Hallo,
ich versuche eine S2S Verbindung zu einem entfernten Kundennetz zu etablieren.
Kundenseitig vorgegeben sind die Parameter für Phase 1 und Phase 2 des Tunnels, der auch als erfolgreich etabliert angezeigt wird.
Zum Test versendete Ping-Pakete (ICMP Typ8, Länge 1000 Bytes, damit ich sie leicht in den WAN-Paketen (UDP Port 4500, weil NAT) wiederfinden kann) kann ich in den Packet Capture Log wie folgt sehen:
1. Event: Incoming am entsprechenden Interface
2. Event: Forwarding an ipsec0 (was ich so interpretiere, dass das Ping Paket in den Tunnel geforwarded wird.
Ein Packet Capture auf dem WAN Interface zeigt diese Pakete aber nicht an, d. h. sie werden m. E. irgendwo verschluckt.
Stattdessen sehe ich lediglich periodische kurze Telegramme auf Port 500 (Generat..., Incoming, Consum...) an das WAN Interface, die ich als Heartbeat interpretiere.
Frage 1:
Ist meine Interpretation richtig, dass die Pakete (forward an ipsec0) eigentlich korrekt in den Tunnel gesendet werden sollten und ich sie auch entsprechend am WAN-IF sehen müsste?
Frage 2:
Meine Vermutung ist, dass der Tunnel "doch nicht so richtig" aufgebaut ist und die Telegramme deshalb nicht versendet werden. Ich finde leider kein Log der IPSec Tunnelaushandlung. Wo sind die versteckt?
Bei einer testweise bei uns aufgesetzten VM als IPSec Gegenstelle funktioniert übrigens einwandfrei (in diesem Fall sehe ich auch wunderbar die UDP-gekakpselten Ping-Pakete auf Port 4500 am WAN-IF), was mich darin bestärkt, dass irgendetwas bem Tunnelaufbau schief geht.
Versuchsweise habe ich auch schon pfSense und OpenSense versucht, alles mit dem gleichen Ergebnis.
MfG
Jürgen
This thread was automatically locked due to age.
