VPN Ipsec

alliass

Bonjour,

je viens vers vous pour essayer d'avoir des explications liées à des erreurs dans les logs de pfsense.

Alors voila j'ai monté 6 tunnel VPN, site central -> Pfsense - Site distant -> netopia.

Les tunnels se montent bien, je parviens à pinger de part et d'autre. Cependant en allant dans les logs je constate deux erreurs :
    - racoon: ERROR: libipsec failed pfkey align (Invalid sadb message)
    - racoon: ERROR: unknown Informational exchange received.

Une personne serait elle en mesure de m'expliquer le problème?

j'utilise Pfsense 1.2.2.

Merci pour votre aide.

cdt.

Juve

j'ai deja eut cela avec des boitier arkoon en face de boitier pfsense.
Pfsense reçoit visiblement des options IPSEC de la part du peer qu'il ne sait/peu pas traiter. Si tout fonctionne comme voulu alors considérez ces messages comme un soucis cosmétique. Sinon, vérifiez la configuration de l'ensemble des boitiers de la chaine.

alliass

Effectivement à l'heure actuelle tout semble fonctionner sans probleme  particulier. Il me faudrait donc controler la configuration de mes sites distants?

cdt.

Juve

http://forum.pfsense.org/index.php/topic,12802.0.html

C'est un bug normalement patché.

alliass

Et bien je rencontre toujours cette erreur, il semble avoir été patché sur la version 1.2.1 donc je suppose que le patch est de base dans la 1.2.2?

de plus j'ai cette autre erreur : racoon: ERROR: failed to bind to address xxx.xxx.xxx.xxx[500] (Address already in use).

cdt.

jideel

J'ai moi aussi de temps en temps cette erreur, pour la contourner je désactive l'IPSec (case "enable IPSec" dans l'interface), puis je le réactive.
Le problème vient probablement du fait que le système tente de redémarrer racoon alors qu'il n'est pas encore arrêté, et les modifications apparemment apportées via l'interface web ne sont alors pas prise en compte (me semble-t-il, pour avoir fait le test en changeant le cryptage de la phase 1 de 3DES vers AES, cela fonctionnait apparemment alors qu'au redémarrage suivant d'IPSec, cela a cessé de fonctionner).

alliass

Merci pour votre réponse, cela signifie que tous les vpn seront coupés, c'est pas super terrible :(

Juve

double check des configurations des équipement en face, tout est bien en phase ?? au niveau des timeout phase1 et 2 ?

alliass

Juve merci pour votre réponse, j'avais effectivement un lifetime moins important sur le boitier distant. Le probleme semble etre résolu je vais continuer a suivre cela. Merci encore