IPSec & carp [solved] –>neuinstallation

MaxHeadroom

Hi,
hab ein problem IPSec am VIP zum laufen zu kriegen.
Unter der Wan ip kein Problem sobald ich auf die carp VIP wechsel geht die Phase 1 nicht.
Schon mit My ip + Ip Adress sowie fqdn und email in der webconsole rumgespielt, kein Erfolg.
Wer weiß Rat ?

|–--2 pfsense
1pfsense- |(CARP)
             |----3 pfsense

1pfsense WAN
80.123.123.1

CARP - 80.123.123.4
2pfsense WAN  -  3pfsense WAN
80.123.123.2    -   80.123.123.3

Thx max

heiko

welche PFsense Version?

gez. Heiko

MaxHeadroom

Letzte Stable 1.2.3

heiko

einmal genaue IPSec Konfiguration für den Tunnel senden, kann die CARP IP angepingt werden vom WAN aus, Regel auf WAN nicht vergessen für ICMP, ist die CARP Konfig ansonsten sauber??

Gruß
Heiko

MaxHeadroom

Ist es möglich das es da eine Regel gibt die 'drop in on ! carp0 from  %WANSUBNET% heißt glaube die habe ich gesehen mit pfctl -sr

habe zum testen alle wan ip's im selben subnet 80.123.123.0 /24

danke für die hilfe
max

heiko

ein 24er Netz im WAN?

MaxHeadroom

Ist nicht ins internet geroutet da nur ein switch, wie gesagt ist nur eine Testumgebung.
Da ich keinen Router hab hab ich es halt im selben subnets reingehängt. Die IPSEC Verbindung ohne CARP geht ja.

lg
max

heiko

@MaxHeadroom:

Ist nicht ins internet geroutet da nur ein switch, wie gesagt ist nur eine Testumgebung.
Da ich keinen Router hab hab ich es halt im selben subnets reingehängt. Die IPSEC Verbindung ohne CARP geht ja.

lg
max

Hängt das alles an einem Switch ohne VLANs, soll heißen, LAN und WAN auf einem Switch, gibt i.d.R. mit CARP Probleme, WAN ein VLAN und LAN ein VLAN??!

Kannst Du CARP VIP anpingen?

MaxHeadroom

Ja Carp ist pingbar.
Hab jetzt alle Netze  auf einen eigenen Switch, Status genauso wie gehabt.

Nach Neuinstallation Status  gelöst (uff)

Danke für die Geduld