Client IPSec EAP VPN does not work after upgrade to 2.5release
-
sorry for replying myself.... but
simply deleting the EAP entry in the webinterface (VPN / IPSec / Pre-Shared Keys)
and add a new one with EXACTLY the same data works....The really funny thing is the /var/etc/ipsec/swanctl.conf is exactly the same as before removal! How can this happen?
When the EAP User was removed the appropriat secret entry was gone, though....
Mystique.....
-
If it is 100% identical there should not have been a difference in behavior.
Use the config history function under Diagnostics > Backup/Restore and compare the configurations before and after making the change.
-
The problem also occurred with us.
After the upgrade, the IPsec tunnels could not connect.
As a solution, we re-entered the Pre Shared Key from the config.xml Backup file and save.
Alternatively, the entire backup file can be re-entered, but it involves a reboot.
Another problem is that the IPsec Widget still does not display active connections. Not on the status side either.
Tthe connection is active:
OK - IPSEC VPN tunnel to xxx.xxx.xxx.xxx - ESTABLISHED 6 minutes ago
OK - IPSEC VPN tunnel to xxx.xxx.xxx.xxx - ESTABLISHED 7 minutes ago
OK - IPSEC VPN tunnel to xxx.xxx.xxx.xxx - ESTABLISHED 9 minutes agoWill there be an update to fix the problem?
Thanks!
-
This post is deleted! -
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
As a solution, we re-entered the Pre Shared Key from the config.xml Backup file and save.
If you look at the contents of config.xml before and after re-entering the key, are there any differences? Are there any differences in
/var/etc/ipsec/swanctl.conf
for keys before and after changing config.xml? There should not be, but if there are, I need to know what they are.The status problem is already known and fixed. To ensure you have all of the current known and fixed IPsec issues corrected, You can install the System Patches package and then create entries for the following commit IDs to apply the fixes:
-
Hi Support!
The following 2 paths have solved the widget and status page issue:
https://github.com/pfsense/pfsense/commit/95a4e1a0e42392fe4523bf769589f74864446f8c.patch
https://github.com/pfsense/pfsense/commit/4e5857b656c7bfd59efadbb9a124876a5516c7df.patch
i looked at the difference (config.xml) before and after the update.
Data differ in 32 places and are missing.Unfortunately, I haven't seen the "swanctl.conf" file before. I will apply as soon as I know more!
Thanks!
-
Unfortunately, there were problems with the ipsec connection again this morning. We've added additional patches and it now works.
However, the Ipsec Widget does not show an active link again.activated patches:
- ead6515637a34ce6e170e2d2b0802e4fa1e63a00
- 57beb9ad8ca11703778fc483c7cba0f6770657ac
- 10eb04259fd139c62e08df8de877b71fdd0eedc8
- ded7970ba57a99767e08243103e55d8a58edfc35
- afffe759c4fd19fe6b8311196f4b6d5e288ea4fb
- 2fe5cc52bd881ed26723a81e0eed848fd505fba6
- 95a4e1a0e42392fe4523bf769589f74864446f8c
- 4e5857b656c7bfd59efadbb9a124876a5516c7df
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Unfortunately, there were problems with the ipsec connection again this morning.
Hi,
Termelési környezetben használjátok a 2.5.0 -át?
Vagy ez egy teszt VM?Jimp tud segíteni ebben Ő a műszaki vezetője a Netgate -nek, érdemes figyelni a tanácsaira.
Ráadásul IPSec és egyéb VPN szakértő és általában minden...
Mi semmiképpen sem használjuk még a 2.5.0 termelési környezetben, ez hosszú évek tapasztalata, egy kicsit várni kell.Üdv...
+++edit:
@matyi-szabolcs "Hi Support!"
Jah és itt nincs support ez egy CE közösség, így mindenki segít...a support itt van : https://go.netgate.com/support/login
de ez nem CE -re vonatkozik, hanem Netgate HW -kra (SG-.......) -
Hi @daddygo !
