Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC funktioniert nicht mehr nach Update von 2.1.5 auf 2.3.2

    Scheduled Pinned Locked Moved Deutsch
    8 Posts 3 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      struppi
      last edited by

      Hallo,

      hab heute das Update von 2.1.5 auf 2.3.2 durchgeführt. Soweit hat auch (fast) alles funktioniert.
      Leider geht nun die IpSec-VPN Verbindung nicht mehr. Hab keine Änderungen an den Einstellungen gemacht,
      Konfiguration ist also noch wie in der 2.1.5 Version.

      Firewall, Ports, etc. sind auch noch identisch.
      Auf dem Client erhalte ich den Fehler: 4021 IKE(Phase 1) - could not contact Gateway (no response)

      Wie gesagt, es wurde an der Konfiguration weder auf Seite des Clients noch auf der PFsense was geändert.

      Was mich irgendwie auch wundert, das unter dem Menüpunkt Status–>Services der IPSec Service nirgends zu sehen ist,
      in der 2.1.5 stand da immer IPSec-Service und konnte hier auch neu gestartet werden.

      Kann mir jemand bitte auf die Sprünge helfen? Danke.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Du schreibst etwas wenig über deinen Einsatz und deine Hardware. Ist das bspw. ein CARP Cluster? Oder eine Einzelne Kiste? Geh mal in die Konfiguration der IPSEC Phase 1 und 2 rein. Bei unserem Upgrade hatten wir den Fall, dass überall plötzlich die Interface IP drin stand, wir aber an der Stelle sinnigerweise bei einem Cluster ja die VIP brauchen. Auch den Identifier hatte es hier verstellt. Da es von 2.1 auf 2.3 einen komplett anderen IPSEC Daemon gibt, war da ein wenig kratzen zu erwarten, aber was es im Einzelfall bei dir ist, musst du in der Konfiguration mal nachsehen. Gateway klingt danach, dass sich die IP lokal oder des Gateways verstellt hat.

        Gruß

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • S
          struppi
          last edited by

          Hallo,

          es handelt sich um eine einzelne Kiste. Wie gesagt, was mir irgendwie komisch
          vorkommt ist,  das unter Status–>Service der IPSec-Service nich zu sehen ist.

          Als Client kommt der Shrewsoft und der NCP VPN Client auf Andoid zum Einsatz.
          Konfig hat es auch 1:1 übernommen. Kein Hinweis auf einen Fehler etc. nur das es
          nach dem Update nicht mehr läuft.

          Vielleicht kann jemand seine funktionierende Version/Konfiguration hier bereit stellen?
          Das wäre super toll. Vielen Dank.

          1 Reply Last reply Reply Quote 0
          • S
            struppi
            last edited by

            So ein kleines Stücken weiter, der IPSec-Service scheint nun zu laufen. Aber eine Verbindugn wird immer noch nicht hergestellt.
            Folgendes IPSec-Logfile hab ich nun:

