BOVPN Tunnel nur auf Primary IP terminieren!
Ein Kunde berichtete über BOVPN Tunnel, die instabil laufen und häufig abbrechen. Hier folgender wichtige Hinweis: Als Gateway-Adresse darf in der BOVPN-Konfiguration nur die Primary IP eines External Interface verwendet werden – auf keinen Fall eine Secondary IP!Dieser Hinweis ist natürlich nur in einer Umgebung relevant, bei der auf dem/den External Interface(s) als Konfigurationsmethode “Static IP” gewählt ist, also die Kombination aus einer vom Internet Service Provider zugewiesenen IP-Adresse, Subnetzmaske und Default Gateway (typischerweise eine “Standleitung” mit vorgelagertem ISP-Router, z.B. Telekom Company Connect). In einem solchen Fall weist der Provider üblicherweise ein 8-er IP-Netz (/29) oder 16-er IP-Netz (/28) zu. Aus einem solchen IP-Subnetz können theoretisch alle verwendbaren IP-Adressen (5 respektive 13) dem Interface der WatchGuard zugewiesen werden. Hiervon ist nur eine unter Network > Configuration > Interfaces direkt eingetragen (das ist die Primary IP!), die anderen werden über die Registerkarte “Secondary” eingetragen. Jedoch darf eben nur genau die “Primary IP” als Gateway-IP in der/den BOVPN-Konfiguration(en) verwendet werden!!
Warum ist das so? Warum kann keine secondary IP verwendet werden?
Würde mich auch interessieren.
Danke und gruß!
Hatten genau dieses Problem vor einigen Tagen. Wenn in den BOVPN Einstellungen eine, von der Primary IP abweichende, IP für das Gateway eingetragen wird, dann kommt die VPN-Verbindung nicht zu Stande. Es wird beim Verbindungsaufbau in Phase 1 immer auf die Primary IP zugegriffen. Falls in der Gateway Einstellung eine andere IP steht kann die Watchguard die richtige VPN Verbindung nicht ermitteln.
auch wir haben bei einem Kunden diese Konfiguration entdeckt. der VPN ist nach einem zeitraum abgebrochen (z.b. immer nach 13 min)
kann es sein dass in diesem Beispiel eine 32er Netzmaske für die Primary IP verwendet wurde statt zb der zugeteilten Range von /29 und das einen unterschied macht?