IPsec-VPN OPNsense 22.1.3 zu 21.1 - IKEv2-Tunnel aufgebaut aber kein Traffic



Dieser Eintrag wurde vor mehr als 2 Jahren erstellt und vor über einem Monat zuletzt bearbeitet. Eventuell ist längst sein Mindesthaltbarkeitsdatum überschritten!

Ein IKEv2 IPsec-VPN von einem frisch aktualisierten OPNsense 22.1.3 zu einem noch nicht aktualisierten OPNsense 21.1: Der Tunnel steht, Phase 1 & Phase 2 - Traffic geht jedoch nur sporadisch alle 15 bis 30 Minuten für einige Zeit durch. Beide Seiten sind ohne NAT, direkt mit öffentlicher IPv4 am Internet; einmal Glasfaser, einmal GBit-Hausfrauenkabel.

Ein Umstellen auf der 22.1.3-Seite in der Phase 1 auf "NAT Traversal: Force" behebt das Problem umgehend. UDP sei Dank? IKEv2 sollte NAT-T und MOBIKE automatisch aushandeln, aber hier in Issue #5456 riecht es ähnlich, wenn auch (bisher) ohne Ergebnis. Hier auch, anscheinend werden die Regeln für udp/4500 nicht automatisch angelegt, wenn NAT-T nicht auf force steht:

Using IKEv2. So NAT Traversal is always enabled. But if NAT-T is disabled in the phase 1 proposal the inbound NAT-T is rejected (because the Automatically generated rule is not created).

Neue Wetterstation, … Ironie des Tages

Permalink CC BY-NC 4.0 DEED 3183 4 21.03.2022 21.03.2022