IPSEC funktioniert nicht mehr nach Update von 2.1.5 auf 2.3.2

struppi

Hallo,

hab heute das Update von 2.1.5 auf 2.3.2 durchgeführt. Soweit hat auch (fast) alles funktioniert.
Leider geht nun die IpSec-VPN Verbindung nicht mehr. Hab keine Änderungen an den Einstellungen gemacht,
Konfiguration ist also noch wie in der 2.1.5 Version.

Firewall, Ports, etc. sind auch noch identisch.
Auf dem Client erhalte ich den Fehler: 4021 IKE(Phase 1) - could not contact Gateway (no response)

Wie gesagt, es wurde an der Konfiguration weder auf Seite des Clients noch auf der PFsense was geändert.

Was mich irgendwie auch wundert, das unter dem Menüpunkt Status–>Services der IPSec Service nirgends zu sehen ist,
in der 2.1.5 stand da immer IPSec-Service und konnte hier auch neu gestartet werden.

Kann mir jemand bitte auf die Sprünge helfen? Danke.

JeGr

Du schreibst etwas wenig über deinen Einsatz und deine Hardware. Ist das bspw. ein CARP Cluster? Oder eine Einzelne Kiste? Geh mal in die Konfiguration der IPSEC Phase 1 und 2 rein. Bei unserem Upgrade hatten wir den Fall, dass überall plötzlich die Interface IP drin stand, wir aber an der Stelle sinnigerweise bei einem Cluster ja die VIP brauchen. Auch den Identifier hatte es hier verstellt. Da es von 2.1 auf 2.3 einen komplett anderen IPSEC Daemon gibt, war da ein wenig kratzen zu erwarten, aber was es im Einzelfall bei dir ist, musst du in der Konfiguration mal nachsehen. Gateway klingt danach, dass sich die IP lokal oder des Gateways verstellt hat.

Gruß

struppi

Hallo,

es handelt sich um eine einzelne Kiste. Wie gesagt, was mir irgendwie komisch
vorkommt ist,  das unter Status–>Service der IPSec-Service nich zu sehen ist.

Als Client kommt der Shrewsoft und der NCP VPN Client auf Andoid zum Einsatz.
Konfig hat es auch 1:1 übernommen. Kein Hinweis auf einen Fehler etc. nur das es
nach dem Update nicht mehr läuft.

Vielleicht kann jemand seine funktionierende Version/Konfiguration hier bereit stellen?
Das wäre super toll. Vielen Dank.

struppi

So ein kleines Stücken weiter, der IPSec-Service scheint nun zu laufen. Aber eine Verbindugn wird immer noch nicht hergestellt.
Folgendes IPSec-Logfile hab ich nun:

Nov 25 09:45:26 charon 05[ENC] <7> received unknown vendor ID: cb:e7:94:44:a0:87:0d:e4:22:4a:2c:15:1f:bf:e0:99
Nov 25 09:45:26 charon 05[ENC] <7> received unknown vendor ID: c6:1b:ac:a1:f1:a6:0c:c1:08:00:00:00:00:00:00:00
Nov 25 09:45:26 charon 05[IKE] <7> received FRAGMENTATION vendor ID
Nov 25 09:45:26 charon 05[IKE] <7> received Cisco Unity vendor ID
Nov 25 09:45:26 charon 05[IKE] <7> xxx.xx.1.108 is initiating a Aggressive Mode IKE_SA
Nov 25 09:45:26 charon 05[CFG] <7> looking for pre-shared key peer configs matching xx.xxx.27.15…xxx.xx.1.108[test@test.de]
Nov 25 09:45:26 charon 05[CFG] <7> selected peer config "con1"
Nov 25 09:45:26 charon 05[IKE] <con1|7>no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]
Nov 25 09:45:26 charon 05[ENC] <con1|7>generating INFORMATIONAL_V1 request 1881593601 [ N(INVAL_KE) ]
Nov 25 09:45:26 charon 05[NET] <con1|7>sending packet: from xx.xxx.27.15[500] to xxx.xx.1.108[44436] (56 bytes)
Nov 25 09:45:30 charon 05[NET] <8> received packet: from xxx.xx.1.108[44436] to xx.xxx.27.15[500] (948 bytes)
Nov 25 09:45:30 charon 05[ENC] <8> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V V V V V V V ]
Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: da:8e:93:78:80:01:00:00
Nov 25 09:45:30 charon 05[IKE] <8> received XAuth vendor ID
Nov 25 09:45:30 charon 05[IKE] <8> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Nov 25 09:45:30 charon 05[IKE] <8> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Nov 25 09:45:30 charon 05[IKE] <8> received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Nov 25 09:45:30 charon 05[IKE] <8> received NAT-T (RFC 3947) vendor ID
Nov 25 09:45:30 charon 05[IKE] <8> received DPD vendor ID
Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: eb:4c:1b:78:8a:fd:4a:9c:b7:73:0a:68:d5:6d:08:8b
Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: cb:e7:94:44:a0:87:0d:e4:22:4a:2c:15:1f:bf:e0:99
Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: c6:1b:ac:a1:f1:a6:0c:c1:08:00:00:00:00:00:00:00
Nov 25 09:45:30 charon 05[IKE] <8> received FRAGMENTATION vendor ID
Nov 25 09:45:30 charon 05[IKE] <8> received Cisco Unity vendor ID
Nov 25 09:45:30 charon 05[IKE] <8> xxx.xx.1.108 is initiating a Aggressive Mode IKE_SA
Nov 25 09:45:30 charon 05[CFG] <8> looking for pre-shared key peer configs matching xx.xxx.27.15…xxx.xx.1.108[test@test.de]
Nov 25 09:45:30 charon 05[CFG] <8> selected peer config "con1"
Nov 25 09:45:30 charon 05[IKE] <con1|8>no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]
Nov 25 09:45:30 charon 05[ENC] <con1|8>generating INFORMATIONAL_V1 request 2308373839 [ N(INVAL_KE) ]
Nov 25 09:45:30 charon 05[NET] <con1|8>sending packet: from xx.xxx.27.15[500] to xxx.xx.1.108[44436] (56 bytes)
Nov 25 09:46:24 charon 12[CFG] rereading secrets
Nov 25 09:46:24 charon 12[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
Nov 25 09:46:24 charon 12[CFG] loaded IKE secret for test@test.de
Nov 25 09:46:24 charon 12[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Nov 25 09:46:24 charon 12[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Nov 25 09:46:24 charon 12[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Nov 25 09:46:24 charon 12[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Nov 25 09:46:24 charon 12[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Nov 25 09:46:24 charon 12[CFG] received stroke: unroute 'bypasslan'
Nov 25 09:46:24 ipsec_starter 5316 shunt policy 'bypasslan' uninstalled
Nov 25 09:46:24 charon 13[CFG] received stroke: delete connection 'bypasslan'
Nov 25 09:46:24 charon 13[CFG] deleted connection 'bypasslan'
Nov 25 09:46:24 charon 09[CFG] received stroke: delete connection 'con1'
Nov 25 09:46:24 charon 09[CFG] deleted connection 'con1'
Nov 25 09:46:24 charon 13[CFG] received stroke: add connection 'bypasslan'
Nov 25 09:46:24 charon 13[CFG] added configuration 'bypasslan'
Nov 25 09:46:24 charon 08[CFG] received stroke: route 'bypasslan'
Nov 25 09:46:24 ipsec_starter 5316 'bypasslan' shunt PASS policy installed
Nov 25 09:46:24 charon 14[CFG] received stroke: add connection 'con1'
Nov 25 09:46:24 charon 14[CFG] added configuration 'con1'

