Erreur avec tunnel ipsec

forti

Bonjour,

Je suis en train de mettre en place un tunnel ipsec entre un routeur digi avec une Ip dynamique et fsense.
J'ai essayé beaucoup de configuration mais j'ai toujours le même probleme. Je mets un log en copie!
Pouvez vous m'aider?

Merci d'avance,

log :

12[MGR] checkin and destroy of IKE_SA successful
Nov 4 10:15:44
charon

12[IKE] <92> IKE_SA (unnamed)[92] state change: CONNECTING => DESTROYING
Nov 4 10:15:44
charon

12[MGR] <92> checkin and destroy IKE_SA (unnamed)[92]
Nov 4 10:15:44
charon

12[NET] <92> sending packet: from ...[500] to ...[21876] (56 bytes)
Nov 4 10:15:44
charon

12[ENC] <92> generating INFORMATIONAL_V1 request 742051466 [ N(AUTH_FAILED) ]
Nov 4 10:15:44
charon

12[IKE] <92> activating INFORMATIONAL task
Nov 4 10:15:44
charon

12[IKE] <92> activating new tasks
Nov 4 10:15:44
charon

12[IKE] <92> queueing INFORMATIONAL task
Nov 4 10:15:44
charon

12[IKE] <92> Aggressive Mode PSK disabled for security reasons
Nov 4 10:15:44
charon

12[CFG] <92> selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Nov 4 10:15:44
charon

12[CFG] <92> configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_3072, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_MD5_96/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_MD5/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/MODP_3072/MODP_4096/MODP_8192/MODP_2048/MODP_2048_256/MODP_1024, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_MD5/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/MODP_3072/MODP_4096/MODP_8192/MODP_2048/MODP_2048_256/MODP_1024
Nov 4 10:15:44
charon

12[CFG] <92> received proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Nov 4 10:15:44
charon

12[CFG] <92> proposal matches
Nov 4 10:15:44
charon

12[CFG] <92> selecting proposal:
Nov 4 10:15:44
charon

12[CFG] <92> no acceptable PSEUDO_RANDOM_FUNCTION found
Nov 4 10:15:44
charon

12[CFG] <92> selecting proposal:
Nov 4 10:15:44
charon

12[IKE] <92> IKE_SA (unnamed)[92] state change: CREATED => CONNECTING
Nov 4 10:15:44
charon

12[IKE] <92> ... is initiating a Aggressive Mode IKE_SA

ccnet

Pouvez vous poster les configurations cryptographiques de chacun extrémité du tunnel ?

forti

Bonjour et merci de votre réponse:
Du coté pfsense :
Mutual PSK
Agressive
Distinguished name
AES
SHA1
DH Group2

Phase 2 :
ESP
AES 192 SHA1 PS Key Group Off

Du coté de mon routeur Digi avec une ip dynamique:
J'ai essayé de mettre les éléments identiques.

Plusieurs choses m'embêtent :

Nov 21 14:53:57 charon 07[IKE] <27384> IKE_SA (unnamed)[27384] state change: CONNECTING => DESTROYING
Nov 21 14:53:57 charon 07[MGR] <27384> checkin and destroy IKE_SA (unnamed)[27384]
Nov 21 14:53:57 charon 07[NET] <27384> sending packet: from ...[500] to ...[4212] (56 bytes)

POurquoi le port 4212?
Pourquoi Connecting puis destroying?

Merci encore de votre aide.

ccnet

J'ai essayé de mettre les éléments identiques.

Le problème est qu'il faut être certain.
Essayer en désactivant de part et d'autre le mode Agressiv.
Il semble que la SA soit détruite juste après avoir été établie. D'autres équipements qui vous appartiennent sur le trajet ?
Le routeur Digi est à jour de son firmware? Il y a tellement de cause possible à votre problème ….