Azt hittem káprázik a szemem, hogy magyarul olvaslak, vagy a google translate maradt bekapcsolva, de nem.
Igen ez az eset a termelésben történt. Előzőleg itthoni környezetben már 2 pfsense-t sikeresen lefrissítettem hiba nélkül, igaz itt ipsec nem volt csak openvpn. Már szinte biztos voltam benne, hogy nem lehet probléma. Jelenleg stabilnak látszik több további patch beadása után, de még szükség van időre a teszteléshez. A widget meg egyelőre így marad, van helyette nagios check.
Örültem a találkozásnak,
Üdv. -
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Azt hittem káprázik a szemem,
Az elmúlt években tapasztalatom szerint csak én vagyok itt magyar, vagyis Én sem az országban élek.
Maradj a 2.4.5 -p1 -en egy darabig nálunk több mint 200 pfSense telepítés fut kisseb nagyobb rendszereken, harmadik fél HW -in és original Netgate cuccokon is. Korai a 2.5, nálam egy Cisco UCS-C240M5 fut tesztként, de nem jó még.
Valahol majd 2.5.3-4 körül lehet váltani, de ígéretek szerint nyáron kijön a 2.6, ergo a Netgate kisérletezik velünk, hihihihi.
A fórum jó petricsésze nekik rengeteg "bug" jön elő.
Abban az esetben, ha segítség kell általában itt vagyok, sok ismerősöm van itt sok szakterületről, tudunk segíteni sok mindenben.
Örültem Én is!+++edit:
jah a "patch" -kel az a gond, ha firssül az FW a pkg - manager felülír mindent, nem sok marad megbelőlük, tehát mindent kezdhetsz újra, inkább jelentsd a dologokat "redmine" -on:
https://redmine.pfsense.org/ -
Hi @daddygo
Köszönöm az információt!
Most vettem észre, hogy a patch nem aktiválódik.
Most mind a 8 patch ezt írja a tesztnél:Patch can NOT be applied cleanly (detail) Patch can be reverted cleanly (detail)
Mindegyik patch tesztelésnél hasonló hibák.
A VPN kapcsolat rendben, status oldal is mutatja az aktív kapcsolatokat. Egyedül a widget nem. Van esetleg információd melyik patch amire tényleg szükség van és melyek a nem fontosak? Tegnap amikor csak 2 patch volt hozzá adva, akkor minden rendben volt, a widget is. Ma reggelre szakadt meg a kapsolat és hozzá adtuk a további patcheket és most ez a probléma.
Üdv!
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Van esetleg információd melyik patch amire tényleg szükség van és melyek a nem fontosak?
Átnéztem és nekem úgy tűnik, hogy nagyobb a probléma mint elsőre Jimp gondolta 17 perc elteltével adta ki a két patch -et és mindegyik PHP related....
https://redmine.pfsense.org/issues/11435
figyeld csak "redmine" Renato már át is tette 2.5.0-p1 -be, ami nekem erőssen azt sugalja, hogy a sok hiba miatt nem sokára kiadják a -p1 -et.
A második patch az aktuálisabb, de az sem jó
+++edit:
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Ma reggelre szakadt meg a kapsolat és hozzá adtuk a további patcheket és most ez a probléma.
Egyébként hol használjátok az IPSec -et? Két - több iroda, cég, telephely között..?
Ideiglenesen nem megoldás az OpenVPN az most működik rendesen, vagy Wireguard, ha nagyobb sebesség szükséges..WG -nek durva a teljesítménye, teszteltük és 6 napja fut két branch master router között.
https://www.netgate.com/blog/wireguard-in-pfsense-2-5-performance.html -
Hi @daddygo
Az ügyfelünknek már megvolt az ipsec hálózata mikor hozzánk került (több nagyváros között). Szóval mindenképp csak ezt tudtuk használni a pfsense-ben a már meglévő kapcsolataihoz. Ez most különösen kritikus probléma volt mivel a telefon is ipsecen keresztül üzemel. Volt kiesés is míg megtaláltam ezt a fórumot az ideiglenes megoldással, hogy a pre-shared-key újbóli beadása segíthet. Utána vettük észre, hogy sem a státusz oldal sem a widget nem mutatja megfelelően az adatokat. Egyelőre most működik jól, a státusz oldal is rendben, egyedül a widget a probléma de ez most elhanyagolható. Így hagyjuk és figyeli a nagios check_ipsec.
