This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 Standorte gleiches internes Netz, Site-to-Site IPsec

Hallo zusammen,
ich möchte gern zwei Standorte über zwei UTM miteinander verbinden.
UTM1 hängt hinter einer Fritz!Box als Exposed Host (DynDNS) und UTM2 hat eine Feste IP an Glasfaser.
Intern haben beide das gleiche Netz 192.168.169.0
Ich bin nach dieser Anleitung vorgegangen:
Der Tunnel steht auf grün.
UTM1 hat 192.168.180.0
UTM2 hat 192.168.190.0
Darüber läuft die IPsec-Verbindung.
Das 1:1 NAT habe ich entsprechend der Anleitung angelegt.
Trotzdem kann ich keine Adresse vom jeweils anderen Standort erreichen.
Also von Standort 1 (192.168.169.1) zu Standort 2 (192.168.169.230) ist nicht möglich
und umgekehrt auch nicht.
ich finde einfach den Fehler nicht.
Vielen Dank für eure Hilfe !
Standort 1:
Standort 2:
Gruß Holger


This thread was automatically locked due to age.
  • (Sorry, zu früh, um mein Deutsch heute Morgen zu testen, haha)

    Interesting that you have a NAT.  I have IPsec site-to-site setup as well and I didn't use any NAT and can connect to either side just fine.  Have you tried without the NAT?

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • Site-to-site is not a problem if both sites have different internal networks.
    Here, however, both sites have the same internal network.
    Therefore, fake networks were created for the IPsec.
    For this then the NAT, see linked instructions.
    But still it does not work...

  • Did you try unchecking the 'Automatic Firewall rule'?  I seem to remember this being an issue on something I recently read about site-to-site.

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • Hallo Holger,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Here's another resource that describes the solution you're trying: More VPN between same subnets.

    If you still need help, please insert pictures of the Edits of the IPsec Connection and Remote Gateway from each Standort.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    hier einige weitere Screenshots:

    Standort 1:

    Standort 2:

    Kannst Du einen Fehler finden ?

    Vielen Dank für deine Hilfe !

    Gruß Holger

  • In Standort 1, sind VPN_UTM2 und VPN_UTM1 umgekehrt.

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Sorry, Bilder verwechselt. Hier die richtigen Screenshots von Standort 1:

    Der Tunnel ist grün, trotzdem kann ich von Standort 1 nicht 192.168.169.230 an Standort 2 erreichen.

    MfG Holger

  • If ping is enabled, do you get a response if you ping 192.168.190.230 from Standort 1?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Moin Holger

    Deine Konfiguration sieht eigentlich gut aus.

    Die Frage ist, wie sprichst Du die Gegenseite an?

    Wenn Du von Standort A ein System in Standort B erreichen willst, musst Du die IP nutzen, die Du dem Standort B in Standort A für das System zugeornet hast.

    Beispiel: 192.168.169.1-A will 192.168.169.1-B erreichen -> Du musst also die Fake-Netz-IP von Standort B ansprechen: Ping 192.168.190.1

    Du solltest in den NAT-Regeln und in den automatischen Firewallregeln das Logging aktivieren (in den NAT-Regeln unter "advanced"  "Log initial packets" -> die werden im Log als weiße Linien angezeigt und in den automatischen FW-Regeln unter "advanced" "Log traffic" -> die werden dann grün angezeigt).

    Noch ein Hinweis: Deine ssl-Pool-Netze erreichen sich über Dein Konstrukt gegenseitig (allerdings nur, wenn sie sich unterscheiden). Aber sie erreichen nicht das gegenüberliegende LAN.
    Hier musst Du ebenfalls noch mit 1:1-Regeln arbeiten. Am einfachsten genauso wie bei deiner LAN-Übersetzung.

    Oh - und noch ein Hinweis: Wenn Du ICMP in den Logs sehen willst, musst Du unter "Firewall", Reiter "ICMP" den Haken bei "Gateway forwards pings" rausnehmen und auch die traceroute-Haken entfernen (das hat Bob bestimmt auch in seinen "Rulz" beschrieben).

    LG, Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

  • Der Ping auf 192.168.190.230 ist erfolgreich.

    Mit den 180 und 190er Adressen kann ich jetzt arbeiten.

    Allerdings löst das mein Problem noch nicht ganz (oder ich verstehe es nur nicht richtig):

    Ich habe am Standort 1 derzeit zwei VM's (DC und Exch) im Netz 192.168.169.0 laufen.

    Diese sollen an Standort 2 wechseln, aber für Domain-Member am Standort 1 erreichbar bleiben.

    Also muß ich doch auch das Netz 192.168.169.0 direkt ansprechen können ?

    Oder wie kann ich das realisieren ? Die IP's von DC und Exch will ich ungern ändern, und das ganze Netz am Standort 1 ändern auch nicht wirklich. Evtl. eine Route ?

    Würde es funktionieren am Standort 1 ein Netz 192.168.169.0/25 und am Standort 2 ein Netz 192168.169.192/26 anzulegen und damit eine Site-to-Site IPsec ?

    Vielen Dank für eure Bemühungen !

    Gruß Holger