Dual WAN IPsec



  • Hallo!

    Ich nutze zwei WAN die als Failover konfiguriert sind, ohne Default Gateway Switching. Das ganze funktioniert auch einwandfrei. IPsec ist auf das Failoverinterface konfiguriert und läuft auch mit WAN1 (Primär WAN). Sobald jedoch auf WAN2 umgeschaltet wird, geht IPsec nicht mehr. Ich melde mich mit einem Distinguished Name an.

    Wo liegt hier der Fehler? Oder ist das so nicht möglich?

    Der Log zeigt:

    Sep 26 16:27:49	charon		07[NET] <bypasslan|24> sending packet: from xxx[4500] to 192.168.1.123[4500] (80 bytes)
    Sep 26 16:27:49	charon		07[ENC] <bypasslan|24> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
    Sep 26 16:27:49	charon		07[IKE] <bypasslan|24> peer supports MOBIKE
    Sep 26 16:27:49	charon		07[IKE] <bypasslan|24> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
    Sep 26 16:27:49	charon		07[CFG] <bypasslan|24> no alternative config found
    Sep 26 16:27:49	charon		07[IKE] <bypasslan|24> peer requested EAP, config inacceptable
    Sep 26 16:27:49	charon		07[CFG] <bypasslan|24> selected peer config 'bypasslan'
    Sep 26 16:27:49	charon		07[CFG] <24> looking for peer configs matching xxx[ipsecvpn]...192.168.1.123[192.168.1.123]
    Sep 26 16:27:49	charon		07[ENC] <24> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
    Sep 26 16:27:49	charon		07[ENC] <24> unknown attribute type (25)
    Sep 26 16:27:49	charon		07[NET] <24> received packet: from 192.168.1.123[4500] to xxx[4500] (496 bytes)
    Sep 26 16:27:49	charon		07[NET] <24> sending packet: from xxx[500] to 192.168.1.123[500] (473 bytes)
    Sep 26 16:27:49	charon		07[ENC] <24> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
    Sep 26 16:27:49	charon		07[IKE] <24> sending cert request for "C=DE, ST=A, L=A, O=A, E=a@a.a, CN=ipsecvpn"
    Sep 26 16:27:49	charon		07[IKE] <24> 192.168.1.123 is initiating an IKE_SA
    Sep 26 16:27:49	charon		07[ENC] <24> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
    Sep 26 16:27:49	charon		07[NET] <24> received packet: from 192.168.1.123[500] to xxx[500] (604 bytes)
    


  • OK, ich habe es zum laufen bekommen! Jedoch nur wenn WAN1 tatsächlich down ist. Ist WAN1 nicht down und ich möchte mich via WAN2 verbinden, funktioniert es nicht mit dem Fehler von oben.

    Doch wieso?


  • Moderator

    Doch wieso?

    OK, ich habe es zum laufen bekommen!

    Da stellt sich doch erstmal diese Frage, woraus sich dann ggf. die Antwort auf das "wieso" ergibt.



  • Nun lief es einige Tage einwandfrei, doch seit heute kann ich nur via WAN 2 verbinden, obwohl auch WAN 1 online ist und genutzt wird.

    Ich weiß nicht wo ich schauen soll wann welche IPsex Verbindung genutzt werden kann, bzw. wieso nun WAN 1 nicht geht.