Fireware 12.7: Probleme mit BOVPN auf Secondary-IP auf einem nicht-primären externen Interface
Kunde hat nach Upgrade auf 12.7 Probleme mit zwei BOVPNs, die vor dem Upgrade funktionierten.
Setup:
- Firebox mit 3 External Interfaces
- Failover: 1) eth0 2) eth2; das dritte Interface eth8/A0 wird nicht für failover verwendet.
- BOVPN auf eth8/A0 auf einer Secondary IP
Symptom:
- nach Upgrade auf 12.7 kommt der Tunnel nicht mehr hoch.
- tcpdump/wireshark zeigen, dass auf eth8/A0 zwar IKE-Pakete reinkommen, aber keine rausgehen.
- ein ping -I <secondary IP eth8/A0> zeigt zwar Ping-Antworten, aber sowohl icmp echo request als auch icmp echo reply sind im wireshark nicht zu sehen.
- auf der Ping-Gegenstelle findet man heraus, dass als Absende-IP die primary-IP des eth0 verwendet wird ????
Workaround:
- BOVPN umstellen auf die primary IP des eth8/A0, dann gehen die Pakete auch auf dem eth8/A0 raus.
CASE bei WatchGuard wird geöffnet,
Hallo Herr Maier, kann das Verhalten so bestätigen. Wir haben derzeit die gleiche Konstellation mit 3 external Interfaces. Wobei 2 von 3 als Primary und Secondary VPN-IP eingetragen sind. Verbindungen werden nur auf der Primary IP akzeptriert.
Lautet die Vorgabe von Watchguard nicht, dass man nur die PrimaryIP nutzen sollte und keine Secondary ?
Das kommt drauf an 😉
Ganz früher ging nur die Primary IP.
Unsere Empfehlung lautet, die Primary IP zu nehmen.
Allerdings unterstützt WatchGuard seit längerem die Secondary IPs, mindestens in den Release Notes zu 12.4.x und in der 12.5 hatte ich da was gefunden.
dort steht “You can now configure BOVPN using the secondary IP address of a VLAN. [FBX-16492, FBX-16493]”
also nicht nur auf dem Interface, sondern sogar auf dem VLAN. und das kam erst VIEL später.