Tunnel steht aber kein durchlass
-
Hallo Leute,
Ich habe einen Tunnel zwichen einer PFSense 1.2-Release und einer Fritzbox 7270 erstellt.
Wenn ich den Tunnel im TunnelModus starte und die momentane IP der FB angebe funktioniert alles bestens, bis zum nächsten reconnect der FB.Wenn ich Mobile-Client auf der PFSense als Gegenstelle Einrichte bekomme ich immer folgende Log Einträge:
Aug 20 21:36:59 racoon: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.0.0/24[0] proto=any dir=out" Aug 20 21:36:59 racoon: ERROR: such policy does not already exist: "192.168.0.0/24[0] 192.168.1.0/24[0] proto=any dir=in" Aug 20 21:36:59 racoon: INFO: IPsec-SA established: ESP/Tunnel 88.224.247.17[0]->88.174.162.24[0] spi=3987519298(0xedacb742) Aug 20 21:36:59 racoon: INFO: IPsec-SA established: ESP/Tunnel 88.174.162.24[0]->88.224.247.17[0] spi=40365880(0x267ef38)
Und keinerlei Pakete können den Tunnel passieren.
Wenn ich mir die Routingtabelle ansehe, finde ich auch keine Routingeinträge die auf diesen Tunnel verweisen.unter States finde ich bei einem Ping
icmp 192.168.0.55:768 -> 192.168.1.1 0:0 icmp 192.168.1.1:768 <- 192.168.0.55 0:0 icmp 88.224.247.17:17227 -> 88.0.116.200 0:0
Firewallregeln für beide Interfaces (lan und ipsec) sind gesetzt!
die Configdatei der FB sieht so aus:
vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "der-name"; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "remote-dom.ath.cx"; localid { fqdn = "local-dom.ath.cx"; } remoteid { fqdn = "remote-dom.ath.cx"; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "mein-key"; cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.1.0; mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 192.168.0.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } // EOF
Ich hoffe hier kann mir Jemand helfen, zu dem Thema "ERROR: such policy does not already exist:" bestehen ja EINIGE Foreneinträge, aber keine davon führt zum Ziel…..
DANKE im Vorraus
Thilo