IPsec zu einem Gateway mit mehreren Subnets
-
Hallo zusammen,
ich komme gerade irgendwie nicht weiter. Ich möchte von meiner pfsense eine IPSec mit unterschiedlichen Subnetzen zu einer sonicwall aufbauen, irgendwie scheint die pfsense aber immer nur ein Subnetz (in zwei Verbinunden) in die Phase2 zu routen, auf der Gegenseit sind alle Subnetze mit eingetragen.
Von meiner pfSense zu einer SOPHOS und drei Subnetzen hat es einwandfrei funktioniert.
Hier mal meine IPsec Einstellungen mit den entsprechenden Subnetzen:
Und hier mal der Status, in dem die pfsense immer nur zum Subnetz:
Kann mir jemand einen Tipp gegen was d schief läuft bzw. was ich ggf. falsch eingestellt habe?
Danke und Gruß
Martin -
@martin35394
Wirf mal ein Blick ins Log nach dem Verbindungsaufbau und schau, welche Netze von der Gegenstelle übermittelt werden. -
@martin35394 Leider sind die Bilder wohl nicht sauber hochgeladen worden, ich kann sie leider nicht im Topic sehen (oder mein Netz spinnt grad wieder).
Aber je nach Gegenstelle unterstützen manche Geräte es in P2 mehrere Netze zu bündeln und über eine gemeinsame Phase2 zu managen (man definiert bspw. 3 aber es wird effektiv nur eine aufgebaut mit mehreren Routen, der Tunnel also gemerged), andere können das gar nicht ab. Es könnte also sein, dass du beim Tunnel in Phase 1 "Split Tunneling" anmachen musst (oder wenn es an ist, aus, da die andere Seite vllt. genau das machen möchte).
Vielleicht ist das schon der Knackpunkt, gerade wenn sonst alles stimmt aber nur eine von X Phasen aufgebaut wird, lag es oft genug schon an sowas.
Cheers
Edit: Achso die Bilder sind via Onedrive verlinkt. Ungünstig :/ Aber gut, per copy&paste hier einfügen wäre einfacher gewesen :)
Im Bild sieht man auf deiner Seite "Multiple" also wie oben vermutet mehrere Phasen zusammengesetzt. Ggf. braucht die Sonicwall als Gegenstelle aber Split Tunneling, daher einfach mal mit dem Haken in P1 nochmal testen und bei Test die P1 komplett trennen und neu aufbauen.
Hatten wir bei Kunden schon häufiger das Problem :)