Man hat mit pfSense ein IPsec VPN eingerichtet und alle Hosts untereinander können miteinander kommunizieren, ausser die Firewall selbst.
Damit funktionieren z.B. DNS Forwarder nicht mehr die auf eine, entfernten IPsec VPN Host sind.
Es gibt aber einen einfachen Workaround durch setzen einer statischen route.
Das Problem ergibt sich in der Art und weise wie die IPsec Integration im FreeBSD Kernel gemacht ist und ist auf der Seite Accessing Firewall Services over IPsec beschrieben.
ls Workaround kann man entweder den entsprechenden Service (z.B. DNS Forwarder) fest auf ein Interface binden (anstelle von „ANY“), oder man errichtet eine statische Route dafür:
In System > Routing auf dem Gateways tab ein neues Gateway erstellen:
- Interface: Lan
- Name: IPsecGW
- Gateway: LAN IP Adresse dieser Firewall
- [X] Disable Gateway Monitoring
Auf Save und Apply Changes klicken.
Danach geht man auf den Static Routes tab und fügt die folgende neue statische route hinzu:
- Destination Network: Das remote VPN Netzwerk
- Gateway: IPsecGW
- Description:
Allow firewall itself to communicate over VPN
Nach einen klick auf Save und Apply Changes sollte die Verbindung klappen.
Weitere Ressourcen
- reddit.com: Pfsense host only cannot reach remote devices trough IpSec VPN
- docs.netgate.com: Accessing Firewall Services over IPsec