Erreur avec tunnel ipsec
-
Bonjour,
Je suis en train de mettre en place un tunnel ipsec entre un routeur digi avec une Ip dynamique et fsense.
J'ai essayé beaucoup de configuration mais j'ai toujours le même probleme. Je mets un log en copie!
Pouvez vous m'aider?Merci d'avance,
log :
12[MGR] checkin and destroy of IKE_SA successful
Nov 4 10:15:44
charon12[IKE] <92> IKE_SA (unnamed)[92] state change: CONNECTING => DESTROYING
Nov 4 10:15:44
charon12[MGR] <92> checkin and destroy IKE_SA (unnamed)[92]
Nov 4 10:15:44
charon12[NET] <92> sending packet: from ...[500] to ...[21876] (56 bytes)
Nov 4 10:15:44
charon12[ENC] <92> generating INFORMATIONAL_V1 request 742051466 [ N(AUTH_FAILED) ]
Nov 4 10:15:44
charon12[IKE] <92> activating INFORMATIONAL task
Nov 4 10:15:44
charon12[IKE] <92> activating new tasks
Nov 4 10:15:44
charon12[IKE] <92> queueing INFORMATIONAL task
Nov 4 10:15:44
charon12[IKE] <92> Aggressive Mode PSK disabled for security reasons
Nov 4 10:15:44
charon12[CFG] <92> selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Nov 4 10:15:44
charon12[CFG] <92> configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_3072, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_MD5_96/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_MD5/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/MODP_3072/MODP_4096/MODP_8192/MODP_2048/MODP_2048_256/MODP_1024, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_MD5/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/MODP_3072/MODP_4096/MODP_8192/MODP_2048/MODP_2048_256/MODP_1024
Nov 4 10:15:44
charon12[CFG] <92> received proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Nov 4 10:15:44
charon12[CFG] <92> proposal matches
Nov 4 10:15:44
charon12[CFG] <92> selecting proposal:
Nov 4 10:15:44
charon12[CFG] <92> no acceptable PSEUDO_RANDOM_FUNCTION found
Nov 4 10:15:44
charon12[CFG] <92> selecting proposal:
Nov 4 10:15:44
charon12[IKE] <92> IKE_SA (unnamed)[92] state change: CREATED => CONNECTING
Nov 4 10:15:44
charon12[IKE] <92> ... is initiating a Aggressive Mode IKE_SA
-
Pouvez vous poster les configurations cryptographiques de chacun extrémité du tunnel ?
-
Bonjour et merci de votre réponse:
Du coté pfsense :
Mutual PSK
Agressive
Distinguished name
AES
SHA1
DH Group2Phase 2 :
ESP
AES 192 SHA1 PS Key Group OffDu coté de mon routeur Digi avec une ip dynamique:
J'ai essayé de mettre les éléments identiques.Plusieurs choses m'embêtent :
Nov 21 14:53:57 charon 07[IKE] <27384> IKE_SA (unnamed)[27384] state change: CONNECTING => DESTROYING
Nov 21 14:53:57 charon 07[MGR] <27384> checkin and destroy IKE_SA (unnamed)[27384]
Nov 21 14:53:57 charon 07[NET] <27384> sending packet: from ...[500] to ...[4212] (56 bytes)POurquoi le port 4212?
Pourquoi Connecting puis destroying?Merci encore de votre aide.
-
J'ai essayé de mettre les éléments identiques.
Le problème est qu'il faut être certain.
Essayer en désactivant de part et d'autre le mode Agressiv.
Il semble que la SA soit détruite juste après avoir été établie. D'autres équipements qui vous appartiennent sur le trajet ?
Le routeur Digi est à jour de son firmware? Il y a tellement de cause possible à votre problème ….