Dieser Logeintrag:
Nov 25 09:45:26 charon 05[IKE] <con1|7>no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]

verwundert mich, da der Key 100% auf beiden Seiten identisch ist und bei Pre-shared Keys eingetragen ist, der Typ steht wie bisher auch auf PSK

Auf Clientseite (NCP VPN Cient) kommt immer die Fehlermedlung:
error - 4021: ike(phase1) - could not contact gateway

wobei das ja eigentlich komisch ist, da im Logfile ja folgendes steht:
Nov 25 09:45:26 charon 05[IKE] <7> xxx.xx.1.108 is initiating a Aggressive Mode IKE_SA
Nov 25 09:45:26 charon 05[CFG] <7> looking for pre-shared key peer configs matching xx.xxx.27.15…xxx.xx.1.108[test@test.de]

Wenn ich im Menü: Status–>IPsec-->Overview beim Verbindungsaufbau nachschau, steht da:

Local Id            Local IP          Remote ID      Remote IP
xx.xxx.27.15 xx.xxx.27.15 Unknown       Unknown

Ich denke da ist nur irgendwo eine Einstellung die hier nicht mehr passt bzw die in der neuen Version geändert werden muss, aber ich such mir hier den Wolf.
Leider hab ich bisher auch keine Anleitung für die neue Version gefunden. Danke</con1|7></con1|8></con1|8></con1|8></con1|7></con1|7></con1|7>

struppi

Hallo,

kann mir den niemand einen Tipp geben? Hat den niemand eine funktionierende Konfiguration des IPSecs mit Mobileclient und dem NCP VPN Client und Shrewsoft die er hier zur Verfügung stellen kann? Ich hab in den letzten 2 Tagen sämtliche Möglichkeiten getestet, aber irgendwie funktioniert einfach nichts. Auch die spärlich vorhandenen Anleitungen für die aktuelle Version bringen keinen Erfolg. Also bitte sei doch jemand so nett und stell seine funktonierende Konfig hier zur Verfügung. So wie ich gesehen habe, bin ich ja nicht der einzige der mit der neuen IPSec Version probleme hat. Vielen lieben Dank.

mike69

@struppi:

Hallo,

kann mir den niemand einen Tipp geben? Hat den niemand eine funktionierende Konfiguration des IPSecs mit Mobileclient und dem NCP VPN Client und Shrewsoft die er hier zur Verfügung stellen kann?

Doch, gestern neu eingerichtet nach der Vorlage von https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-To. Clients sind Android, IOS und Debian mit Bordeigenen Mitteln. Zumindest unter IOS ist Mobileclient nicht nötig.

Es scheint etwas mit dem Pre Shared Key nicht zu klappen

Nov 25 09:45:26   charon      05[IKE] <con1|7> no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]</con1|7>

Ach ja, unter Firewall/Rules/IPsec ist eine Regel vorhanden, die alles zulässt?

struppi

@mike69: Du bist mein heutiger HELD!!!! Danke für den Link/Wink auf die Anleitung. Genau das war was mir gefehlt hat. Hab schon an mir selbst gezweifelt.
Das einzige was nicht gepasst hat, war die Authentication method: Mutual PSK + Xauth. Bisher ist das immer auf PSK gestanden.

Nochmal vielen lieben Dank. :D

mike69

Nicht dafür. :)