Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Innerhalb IPSec kein Ping in das Local Network möglich

    Deutsch
    3
    9
    147
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      Hugh86
      last edited by Hugh86

      Liebes Team, liebe Kollegen,
      ich komme leider nicht mehr weiter. Mein IPSec Tunnel läuft soweit einwandfrei innerhalb pfsense+ mit Lite Support (als VM mittels fixer WAN-IP) und einer OPNSense (als VM mittels Dyndns-IP). Dies zeigt sich unter "VPN: IPsec: Statusübersicht" und "StatusIPsecOverview".
      Die Firewall Regeln wurden ebenso angewandt und werden ausgeführt.

      Leider habe ich immer noch das Problem, dass kein Ping von Standort A/B auf die Netzstrukur des jeweiligen anderen durchkommt.

      Lediglich ein Ping von Standort B auf die pfsense+ (Standort A) funktioniert. Sollte ich aber andere Geräte anpingen kommt keine Reaktion. Gleiches ist mit dem öffnen von Netzlaufwerken etc. über Windows.

      Von Standort A kann ich auf die OPNSense von Standort B pingen. Das heißt, auch dies funktioniert.

      Ich weiß nicht mehr weiter.

      Wie funktioniert das mit dem Support?

      Herzlichen Dank für eure Hilfen.

      Matthias

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @Hugh86
        last edited by

        @Hugh86
        Hallo,

        welche IPSec ist die VPN in diesem Fall, Policy-based od. VTI?

        Sind beide Firewall im jeweiligen lokalen Netzwerk das Standardgateway?

        Mit dem pingen der jeweiligen Remote-FW meinst du deren LAN IP, richtig?

        1 Reply Last reply Reply Quote 0
        • H
          Hugh86
          last edited by

          Hey,

          kein VTI.
          An Standort A ist die pfsense+ kein Standardgateway, an Standort B (Remote) ist die opnsense standardgateway, also ja.
          Genau: ich Pinge von Standort B die Firewall an Standort A an und das funktioniert sogar wechselseitig. Dito von Standort A.

          Herzlichen Dank!

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @Hugh86
            last edited by

            @Hugh86 said in Innerhalb IPSec kein Ping in das Local Network möglich:

            An Standort A ist die pfsense+ kein Standardgateway

            Da schicken die lokalen Geräte jedoch ihre Pakete für Ziele außerhalb des eigenen Subnetzes hin, also eben Anfragen an IPs im Subnetz von B wie auch Antworten auf Anfragen von solchen.
            So kann also nichts laufen.

            Wenn der VPN Endpunkt nicht das Standardgateway ist, hast du für bidirektionale Verbindungen 2 Möglichkeiten:

            • du entfernst ihn aus dem LAN (aus dem Subnetz, in welchem Geräte mit der Remoteseite kommunizieren möchten) und bringst ihn in ein gesondertes Netzwerksegment des Routers / Standardgateways (Transit-Netz). Auf dem Router definierst du dann eine statische Route für das Remote-Netz auf die pfSense.
            • du setzt diese statische Route auf jedem einzelnen Gerät, das mit der Remoteseite kommunizieren können soll.
              Statische Routen lassen sich auch per DHCP zuweisen. D.h., wenn DHCP für die Geräte genutzt wird, könntest du das dennoch zentral machen.

            Für einseitige Verbindungen von B nach A könntest du auf der pfSense auch Masquerading mittels einer Outbound NAT Regel machen. Das hat jedoch den Nachteil, dass die lokalen Geräte dann die pfSense Interface IP als Quelle des Zugriffs sehen.

            1 Reply Last reply Reply Quote 0
            • H
              Hugh86
              last edited by Hugh86

              @viragomann said in Innerhalb IPSec kein Ping in das Local Network möglich:

              Für einseitige Verbindungen von B nach A könntest du auf der pfSense auch Masquerading mittels einer Outbound NAT Regel machen. Das hat jedoch den Nachteil, dass die lokalen Geräte dann die pfSense Interface IP als Quelle des Zugriffs sehen.

              Habe es mittels outbound nat regel versucht, aber der Ping schlägt wieder fehl.
              Folgende Einstellungen habe ich verwendet:
              Interface: Ipsec
              Source _ Network or Alias: Die individuelle IP eines Gerätes aus Standort A x.x.x.x/32
              Destination: any
              Translation: LAN adress

              Ein Ping von der pfsense auf auf das Gerät funktioniert jedoch.

              Vielen lieben Dank für die Unterstützung.

              V 1 Reply Last reply Reply Quote 0
              • V
                viragomann @Hugh86
                last edited by

                @Hugh86
                Eine Outbound NAT Regel wird auf dem Interface eingerichtet, auf dem die Verbindung raus geht.
                Also für die Verbindung von B nach A ist das auf A das LAN Interface. Daher
                Interface: LAN
                Source: B LAN od. eine IP daraus

                H 1 Reply Last reply Reply Quote 0
                • H
                  Hugh86 @viragomann
                  last edited by

                  @viragomann said in Innerhalb IPSec kein Ping in das Local Network möglich:

                  Eine Outbound NAT Regel wird auf dem Interface eingerichtet, auf dem die Verbindung raus geht.
                  Also für die Verbindung von B nach A ist das auf A das LAN Interface. Daher
                  Interface: LAN
                  Source: B LAN od. eine IP daraus

                  Es klappt. Du bist Spitze!

                  V JeGrJ 2 Replies Last reply Reply Quote 0
                  • V
                    viragomann @Hugh86
                    last edited by

                    @Hugh86
                    Danke. 🙂

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @Hugh86
                      last edited by

                      @Hugh86 Ich habe da noch nicht verstanden, warum überhaupt NAT gebraucht wird. Wenn deine P2 Policies auf beiden Sense Seiten korrekt eingestellt sind, müssten beide Seiten sich gegenseitig problemlos pingen lassen. Von Geräten - nicht von den Sensen aus, denn IPsec mit Policies hat ja kein Interface was pingen könnte. Also geht es nur von einem Netz aus, das auch in der Phase 2 im Routing definiert ist. Ich verstehe aber wie gesagt nicht ganz, warum du hier NAT brauchst, das klingt eher, als wäre am VPN was falsch konfiguriert, denn im Lab bei uns kann ich da zwischen 2 Sensen kein Problem sehen :)

                      Vielleicht kannst du ja nochmal etwas genauer die Screenshots posten und von wo nach wo du testest und was nicht geht, dann klappts vllt. auch ohne NAT und mit sauberem Routing :)

                      Cheers

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.