A WG is érdekes mindenképp, igen főleg a sebesség miatt. Ezt is majd tesztelni kell és semmiképp sem hagyjuk figyelmen kívül. Használ AES-t a hardveres titkosításhoz, vagy annélkül csinálja?
Köszi az infókat!
Üdv. -
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Használ AES-t a hardveres titkosításhoz, vagy annélkül csinálja?
Nem
a sebesség pont ezért van, mivel ezt használja
ChaCha20 + Poly1305 + https://tools.ietf.org/html/rfc7539 -
This post is deleted! -
@matyi-szabolcs
Yes, I have the problem with the widgets and status page also. Not sure about applying the patches. Did they work? I could not understand the rest of the thread. -
@acestrider1
Answer from just another user with IPsec problems: forget about 2.5.0 in its current state and the patches mentioned.We had a perfectly working tunnel between our remote office and our HQ until I decided to upgrade our office site. Even with IPsec working in the evening when I leave the tunnel is down the next morning. Logs don't help, there are 500+ entries within 45min alone with some logged rubbish but without a clue to the problem.
Applying those patches didn't make any difference. Tunnel down next morning. Rebooting the device and it's up for an unknown period again.
Whatever the reason, this 2.5.0 is borked in its current state even with all patches applied as of 2021-02-25.
Sorry, netgate team. If an update brings a working system down then it is kaputt. Face it. -
@jahonix said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
We had a perfectly working tunnel between our remote office and our HQ until I decided to upgrade our office site. Even with IPsec working in the evening when I leave the tunnel is down the next morning. Logs don't help, there are 500+ entries within 45min alone with some logged rubbish but without a clue to the problem.
That doesn't match up with the symptoms in this thread, please start your own thread and we can help you figure out what's wrong with that setup. Sounds like maybe the tunnel isn't rekeying properly or the child SA close action needs set on one side to make it reconnect (especially if it's VTI)
-
@jimp said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
please start your own thread and we can help you figure out what's wrong with that setup.
Jim,
thanks for your offer!
Unfortunately we don't have the time to dig through this. Our fix was to rollback to 2.4.5-p1 and stick with that version. Maybe we'll have a look at 2.5.0 +1 or so. -
@jahonix said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
thanks for your offer!
Unfortunately we don't have the time to dig through this. Our fix was to rollback to 2.4.5-p1 and stick with that version. Maybe we'll have a look at 2.5.0 +1 or so.Fair enough but if nobody else hits the same problem as you then there is little chance of it being fixed. If we don't know enough about it and can't reproduce or diagnose it, then we can't work on it.
-
This post is deleted! -
Too bad, the last comment of this tread has been deleted. You could think of a community test - distribute the VPN credentials of the test environment to the forum participants and we will provide you with all possible dumps and logs. Really guys, I'm available. All this would have allowed your customers not to spend sleepless nights studying IPSec in the hope of finding "that" fantastic configuration that will allow their company to work peacefully. Please...
-
This post is deleted! -
We do test it. We all use snapshots on our home edges with IPsec back to HQ, I have dozens of tunnels and mobile setup styles in my lab and am constantly monitoring and testing them with Windows, Android, and OS X clients. Others here have their own setups at home and in their labs as well. All of mine work, but there are only so many different scenarios we can test.
With all the settings possible in IPsec there are thousands of different potential configurations and client combinations. At some point we need more feedback from real-world users instead of tests in lab conditions.
-
@jimp said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
As a solution, we re-entered the Pre Shared Key from the config.xml Backup file and save.
