Solved: IPSec Tunnel Problem
-
Das ist die Home-PF. Die andere ist natürlich vice-versa konfiguriert. Gleiche Einstellungen, nur beim Identifier die 213er IP, Remote Network 172.16.61.0/24, Remote Gateway die 217er IP, etc.
Vielleicht hilft das weiter.
-
Hallo,
bei my identifier = ip adress bleibt das Feld leer, nix eintragen, noch einmal probieren. Ich habe keine Cisco als Endpoint laufen, im Forum gabs aber Threads zu Lauffähigkeit mit Cisco Pixen.
Auf jeden Fall geht pfs zu pfs….Gruß
Heiko -
Habe auch das Feld schon leer gelassen - gleiches Phänomen. Allerdings hatte ich ja oben sicherheitshalber nicht MY IP Adress sondern nur "IP Adress" ausgewählt um genau was reinschreiben zu können (und um auszuschließen, dass bei My IP Adress was falsches übergeben wird).
-
sehr eigenartig, Automatically ping host muss im übrigen eine lokale Adresse des anderen Endpoints sein, sinnvollerweise die LAN Adresse der Firewall.
-
Aaaaha, das ist schonmal was, was nicht stimmte. Aber ich bin da echt am Verzweifeln langsam, zumal mir auch der ISP vom Kunden im Genick sitzt und fragt was da nicht läuft/so lange dauert.. Sonst vielleicht noch Ideen? Evtl. statt als Tunnel als Mobiler Client definieren? Wobei ich ja dann keine Möglichkeit habe das Fremd- bzw. eigene Netz anzugeben.. verflixt..
-
also das kann nur ein Konfigurationsfehler sein, wenn Du nicht mal pf zu pf ans Rennen bekommst.
Anbei einmal ein funktionierendes Setup…, willst Du den Tunnel vom Opt aufbauen?, versuch mal vom LAN Net, wenn dem so ist.
-
Ich habe mal versucht deine Konfiguration nachzuahmen, kein Erfolg. Beide pfSense stehen da und tun nix.. Ich weiß wirklich nicht weiter. Was kann das für eine Ursache haben? Brauchen sie nach dem neu Einrichten einen Neustart oder derlei?
-
:o :o :o
Heute morgen wegen eines Versuchs (Interface Alias per .sh Skript beim Booten einbinden) die Firewall hier in der Firma neugestartet und - es geht! Tunnel ein/aus, IPsec ein/aus, jetzt tut sich auf einmal was. Verbindung zur pf zu Hause im Labor problemlos, dann Tunnel abgeschaltet und zum Kundencisco verbunden -> läuft! Fabulös ;DSollte also jemand ein ähnliches Problem haben: Öfter mal neu starten nach dem einschalten/konfigurieren von IPsec, Racoon scheint zickig zu sein ;)
Nochmals danke für die Mühe, Heiko.
Gruß Jens
-
Erstmal schön zu hören, das sighup für racoon sollte in der 1.21 erledigt sein. Wunder dauern halt etwas länger…aber schön das es jetzt geht :D
-
Da sagst du was ;) Kommt man sich mitunter doof vor nach so vielen Jahren immer noch die einfachste Lösung.. allerdings kann ich zu meiner Entschuldigung sagen, dass ich unsere 5NIC Kiste in der Firma auch nicht einfach zur PrimeTime neu booten kann ;) auch wenn sie fix wieder da ist. Aber der Tunnel zum RZ ist vital und da beißen sie mir den Kopf ab wenn ich den einfach übern Tag absäge - neues VPN hin oder her ;D
Tja so einfach kanns sein :) Allerdings glaub ich nicht an ein SIGHUP Problem, da ich den Daemon manuell gekillt und selbst mit -ddd Optionen gestartet hatte. Das muss was anderes gewesen sein, was sich auf den Start ausgewirkt hat. Vielleicht eine Interfacekonfiguration oder was dergleichen.
-
wart auf die 1.21, da sind einige bugs, auch und gerade im ipsec behoben, dann schauen wir weiter….
-
Och ich test das gerne nochmal - jetzt wo ich weiß, dass es sauber läuft wenn man dem störrischen Esel mal Beine macht ;)
