IPSec zw. Netscreen 5GT und pfsense 1.2.3

merylen

Hallo,
ich hab nun die letzten 2 Tage gesucht und komme nicht weiter.
Folgender Aufbau:

LAN(10.15.6.0/24) – ||Netscreen 5GT||-- WAN(Dyn. IP) -------WAN(statische IP: 213.x.y.z/32) -- || pfsense v1.2.3|| -- LAN (192.168.0.0/24)

Über die WAN-Strecke möchte ich eine IPsecverbindung aufbauen. So dass ich von beiden LANs ins jeweils andere komme. Der Tunnel sollte am besten duaerhaft aktiv sein und sich nach einem disconnect neu aufbauen.

Meine aktuelle Config:
Allow mobile Clients deaktiviert.

pfsense:

Interface: LAN
Local Subnet: LAN subnet
Remote subnet: 10.15.6.0/24
Remote Gateway: a.b.c.d (dyndns-Adresse)

phase1:
Negotiation mode: aggressive
My identifier: My IP address
Ency. algo: 3DES
Hash algo: SHA1
DH key group: 2
PSK
PSk-Key: topfsekret

phase2:
Proto: ESP
Encry. algo: 3DES
Hash algo: SHA1
PFS key group: 2

Bei status:ipsec
Ist Overview und SAD leer nur: "No IPsec security associations."

Bei SPD:

10.15.6.0/24  192.168.0.0/24  > ESP  88.65.126.145 - 192.168.0.1
192.168.0.0/24 10.15.6.0/24 < ESP 192.168.0.1 - 88.65.126.6

Wenn ich den IPsec stope und starte bekomme ich:

Aug 2 17:04:53 racoon: [Self]: INFO: 192.168.0.1[500] used as isakmp port (fd=17)
Aug 2 17:04:53 racoon: [Self]: INFO: 213.x.y.z[500] used as isakmp port (fd=16)
Aug 2 17:04:53 racoon: [Self]: INFO: 172.16.a.b[500] used as isakmp port (fd=15)
Aug 2 17:04:53 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
Aug 2 17:04:53 racoon: INFO: unsupported PF_KEY message REGISTER
Aug 2 17:04:53 racoon: [Self]: INFO: 192.168.0.1[500] used as isakmp port (fd=17)
Aug 2 17:04:53 racoon: [Self]: INFO: 213.x.y.z[500] used as isakmp port (fd=16)
Aug 2 17:04:53 racoon: [Self]: INFO: 172.16.a.b[500] used as isakmp port (fd=15)
Aug 2 17:04:53 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
Aug 2 17:04:53 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Aug 2 17:04:53 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
Aug 2 17:04:53 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)

mehr nicht.

Wenn ich auf der Console  racoon -d -F -v -f /var/etc/racoon.conf ausführe bekomme ich:

racoon -d -F -v -f /var/etc/racoon.conf

Foreground mode.
2010-08-02 17:12:50: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
2010-08-02 17:12:50: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2010-08-02 17:12:50: INFO: Reading configuration from "/var/etc/racoon.conf"
2010-08-02 17:12:50: DEBUG: call pfkey_send_register for AH
2010-08-02 17:12:50: DEBUG: call pfkey_send_register for ESP
2010-08-02 17:12:50: DEBUG: call pfkey_send_register for IPCOMP
2010-08-02 17:12:50: DEBUG: reading config file /var/etc/racoon.conf
2010-08-02 17:12:50: DEBUG: hmac(modp1024)
2010-08-02 17:12:50: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2010-08-02 17:12:50: DEBUG: getsainfo params: loc='192.168.0.0/24', rmt='10.15.6.0/24', peer='NULL', id=0
2010-08-02 17:12:50: DEBUG: getsainfo pass #2
2010-08-02 17:12:50: DEBUG: open /var/db/racoon/racoon.sock as racoon management.
2010-08-02 17:12:50: DEBUG: my interface: 192.168.0.1 (re0)
2010-08-02 17:12:50: DEBUG: my interface: 213.x.y.z (re1)
2010-08-02 17:12:50: DEBUG: my interface: 172.16.a.b (re2)
2010-08-02 17:12:50: DEBUG: my interface: 127.0.0.1 (lo0)
2010-08-02 17:12:50: DEBUG: configuring default isakmp port.
2010-08-02 17:12:50: DEBUG: 4 addrs are configured successfully
2010-08-02 17:12:50: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
2010-08-02 17:12:50: INFO: 172.16.a.b[500] used as isakmp port (fd=8)
2010-08-02 17:12:50: INFO: 213.x.y.z[500] used as isakmp port (fd=9)
2010-08-02 17:12:50: INFO: 192.168.0.1[500] used as isakmp port (fd=10)
2010-08-02 17:12:50: DEBUG: pk_recv: retry[0] recv()
2010-08-02 17:12:50: DEBUG: get pfkey X_SPDDUMP message
2010-08-02 17:12:50: DEBUG: pfkey X_SPDDUMP failed: No such file or directory
^C2010-08-02 17:12:52: INFO: caught signal 2
2010-08-02 17:12:52: DEBUG: pk_recv: retry[0] recv()
2010-08-02 17:12:52: DEBUG: get pfkey FLUSH message
2010-08-02 17:12:53: DEBUG: call pfkey_send_dump
2010-08-02 17:12:53: DEBUG: pk_recv: retry[0] recv()
2010-08-02 17:12:53: INFO: racoon shutdown

Bei:

pfkey X_SPDDUMP failed: No such file or directory bleibt es hängen und ich breche mit ctrl-c ab.

Unter Rules habe ich bei IPSEC erlaubt:

LAN nach any
Any nach LAN
jeweils alles erlaubt.

Die Netscreen ist ebenfalls auf Aggressiv und die richtigen Phasen eingestellt, auch der PSK ist identisch.
Ich denke aber das das Problem nicht bei der NS ist sondern an der pfsense, da hier scheinbar nicht mal die phase1 aktiviert wird.

Mich wundert das no such file. Ich habe dazu aber keine wirklich aufschlussreiche Information gefunden.
Es wäre echt super wenn mir jemand einen Anstoß oder Hilfe geben könnte.

Danke
merylen

merylen

Wirklich keiner ne Idee?
Oder eine Tip was ich bei der Config anders machen soll/kann?

Hilfe!

merylen

Schade das sich wirklich niemand hier zu einem Kommentar durchringen kann.
Das ist das erste Forum in dem nicht mehr der Kommentar:
"Benutz mal die Suche" kommt.

Jedenfalls konnte ich es inzwischen lösen.
Das Problem scheint daran zu liegen das ein setkey /var/etc/spd.conf nicht ausgeführt wird.

Mit folgendem Vorgehen kann ich das "Problem" beheben.

Vorraussetzung:
Der Tunnel ist konfiguriert.

IPSEC per Web stoppen
Auf die pfsense Console einloggen und
setkey -f /var/etc/spd.conf  ausführen
IPSEC per Web starten.

Fertig, nun gehts.
Wenn ein neuer Tunnel dazu kommt, das gleiche wieder machen.

Ich konnte das Problem auf meiner Produktiven und einer Testumgebung nachstellen. Mich
wundert es, dass noch niemand anders das gleiche hatte.

P.S. Falls noch jemand interesse an der Konfig der NS 5GT hat kann er sich gerne bei mir melden.