If you look at the contents of config.xml before and after re-entering the key, are there any differences? Are there any differences in
/var/etc/ipsec/swanctl.conf
for keys before and after changing config.xml? There should not be, but if there are, I need to know what they are.The status problem is already known and fixed. To ensure you have all of the current known and fixed IPsec issues corrected, You can install the System Patches package and then create entries for the following commit IDs to apply the fixes:
Hi Jimp,
I had installed the patches but after I added a second ipsec site2site tunnel all tunnels are shown as dicconected in the widget. Maybe @matyi-szabolcs and @DaddyGo found a solution but I'm only able to understand english and german ;)I tried to check some return values from the funktion: pfSense_ipsec_list_sa() like in https://redmine.pfsense.org/issues/7856 but I'm not able to do. I don't know how. Maby you can sne me a link for an how to or an documentation how I can do this and I can debug myself and help you out?
Cheers -
@marco42 said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Maybe @matyi-szabolcs and @DaddyGo found a solution but I'm only able to understand english and german ;)
Hi,
nope, we didn't find a solution either, unfortunately...
we just met and spoke on the same language briefly, I apologize to the other colleagues...
PS:
there are not many Hungarian speakers here on the forum -
@daddygo said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
@marco42 said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Maybe @matyi-szabolcs and @DaddyGo found a solution but I'm only able to understand english and german ;)
Hi,
nope, we didn't find a solution either, unfortunately...
we just met and spoke on the same language briefly, I apologize to the other colleagues...
PS:
there are not many Hungarian speakers here on the forumU R Welcome
Sorry for repeat my question but:
I tried to check some return values from the funktion: pfSense_ipsec_list_sa() like in https://redmine.pfsense.org/issues/7856 but I'm not able to do. I don't know how. Maby someone can send me a link for a how to or a documentation how I can do this and I can debug myself?Cheers
-
@marco42 said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Sorry for repeat my question but:
Hi,
understandable, but...nope, no one knows that.. :)
The best, I can suggest is stay a little longer at 2.4.5-p1 with IPsecI know it's hard to figure out what's going on in 2.5.0, but it's a production environment... in our case (from this I get my IT judgment)
we never switch versions, when Netgate says it can be now :-)
pls. - understand them too, you are the best experimental interface
so I am running a 2.5.0 machine on an ESXI enviroment on Cisco UCS unit to help the community
-
Mas is van magyar... Ez se Mo-on el... :-)
-
@csandor said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Ez se Mo-on el... :-)
Örülünk neked Sándor
Látom a billentyűzet angol, hihihihhi, mostanában nem sokat vagyok itt, de készülök a hétvégén 2.5.1 telepíteni, szóval benézek, ha tudok segíteni valamiben megtalálsz.
Kellemes hétvégét.
-
Hali minden kedves honfitarsamnak,!
Van meg 2 eszrevetel 2.5.1 verziot illetoen.
A node_exporter plugin eltunik kis ido után a web menüből és nem indul automatikusan.
linkValamint mit biztosan nem sokan teszteltek meg le az, hogy hardver koltozteteskor 2.5-bol atvitt config.xml masik hardveren beadva nem bootolt be tobb probalkozas utan sem. Miutan csinaltam egy friss 2.4.5 telepitest es a 2.4.5 configot beadtam neki, minden tokeletesen mukodott. Majd a HW2-t tudtam frissiteni most mar 2.5.1-re. @DaddyGo nak lesz igaza, hogy majd frissiteni inkabb olyan 2.5.2 vagy 2.5.3 korul lesz erdemes. A 2.5.1 is tulsagosan hamar elkeszult igy a vegere. A kiadas elott 2-3 nappal neztem meg 50 ticket nyitva volt. Nem hiszem, hogy 2 nap alatt osszecsaptak volna ha elotte a 25 ticketet honapokig kellett csinalniuk. Udv.
-
Észrevettem egy ilyen megoldást - törölje az EAP bejegyzést a webes felületről (VPN / IPSec / Pre-Shared Keys). Számomra úgy tűnik, hogy ha így törli a problémát, akkor a probléma megoldható, és a konfiguráció más részei sérülhetnek.
