PROBLEMAS CON IPSEC-OPT1 EN 1.2BETA - ERROR: failed to pre-process packet.
-
En una configuracion de varios tuneles IPSEC funcionando correctamente, si cambio la puerta de enlace de uno de los tuneles a opt1/wan2, todos los tuneles siguientes de la configuracion dejan de funcionar.
Configuracion antes del cambio WAN2/OPT1 en el SITE13
Status Local net Remote net Interface Remote gw P1 mode P1 Enc. Algo P1 Hash Algo Description
ok LAN 192.168.8.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE8
ok LAN 192.168.6.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE6
ok LAN 192.168.13.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE13
ok LAN 192.168.62.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE62
ok LAN 192.168.53.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE53
ok LAN 192.168.68.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE68Configuracion depues del cambio WAN2/OPT1 en el SITE13
Status Local net Remote net Interface Remote gw P1 mode P1 Enc. Algo P1 Hash Algo Description
ok LAN 192.168.8.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE8
ok LAN 192.168.6.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE6
err LAN 192.168.13.0/24 WAN2 x.x.x.x aggressive 3DES MD5 SITE13
err LAN 192.168.62.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE62
err LAN 192.168.53.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE53
err LAN 192.168.68.0/24 WAN x.x.x.x aggressive 3DES MD5 SITE68IPSEC LOG ERROR:
May 17 17:18:23 racoon: ERROR: failed to pre-process packet.
May 17 17:18:23 racoon: ERROR: failed to get proposal for responder.
May 17 17:18:23 racoon: ERROR: no policy found: 192.168.68.0/24[0] 172.26.0.0/24[0] proto=any dir=in
May 17 17:18:23 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE68[500]
May 17 17:18:21 racoon: ERROR: failed to pre-process packet.
May 17 17:18:21 racoon: ERROR: failed to get proposal for responder.
May 17 17:18:21 racoon: ERROR: no policy found: 192.168.53.0/24[0] 172.26.0.0/24[0] proto=any dir=in
May 17 17:18:21 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE53[500]
May 17 17:18:20 racoon: ERROR: failed to pre-process packet.
May 17 17:18:20 racoon: ERROR: failed to get proposal for responder.
May 17 17:18:20 racoon: ERROR: no policy found: 192.168.62.0/24[0] 172.26.0.0/24[0] proto=any dir=in
May 17 17:18:20 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE62[500]
May 17 17:18:18 racoon: ERROR: failed to pre-process packet.
May 17 17:18:18 racoon: ERROR: failed to get proposal for responder.
May 17 17:18:18 racoon: ERROR: no policy found: 192.168.13.0/24[0] 172.26.0.0/24[0] proto=any dir=in
May 17 17:18:18 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE13[500]¿Sabeis que puede estar pasando?
-
Hola,
según esto:
failed to get proposal for responder.
May 17 17:18:18 racoon: ERROR: no policy found: 192.168.13.0/24[0] 172.26.0.0/24[0] proto=any dir
no hace match la policy en ambos peers…
¿cuando cambias la wan a wan2 , cambias tambien la ip en la cofiguración del otro equipo hacia wan2? -
Si, efectivamente tambien la cambie.
El caso es que he conseguido evitar este mensaje de error modificando a IPs fijas las configuracion del WAN y WAN2 (anteriormente en IP fija entregada por DHCP), sin embargo tampoco consigo que se establezca la conexion, ahora las rules se crean correctamente, pero no los tuneles, se muestran los mensajes de error tipicos que se suelen postear en los foros cuando se emplean túneles IPSECs en OPT1, este problema en teoria estaba resuelto en los ultimos SNAPSHOTs 1.1 y en la beta 1.2.
16:51:08 racoon: ERROR: phase1 negotiation failed due to time up. xxxxxxxxxxxxxxxxxxxxx
16:50:57 last message repeated 4 times
16:50:18 racoon: NOTIFY: the packet is retransmitted by yyyyyyyyyyyyyyyy[500].
16:50:07 racoon: INFO: received Vendor ID: ??????
16:50:07 racoon: INFO: begin Aggressive mode.
16:50:07 racoon: INFO: respond new phase 1 negotiation: zzzzzzzzzzzz[500]<=>yyyyyyyyyyy[500]¿Alguien ha conseguido crear tuneles IPSEC en WAN y OPT1 simultaneamente para una misma subred local?