            Nov 25 09:45:26 charon 05[ENC] <7> received unknown vendor ID: cb:e7:94:44:a0:87:0d:e4:22:4a:2c:15:1f:bf:e0:99
            Nov 25 09:45:26 charon 05[ENC] <7> received unknown vendor ID: c6:1b:ac:a1:f1:a6:0c:c1:08:00:00:00:00:00:00:00
            Nov 25 09:45:26 charon 05[IKE] <7> received FRAGMENTATION vendor ID
            Nov 25 09:45:26 charon 05[IKE] <7> received Cisco Unity vendor ID
            Nov 25 09:45:26 charon 05[IKE] <7> xxx.xx.1.108 is initiating a Aggressive Mode IKE_SA
            Nov 25 09:45:26 charon 05[CFG] <7> looking for pre-shared key peer configs matching xx.xxx.27.15…xxx.xx.1.108[test@test.de]
            Nov 25 09:45:26 charon 05[CFG] <7> selected peer config "con1"
            Nov 25 09:45:26 charon 05[IKE] <con1|7>no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]
            Nov 25 09:45:26 charon 05[ENC] <con1|7>generating INFORMATIONAL_V1 request 1881593601 [ N(INVAL_KE) ]
            Nov 25 09:45:26 charon 05[NET] <con1|7>sending packet: from xx.xxx.27.15[500] to xxx.xx.1.108[44436] (56 bytes)
            Nov 25 09:45:30 charon 05[NET] <8> received packet: from xxx.xx.1.108[44436] to xx.xxx.27.15[500] (948 bytes)
            Nov 25 09:45:30 charon 05[ENC] <8> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V V V V V V V ]
            Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: da:8e:93:78:80:01:00:00
            Nov 25 09:45:30 charon 05[IKE] <8> received XAuth vendor ID
            Nov 25 09:45:30 charon 05[IKE] <8> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
            Nov 25 09:45:30 charon 05[IKE] <8> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
            Nov 25 09:45:30 charon 05[IKE] <8> received draft-ietf-ipsec-nat-t-ike-00 vendor ID
            Nov 25 09:45:30 charon 05[IKE] <8> received NAT-T (RFC 3947) vendor ID
            Nov 25 09:45:30 charon 05[IKE] <8> received DPD vendor ID
            Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: eb:4c:1b:78:8a:fd:4a:9c:b7:73:0a:68:d5:6d:08:8b
            Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: cb:e7:94:44:a0:87:0d:e4:22:4a:2c:15:1f:bf:e0:99
            Nov 25 09:45:30 charon 05[ENC] <8> received unknown vendor ID: c6:1b:ac:a1:f1:a6:0c:c1:08:00:00:00:00:00:00:00
            Nov 25 09:45:30 charon 05[IKE] <8> received FRAGMENTATION vendor ID
            Nov 25 09:45:30 charon 05[IKE] <8> received Cisco Unity vendor ID
            Nov 25 09:45:30 charon 05[IKE] <8> xxx.xx.1.108 is initiating a Aggressive Mode IKE_SA
            Nov 25 09:45:30 charon 05[CFG] <8> looking for pre-shared key peer configs matching xx.xxx.27.15…xxx.xx.1.108[test@test.de]
            Nov 25 09:45:30 charon 05[CFG] <8> selected peer config "con1"
            Nov 25 09:45:30 charon 05[IKE] <con1|8>no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]
            Nov 25 09:45:30 charon 05[ENC] <con1|8>generating INFORMATIONAL_V1 request 2308373839 [ N(INVAL_KE) ]
            Nov 25 09:45:30 charon 05[NET] <con1|8>sending packet: from xx.xxx.27.15[500] to xxx.xx.1.108[44436] (56 bytes)
            Nov 25 09:46:24 charon 12[CFG] rereading secrets
            Nov 25 09:46:24 charon 12[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
            Nov 25 09:46:24 charon 12[CFG] loaded IKE secret for test@test.de
            Nov 25 09:46:24 charon 12[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
            Nov 25 09:46:24 charon 12[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
            Nov 25 09:46:24 charon 12[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
            Nov 25 09:46:24 charon 12[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
            Nov 25 09:46:24 charon 12[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
            Nov 25 09:46:24 charon 12[CFG] received stroke: unroute 'bypasslan'
            Nov 25 09:46:24 ipsec_starter 5316 shunt policy 'bypasslan' uninstalled
            Nov 25 09:46:24 charon 13[CFG] received stroke: delete connection 'bypasslan'
            Nov 25 09:46:24 charon 13[CFG] deleted connection 'bypasslan'
            Nov 25 09:46:24 charon 09[CFG] received stroke: delete connection 'con1'
            Nov 25 09:46:24 charon 09[CFG] deleted connection 'con1'
            Nov 25 09:46:24 charon 13[CFG] received stroke: add connection 'bypasslan'
            Nov 25 09:46:24 charon 13[CFG] added configuration 'bypasslan'
            Nov 25 09:46:24 charon 08[CFG] received stroke: route 'bypasslan'
            Nov 25 09:46:24 ipsec_starter 5316 'bypasslan' shunt PASS policy installed
            Nov 25 09:46:24 charon 14[CFG] received stroke: add connection 'con1'
            Nov 25 09:46:24 charon 14[CFG] added configuration 'con1'

