Erreur avec tunnel ipsec



  • Bonjour,

    Je suis en train de mettre en place un tunnel ipsec entre un routeur digi avec une Ip dynamique et fsense.
    J'ai essayé beaucoup de configuration mais j'ai toujours le même probleme. Je mets un log en copie!
    Pouvez vous m'aider?

    Merci d'avance,

    log :

    12[MGR] checkin and destroy of IKE_SA successful
    Nov 4 10:15:44
    charon

    12[IKE] <92> IKE_SA (unnamed)[92] state change: CONNECTING => DESTROYING
    Nov 4 10:15:44
    charon

    12[MGR] <92> checkin and destroy IKE_SA (unnamed)[92]
    Nov 4 10:15:44
    charon

    12[NET] <92> sending packet: from ...[500] to ...[21876] (56 bytes)
    Nov 4 10:15:44
    charon

    12[ENC] <92> generating INFORMATIONAL_V1 request 742051466 [ N(AUTH_FAILED) ]
    Nov 4 10:15:44
    charon

    12[IKE] <92> activating INFORMATIONAL task
    Nov 4 10:15:44
    charon

    12[IKE] <92> activating new tasks
    Nov 4 10:15:44
    charon

    12[IKE] <92> queueing INFORMATIONAL task
    Nov 4 10:15:44
    charon

    12[IKE] <92> Aggressive Mode PSK disabled for security reasons
    Nov 4 10:15:44
    charon

    12[CFG] <92> selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
    Nov 4 10:15:44
    charon

    12[CFG] <92> configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_3072, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_MD5_96/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_MD5/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/MODP_3072/MODP_4096/MODP_8192/MODP_2048/MODP_2048_256/MODP_1024, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_MD5/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/MODP_3072/MODP_4096/MODP_8192/MODP_2048/MODP_2048_256/MODP_1024
    Nov 4 10:15:44
    charon

    12[CFG] <92> received proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
    Nov 4 10:15:44
    charon

    12[CFG] <92> proposal matches
    Nov 4 10:15:44
    charon

    12[CFG] <92> selecting proposal:
    Nov 4 10:15:44
    charon

    12[CFG] <92> no acceptable PSEUDO_RANDOM_FUNCTION found
    Nov 4 10:15:44
    charon

    12[CFG] <92> selecting proposal:
    Nov 4 10:15:44
    charon

    12[IKE] <92> IKE_SA (unnamed)[92] state change: CREATED => CONNECTING
    Nov 4 10:15:44
    charon

    12[IKE] <92> ... is initiating a Aggressive Mode IKE_SA



  • Pouvez vous poster les configurations cryptographiques de chacun extrémité du tunnel ?



  • Bonjour et merci de votre réponse:
    Du coté pfsense :
    Mutual PSK
    Agressive
    Distinguished name
    AES
    SHA1
    DH Group2

    Phase 2 :
    ESP
    AES 192 SHA1 PS Key Group Off

    Du coté de mon routeur Digi avec une ip dynamique:
    J'ai essayé de mettre les éléments identiques.

    Plusieurs choses m'embêtent :

    Nov 21 14:53:57 charon 07[IKE] <27384> IKE_SA (unnamed)[27384] state change: CONNECTING => DESTROYING
    Nov 21 14:53:57 charon 07[MGR] <27384> checkin and destroy IKE_SA (unnamed)[27384]
    Nov 21 14:53:57 charon 07[NET] <27384> sending packet: from ...[500] to ...[4212] (56 bytes)

    POurquoi le port 4212?
    Pourquoi Connecting puis destroying?

    Merci encore de votre aide.



  • J'ai essayé de mettre les éléments identiques.

    Le problème est qu'il faut être certain.
    Essayer en désactivant de part et d'autre le mode Agressiv.
    Il semble que la SA soit détruite juste après avoir été établie. D'autres équipements qui vous appartiennent sur le trajet ?
    Le routeur Digi est à jour de son firmware? Il y a tellement de cause possible à votre problème ….