Fireware 12.7: Probleme mit BOVPN auf Secondary-IP auf einem nicht-primären externen Interface

Kunde hat nach Upgrade auf 12.7 Probleme mit zwei BOVPNs, die vor dem Upgrade funktionierten.

Setup:

  • Firebox mit 3 External Interfaces
  • Failover: 1) eth0 2) eth2; das dritte Interface eth8/A0 wird nicht für failover verwendet.
  • BOVPN auf eth8/A0 auf einer Secondary IP

Symptom:

  • nach Upgrade auf 12.7 kommt der Tunnel nicht mehr hoch.
  • tcpdump/wireshark zeigen, dass auf eth8/A0 zwar IKE-Pakete reinkommen, aber keine rausgehen.
  • ein ping -I <secondary IP eth8/A0>  zeigt zwar Ping-Antworten, aber sowohl icmp echo request als auch icmp echo reply sind im wireshark nicht zu sehen.
  • auf der Ping-Gegenstelle findet man heraus, dass als Absende-IP die primary-IP des eth0 verwendet wird ????

Workaround:

  • BOVPN umstellen auf die primary IP des eth8/A0, dann gehen die Pakete auch auf dem eth8/A0 raus.

CASE bei WatchGuard wird geöffnet,

Ein Kommentar zu “Fireware 12.7: Probleme mit BOVPN auf Secondary-IP auf einem nicht-primären externen Interface”

  1. Max Plettenberg

    Hallo Herr Maier, kann das Verhalten so bestätigen. Wir haben derzeit die gleiche Konstellation mit 3 external Interfaces. Wobei 2 von 3 als Primary und Secondary VPN-IP eingetragen sind. Verbindungen werden nur auf der Primary IP akzeptriert.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>