            Dieser Logeintrag:
            Nov 25 09:45:26 charon 05[IKE] <con1|7>no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]

            verwundert mich, da der Key 100% auf beiden Seiten identisch ist und bei Pre-shared Keys eingetragen ist, der Typ steht wie bisher auch auf PSK

            Auf Clientseite (NCP VPN Cient) kommt immer die Fehlermedlung:
            error - 4021: ike(phase1) - could not contact gateway

            wobei das ja eigentlich komisch ist, da im Logfile ja folgendes steht:
            Nov 25 09:45:26 charon 05[IKE] <7> xxx.xx.1.108 is initiating a Aggressive Mode IKE_SA
            Nov 25 09:45:26 charon 05[CFG] <7> looking for pre-shared key peer configs matching xx.xxx.27.15…xxx.xx.1.108[test@test.de]

            Wenn ich im Menü: Status–>IPsec-->Overview beim Verbindungsaufbau nachschau, steht da:

            Local Id            Local IP          Remote ID      Remote IP
            xx.xxx.27.15 xx.xxx.27.15 Unknown       Unknown

            Ich denke da ist nur irgendwo eine Einstellung die hier nicht mehr passt bzw die in der neuen Version geändert werden muss, aber ich such mir hier den Wolf.
            Leider hab ich bisher auch keine Anleitung für die neue Version gefunden. Danke</con1|7></con1|8></con1|8></con1|8></con1|7></con1|7></con1|7>

            1 Reply Last reply Reply Quote 0
            • S
              struppi
              last edited by

              Hallo,

              kann mir den niemand einen Tipp geben? Hat den niemand eine funktionierende Konfiguration des IPSecs mit Mobileclient und dem NCP VPN Client und Shrewsoft die er hier zur Verfügung stellen kann? Ich hab in den letzten 2 Tagen sämtliche Möglichkeiten getestet, aber irgendwie funktioniert einfach nichts. Auch die spärlich vorhandenen Anleitungen für die aktuelle Version bringen keinen Erfolg. Also bitte sei doch jemand so nett und stell seine funktonierende Konfig hier zur Verfügung. So wie ich gesehen habe, bin ich ja nicht der einzige der mit der neuen IPSec Version probleme hat. Vielen lieben Dank.

              1 Reply Last reply Reply Quote 0
              • mike69M
                mike69 Rebel Alliance
                last edited by

                @struppi:

                Hallo,

                kann mir den niemand einen Tipp geben? Hat den niemand eine funktionierende Konfiguration des IPSecs mit Mobileclient und dem NCP VPN Client und Shrewsoft die er hier zur Verfügung stellen kann?

                Doch, gestern neu eingerichtet nach der Vorlage von https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-To. Clients sind Android, IOS und Debian mit Bordeigenen Mitteln. Zumindest unter IOS ist Mobileclient nicht nötig.

                Es scheint etwas mit dem Pre Shared Key nicht zu klappen

                Nov 25 09:45:26   charon      05[IKE] <con1|7> no shared key found for 'xx.xxx.27.15'[xx.xxx.27.15] - 'test@test.de'[xxx.xx.1.108]</con1|7>
                

                Ach ja, unter Firewall/Rules/IPsec ist eine Regel vorhanden, die alles zulässt?

                DG FTTH 400/200
                Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                1 Reply Last reply Reply Quote 0
                • S
                  struppi
                  last edited by

                  @mike69: Du bist mein heutiger HELD!!!! Danke für den Link/Wink auf die Anleitung. Genau das war was mir gefehlt hat. Hab schon an mir selbst gezweifelt.
                  Das einzige was nicht gepasst hat, war die Authentication method: Mutual PSK + Xauth. Bisher ist das immer auf PSK gestanden.

                  Nochmal vielen lieben Dank. :D

                  1 Reply Last reply Reply Quote 0
                  • mike69M
                    mike69 Rebel Alliance
                    last edited by

                    Nicht dafür. :)

                    DG FTTH 400/200
                    Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.