreczio

Moin,
ich habe zwischen zwei Standorten einen IPSec-Tunnel aufgebaut. Ich kann die Lan's auf beiden Seiten per Ping auch erreichen.
Nun mein Problem. Möchte ich mich mit einem Webserver der anderen Seite verbinden und ich habe vorher nicht ein Ping auf den DNS oder der IP ausgeführt, wird die Seite nicht geladen. Starte ich vorher ein Ping so kann ich die Webseite öffnen. Ohne Ping führt der Aufruf der Seite nach einer Zeit ins leere. Die Connectierung P1 und P2 zeigen ein sauberes Connect und es wird auch kein reconnect durchgeführt.Woran kann das liegen? Auf beiden Seiten ist eine PFsense 2.5.1 installiert.

Gruß
Martin

JeGr

@mreczio Nicht böse gemeint aber: noch weniger Infos gingen nicht? :)

Bitte mal LAN und WAN Infos. Ggf. nen kleinen/kurzen kompakten Netzplan, damit man versteht was da Phase ist. Und dann bitte auflisten, was gemacht wurde und was läuft/nicht läuft. Dazu auch mal den VPN Status und derlei anschauen.

Ist der Tunnel überhaupt aufgebaut? Dauernd? Ist die Phase2 die dafür zuständig ist überhaupt da oder wird die erst aufgebaut weil sie nicht gebraucht wurde? Sind die P2 Settings auf beiden Seiten sauber? Wurde in der P2 mal eine IP zum Pingen eingetragen (gibt ja extra nen Feld dafür). Wie ist der Tunnel überhaupt konfiguriert mit welchen Einstellungen? AES HW Beschleunigung aktiv?

Cheers

mreczio

Moin,
Ok hier weitere Infos zum Netz.
Netz A 192.168.1.0/24
Netz B 192.168.2.0/24
Verbindung der Netze über WAN per IPSEC
Die PFSense ist je nach Netz für die Server/Clients das GW
Phase 1 und Phase 2 stehen und ich kann von Seite A die Systeme in B per Ping erreichen. In die andere Richtung geht das auch.
DIe Tunnel-Einstellungen habe ich so erst einmal nicht verändert.
Firewalleinstellungen und Lan-Einstellungen sind vorhanden. Keine HW Beschleunigung aktiv.
Die Server-Namen sind in der host eingetragen.
Was ich beobachten konnte: Versuche ich den Web-Server per Browser fom Client aus zu erreichen, so wird ein Syn an den Web-Server gesendet, es kommt ein Syn-Ack zurück. Der Client sendet dann aber auch keine weiteren Pakete, versucht aber weiter die Verbindung aufzubauen.
Führe ich vorher ein Ping auf die IP des Web-Server so wird danach die Seiter ganz normal aufgebaut.

Hoffe das reicht als Info

JeGr

@mreczio Und was sagt dann das IPsec Log dazu? Wird der Aufruf im Browser erlaubt in Regeln auf beiden Seiten Was ist wenn man dem Ping Payload hinzu fügt? Wie ist der Tunnel konfiguriert in P1 und P2?

globejack

@mreczio Klingt mir nach einem Problem mit der MTU. Versuch mal folgendes: ping -f -l 2000 192.168.1.200 (Syntax für Windows)

Wenn der sauber durchgeht, dann liege ich falsch und es liegt nicht an der MTU. Dann tippe ich auf schräge Firewallregeln.

Wenn aber der Ping fehlschlägt, dann verringere die Größe von 2000 auf 1200. Dann geht er recht sicher durch. -> Rechere bzgl. MTU als Hausaufgabe.