Hallo,
ich habe das Problem, dass das Routing innerhalb meiner VPN Verbindung nicht sauber funktioniert. Die VPN-Verbindung (Site-to-Site / Manual IPSec) wird zwar auf beiden Seiten hergestellt, doch erreiche ich die Systeme untereinander nicht. Da ich nur einen Controller für beide Seite verwendet, ist das ein Problem.
Gelegentlich funktioniert es auch, die letzten Tage jedoch eher weniger, also bin ich grad auf der Suche nach der Ursache.
Kurze Umgebungsbeschreibung:
Seite A (Home): FritzBox (192.168.2.0/24) -> USG (192.168.1.0/24)
Seite B (Garten): TPLink (192.168.5.0/24) -> USG (192.168.10.0/24)
Nachdem die VPN-Verbindung hergestellt wurde, bekomme ich im Controller (7.1.61.0) nur bei Gesendet die übertragenen Daten angezeigt, wenn ich z.B. ein Gerät auf der anderen Seite anpinge. Mir ist aufgefallen, dass der Datenverkehr in dem Fall auch über das Internet geht, da beim tracert der erste Hop nach dem USG immer die FritzBox ist. D.h. der Traffic geht nicht über VPN sondern über WAN. Somit ist die Anzeige der gesendeten Bytes in diesem Fall möglicherweise irrführend.
Innerhalb der VPN-Verbindung auf Seite A habe ich als Subnet 192.168.5.0/24 hinterlegt. Dynamisches Routing ist inaktiv, da ich in der Vergangenheit, gerade bei der Angabe mehrerer Subnets damit Probleme hatte. Ich vermute die Gegenstelle (TPLink) kann damit nicht umgehen. So wie ich gelesen hatte, ist es eigentlich nicht erforderlich, zusätzliche statische Routen zu hinterlegen.
Da es sporadisch auch funktioniert, muss es ein anderes Problem sein. Ich hatte die Vermutung es hängt mit der Routing-Table zusammen, das die gewünschte Route eine zu hohe Metrik hat und er in den meisten Fällen aktuell einen anderen Weg geht.
Was mich wundert ist, dass es innerhalb der Routing-Table dazu gar keinen Eintrag gibt:
ubnt@USG:~$ netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default fritz.box 0.0.0.0 UG 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
192.168.2.0 * 255.255.255.0 U 0 0 0 eth0
Beim Durchforsten der Logdatei ist mir folgender Eintrag aufgefallen:
ubnt@USG:~$ show vpn log
...
Jul 21 21:59:58 00[DMN] Starting IKE charon daemon (strongSwan 5.2.2, Linux 3.10.107-UBNT, mips64)
Jul 21 21:59:59 07[KNL] received netlink error: Network is unreachable (128)
Jul 21 21:59:59 07[KNL] unable to install source route for 192.168.1.1
...
Hat jemand eine Idee, wo genau das Problem besteht?