8
Pfsense VTI idle
Hallo zusammen,
ich habe mehrere VPN Tunnel über mehrere Standorte eingerichtet:
Standort A:
192.168.0.0/24
VTI Interface: 10.888.20.1
Standort B:
192.168.6.0/24
VTI Interface: 10.888.20.2
Standort C:
10.2.16.0/24
Kein VTI
Von Standort A geht ein Tunnel mit VTI zu B.
Von Standort C geht ein Tunnel zu B.
Jetzt möchte ich von A auf B zugreifen über C.
Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI. Das Ende vom Lied ist das er am Standort B damit in das Internet geht
Irgendwie findet er die Route dann nicht mehr am Standort B.
Das zweite "Problem" seit der Umstellung auf VTI zwischen A & B ist das der Tunnel nach ein paar Minuten Idle keinen traffic mehr drüber lässt.
Der Tunnel ist zwar up, aber erreichbar ist die gegenseite nicht mehr. Ist das eine Einstellungssache?
Danke euch!
ich habe mehrere VPN Tunnel über mehrere Standorte eingerichtet:
Standort A:
192.168.0.0/24
VTI Interface: 10.888.20.1
Standort B:
192.168.6.0/24
VTI Interface: 10.888.20.2
Standort C:
10.2.16.0/24
Kein VTI
Von Standort A geht ein Tunnel mit VTI zu B.
Von Standort C geht ein Tunnel zu B.
Jetzt möchte ich von A auf B zugreifen über C.
Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI. Das Ende vom Lied ist das er am Standort B damit in das Internet geht
Irgendwie findet er die Route dann nicht mehr am Standort B.
Das zweite "Problem" seit der Umstellung auf VTI zwischen A & B ist das der Tunnel nach ein paar Minuten Idle keinen traffic mehr drüber lässt.
Der Tunnel ist zwar up, aber erreichbar ist die gegenseite nicht mehr. Ist das eine Einstellungssache?
Danke euch!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 458414
Url: https://administrator.de/contentid/458414
Printed on: April 26, 2024 at 08:04 o'clock
8 Comments
Latest comment
Moin,
10.888.20.x?
10.888.20.x?
Hallo TheOnlyOne,
existiert denn eine Route am Standort B nach C und funktioniert diese auch? Also kannst du bspw. von B aus nach C pingen? Wie genau ist C an B angebunden? Ich nehme an 10.2.16.0/24 an Standort C ist das lokale LAN. Welches Transfernetz existiert denn zwischen B und C? Die Route auf B nach 10.2.16.0/24 an Standort C muss die Transfernetz (B-C) IP von Standort C als Gateway nutzen.
Und dann sollten natürlich die Firewallregeln auf allen Geräten stimmen und Forwarding aktiviert sein (was ohnehin der Fall ist, wenn es alles PfSense Geräte sind.
Ein paar weitere Infos (Konfigurationen/Screenshots/Routingtabellen) wären zur Troubleshooting ganz gut
Gruß
Ketanest
existiert denn eine Route am Standort B nach C und funktioniert diese auch? Also kannst du bspw. von B aus nach C pingen? Wie genau ist C an B angebunden? Ich nehme an 10.2.16.0/24 an Standort C ist das lokale LAN. Welches Transfernetz existiert denn zwischen B und C? Die Route auf B nach 10.2.16.0/24 an Standort C muss die Transfernetz (B-C) IP von Standort C als Gateway nutzen.
Und dann sollten natürlich die Firewallregeln auf allen Geräten stimmen und Forwarding aktiviert sein (was ohnehin der Fall ist, wenn es alles PfSense Geräte sind.
Ein paar weitere Infos (Konfigurationen/Screenshots/Routingtabellen) wären zur Troubleshooting ganz gut
Gruß
Ketanest
VTI Interface: 10.888.20.1
Sehr interessante IP Adresse !Kein Wunder das das scheitert. Verwunderlich ist nur das die pfSense solche IPs akzeptiert...?!
Aber mal zu den ToDos...
Dazu habe ich auf A eine route eingetragen 10.2.16.0 über das VTI.
Welches VTI ???Das grße Problem ist das du hier mit keinerlei Infos schiclderst welche Peer Beziehungen es gibt ?
So können wir nur im freien Fall raten....
Essentiell wäre es also zu wissen ob...
- B und C sternförmig an A hängen
- ...oder sternförmig an B
- ...oder ob es ein Kaskade ist A zu B und B zu C
- usw. usw.
Erster Anlaufpunkt für dich ist immer die Routing Tabelle auf der pfSense. Dort kannst du genau sehen welches IP Netz er über welches Interface "kennt".
Grundlagen zu VTIs auch hier am Beispiel von GRE Tunnel die quasi das gleiche sind nur eben eine andere Encapsulation nutzen.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Hallo Ketanest,
zwischen Standort B und C existiert ein normaler iPSec ohne VTI. Standort C ist leider nur eine FritzBox. Daher scheidet VTI schon mal aus.
Das wird glaube ich auch das Grundproblem sein?
Unter Dia -> Routes taucht am Standort B die route Richtung 10.2.16.0/24 nicht auf.
Das 10.2.16.0/24 Netz ist das lokale Netz des Standortes C, ja
zwischen Standort B und C existiert ein normaler iPSec ohne VTI. Standort C ist leider nur eine FritzBox. Daher scheidet VTI schon mal aus.
Das wird glaube ich auch das Grundproblem sein?
Unter Dia -> Routes taucht am Standort B die route Richtung 10.2.16.0/24 nicht auf.
Das 10.2.16.0/24 Netz ist das lokale Netz des Standortes C, ja
Unter Dia -> Routes taucht am Standort B die route Richtung 10.2.16.0/24 nicht auf.
Deswegen musst du dort ohne VTI diese Route in den Phase 2 SAs propagieren !! Ansonsten routet dieser Hop dann Pakete für dieses Netz via default Route und damit dann Richtung Provider ins Nirwana...Traceroute und die Routing Tabelle sind hier wie immer deine Freunde !
Danke aqui,
das macht Sinn
Ich muss praktisch eine zweite Phase 2 zwischen A und B aufbauen.
Jetzt stellt sich mir nur die Frage warum nach kurzer zeit kein Traffic mehr zwischen A und B geht (VTI)
hast du da eine Idee?
Tunnel steht aber kein troughput.
das macht Sinn
Ich muss praktisch eine zweite Phase 2 zwischen A und B aufbauen.
Jetzt stellt sich mir nur die Frage warum nach kurzer zeit kein Traffic mehr zwischen A und B geht (VTI)
hast du da eine Idee?
Tunnel steht aber kein troughput.
Sorry diesen ausführlichen Kommentar habe ich zuerst nicht gesehen.
Ich habe das eben mal in Visio shematisch dargestellt.
Ich habe das eben mal in Visio shematisch dargestellt.
ch muss praktisch eine zweite Phase 2 zwischen A und B aufbauen.
Nein !Du musst nur die remoten Netze dort angeben. Oder, sofern dein VPN Decive nicht die Konfiguration mehrere remoter Netze supportet musst du die Subnetzmaske des remoten Netzes entsprechend aufweiten.
Z.B. 10.2.0.0 Maske: 255.255.0.0 routet dir ALLE 10.2er Netze in den Tunnel auch wenn du mit einem /24er Prefix z.B. arbeitest.
Das setzt natürlich dann eine homogene IP Adressierung auf der remoten Seite voraus !
Außerdem fehlt noch eine statische Route auf A zum FritzBox Netz. A kann so die FB nie erreichen.
10.2.16.0 255.255.255.0 Gateway: 10.8.222.1