2 Standorte gleiches internes Netz, Site-to-Site IPsec

Hallo Holger,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

Here's another resource that describes the solution you're trying: More VPN between same subnets.

If you still need help, please insert pictures of the Edits of the IPsec Connection and Remote Gateway from each Standort.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Bob,

hier einige weitere Screenshots:

Standort 1:

Standort 2:

Kannst Du einen Fehler finden ?

Vielen Dank für deine Hilfe !

Gruß Holger

In Standort 1, sind VPN_UTM2 und VPN_UTM1 umgekehrt.

MfG - Bob

Sorry, Bilder verwechselt. Hier die richtigen Screenshots von Standort 1:

Der Tunnel ist grün, trotzdem kann ich von Standort 1 nicht 192.168.169.230 an Standort 2 erreichen.

MfG Holger

If ping is enabled, do you get a response if you ping 192.168.190.230 from Standort 1?

MfG - Bob (Bitte auf Deutsch weiterhin.)

Moin Holger

Deine Konfiguration sieht eigentlich gut aus.

Die Frage ist, wie sprichst Du die Gegenseite an?

Wenn Du von Standort A ein System in Standort B erreichen willst, musst Du die IP nutzen, die Du dem Standort B in Standort A für das System zugeornet hast.

Beispiel: 192.168.169.1-A will 192.168.169.1-B erreichen -> Du musst also die Fake-Netz-IP von Standort B ansprechen: Ping 192.168.190.1

Du solltest in den NAT-Regeln und in den automatischen Firewallregeln das Logging aktivieren (in den NAT-Regeln unter "advanced"  "Log initial packets" -> die werden im Log als weiße Linien angezeigt und in den automatischen FW-Regeln unter "advanced" "Log traffic" -> die werden dann grün angezeigt).

Noch ein Hinweis: Deine ssl-Pool-Netze erreichen sich über Dein Konstrukt gegenseitig (allerdings nur, wenn sie sich unterscheiden). Aber sie erreichen nicht das gegenüberliegende LAN.
Hier musst Du ebenfalls noch mit 1:1-Regeln arbeiten. Am einfachsten genauso wie bei deiner LAN-Übersetzung.

Oh - und noch ein Hinweis: Wenn Du ICMP in den Logs sehen willst, musst Du unter "Firewall", Reiter "ICMP" den Haken bei "Gateway forwards pings" rausnehmen und auch die traceroute-Haken entfernen (das hat Bob bestimmt auch in seinen "Rulz" beschrieben).

LG, Janbo

Moin Holger

Deine Konfiguration sieht eigentlich gut aus.

Die Frage ist, wie sprichst Du die Gegenseite an?

Wenn Du von Standort A ein System in Standort B erreichen willst, musst Du die IP nutzen, die Du dem Standort B in Standort A für das System zugeornet hast.

Beispiel: 192.168.169.1-A will 192.168.169.1-B erreichen -> Du musst also die Fake-Netz-IP von Standort B ansprechen: Ping 192.168.190.1

Du solltest in den NAT-Regeln und in den automatischen Firewallregeln das Logging aktivieren (in den NAT-Regeln unter "advanced"  "Log initial packets" -> die werden im Log als weiße Linien angezeigt und in den automatischen FW-Regeln unter "advanced" "Log traffic" -> die werden dann grün angezeigt).

Noch ein Hinweis: Deine ssl-Pool-Netze erreichen sich über Dein Konstrukt gegenseitig (allerdings nur, wenn sie sich unterscheiden). Aber sie erreichen nicht das gegenüberliegende LAN.
Hier musst Du ebenfalls noch mit 1:1-Regeln arbeiten. Am einfachsten genauso wie bei deiner LAN-Übersetzung.

Oh - und noch ein Hinweis: Wenn Du ICMP in den Logs sehen willst, musst Du unter "Firewall", Reiter "ICMP" den Haken bei "Gateway forwards pings" rausnehmen und auch die traceroute-Haken entfernen (das hat Bob bestimmt auch in seinen "Rulz" beschrieben).

LG, Janbo