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Majd a HW2-t tudtam frissiteni most mar 2.5.1-re. @DaddyGo nak lesz igaza, hogy majd frissiteni inkabb olyan 2.5.2 vagy 2.5.3 korul lesz erdemes.
Jah, egy kicsit elmerültem a VPS -ink világában (sok volt a változás Ubuntu FocalFossa :-) és -a skandalum cuccok, amik történtek manapság a Netgate "háza táján" egy kicsit távol tartott a forumtól, várom míg elül a por...
@matyi-szabolcs "hogy hardver koltozteteskor 2.5-bol atvitt config.xml masik hardveren beadva nem bootolt be"
ha HW változás van a config.xml a régi cuccokat tartalmazza, like igb, cxgbe, emX, bwn, ixgbe, or other driver, mindig gond...
azt szoktam tenni, hogy a régi HW paramétereit manuálisan átírom a config.xml- ben az új (estleges) meghajtókhoz, mivel a régi HW tuti nem tartalmazza, ugyanazt a HW komponenseket, mint a régi.
A FreeBSD újra konfigolja az alap paramétereket (CPU, ACPI, MEM, BUS, USB, etc.), de a pl. a NIC paramétereket társítja interface(s) -hez, így azok nem importálhatóak egy új rendszerbe, HW -ba,Szóval az alap pfSense dolog átjönnek az új installra, de NIC paraméterek nem, így az összes új interface el lesz dobva, értelem szerűen.
BTW:
Mi van veletek srácok, mindenki jól van??? I hope so... :-)
-
Hi Bro,
Szóval több magyar lesz itt :-)
+++edit:
már kezdtem egyedül lenni :-)) + Szabi :-) -
Hi,
one Question...
why are you so unbelieveable rude and post in your own language, since this thread and this subforum is clearly an english posting scenario?I don't get it...
-
@4920441-0 said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
why are you so unbelieveable rude and post in your own language,
You are a funny boy
it's not about you, dude, it's about us
+++edit:
learn Hungarian, come on buddy -
@daddygo Üdv újra!
Igen a configban át kell írni ha más az interface név (másik gyártó), már csináltam ilyent is, de itt igb volt mindkét hardveren. A 2.4.5 költözést bírta jól, a 2.5.0 költözést nem. A 2 hardver is nagyjából ugyanaz az inteles gép csak a cpu különbözik. Egyébként ha tovább bíbelődtem volna lehet, hogy sikerült volna összehozni de 3 ujratelepites és próbálkozás utan már nem volt hozzá kedv. Viszont cserébe a 2.4.5 install után szépen bevette a konfigot és lehetett frissíteni 2.5.1-re jól 2.4.5-ről. Azóta nincs gondom vele - teljesen jól megy és stabil. Mondjuk a node_exporter plugint igazán rendberakhatnák de tudok a problémával élni egyéb cli trükkökkel.. :-) -
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
node_exporter plugint igazán rendberakhatnák de tudok a problémával élni egyéb cli trükkökkel.. :-)
Üdv a feltételezett open source világban, mi megvárjuk , nincs komoly CVE és már az itthoni pfSense- em is 2.5.1 -en van ja jóhhhhh, de FreeBSD 12 és mostanában leköt az Ubuntu,
BTW:
jól vagy van szuri??, meg ilyenek? tudod Én "foreigner" vagyok a hazámban, hihihihihihi, bár a 70 -es években születtem, ez meg hahahhaahhaa -
@daddygo
:-)
Örömmel olvasom, hogy jól vagy. Természetesen én is. Egyébként egy cipőben járunk az Ubuntuval, mert én is azt használom desktop és szerver(ek)en. Persze a melóhelyen kívül, mert ott CentOS a fő.BTW:
Ameddig csak lehet én maradok oltás ellenes. Már azt is olvasi erre arra, hogy azzal adják be a chip-eket az emberekbe. Bár ezt én annyira nem hinném.Vannak már ticketek a 2.5.2 verzióról előzetesbe?
Üdv!