Internet Übertragungsprobleme über VPN Tunnel

zickzack2021

Hallo an alle hier im Forum,

ich habe 2 PFsensen mittels routed IPSEC VPN verbunden. Die Verbindung funktioniert einwandfrei ohne jegliche Probleme.

Jetzt wollte ich das ein PC an Standort A über das Internet vom Standort B ins Netz kommt. Dazu habe ich in den Firewall Regeln eine Regel mit dem VPN Interface als Gateway erstellt und aktiviert.

Allerdings habe ich das Problem das das Surfen leider nicht sauber funktioniert. ein Ping und auch die DNS Auflösung funktionieren einwandfrei und wenn ich ein tracert mache geht die Anfrage auch über die Pfsense an Standort B raus. Allerdings bauen sich die Seiten nicht auf, oder aber die eine oder andere Seite öffnet sich ein wenig und lädt dann nicht fertig. Habe ich noch etwas besonderes übersehen was ich noch einstellen muss?

Vielen Dank schon mal für eure Tipps

Grüße
Marco

JeGr

@zickzack2021 Ich bin mir gerade unschlüssig aber das könnte bedingt sein durch das (noch vorhandene) Fehlen des reply-to Tags bei VTI Tunneln. Ich vermute mal das Problem spielt hier hinein:

https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html#caveats

Firewall rule processing can be confusing, as mentioned in Routed IPsec Firewall Rules. This is still undergoing testing, but likely means that reply-to will not function. There are also known issues with NAT, notably that NAT to the interface address works but 1:1 NAT or NAT to an alternate address does not work.

Reply-to funktioniert wohl bei VTI Tunneln noch nicht und auch bei NAT gibt es Limitationen und Probleme. Daher kommt dein Problem sehr wahrscheinlich daher, dass beim Rausgehen über den Tunnel und die andere Leitung dann outbound geNATtet wird und dabei dann ggf. die reply-to und NAT Probleme zum Tragen kommen und es problematisch machen.

Es könnte natürlich auch noch was anderes sein, aber ohne detailliertere Infos zu Regeln, NAT und Routen ist das schwer zu sagen.

Was sich einfach machen lassen sollte wäre den Tunnel durch einen OpenVPN Tunnel zu ersetzen und nachzusehen, ob der Case dann funktioniert (was er sollte, da es ein simples Szenario für OVPN ist). Funktioniert es mit der annähernd gleichen Konfiguration mit OVPN wird es wahrscheinlich das Problem von VTI sein.

Cheers

viragomann

@jegr
Nein, reply-to kommt hier nicht zum Tragen.
Die Quell-IP des über die VPN gerouteten und dann ins Internet raus gehenden Pakets ist eine interne, für welche ein Route im Remote-System bestehen muss. Ansonsten würde die interne Kommunikation zwischen den beiden Seiten ebenso nicht funktionieren. reply-to ist dafür gedacht, Reply-Pakete zu einer Public-IP wieder zum richtigen Gateway zurück zu routen (für den Fall, dass der Request nicht über das Default Gateway reinkommt).

Das Problem hier klingt doch nach einem asymmetrischen Routing, doch ich kann mir nicht erklären, wie das hier zustande kommen sollte.

JeGr

@viragomann Darum meinte ich auch, es könnte das oder die NAT Problematik sein:

There are also known issues with NAT, notably that NAT to the interface address works but 1:1 NAT or NAT to an alternate address does not work.

Da ich nicht weiß/sehen kann, wie @zickzack2021 die sensen auf beiden Seiten konfiguriert hat und was da an NAT, CARP oder sonstwas dran hängt, bin ich da auch im Blindflug, wenngleich ich dir recht gebe, dass sich das im Prinzip schon eher nach asym. Routing anhört. Aber auch da müssen wir ja raten, weil wir nicht wissen, wie Standort A/B ins Internet angebunden sind und ob die Sensen auch das Default GW im Netz sind. :)