Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dual WAN IPsec

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 568 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mrsunfire
      last edited by

      Hallo!

      Ich nutze zwei WAN die als Failover konfiguriert sind, ohne Default Gateway Switching. Das ganze funktioniert auch einwandfrei. IPsec ist auf das Failoverinterface konfiguriert und läuft auch mit WAN1 (Primär WAN). Sobald jedoch auf WAN2 umgeschaltet wird, geht IPsec nicht mehr. Ich melde mich mit einem Distinguished Name an.

      Wo liegt hier der Fehler? Oder ist das so nicht möglich?

      Der Log zeigt:

      Sep 26 16:27:49	charon		07[NET] <bypasslan|24> sending packet: from xxx[4500] to 192.168.1.123[4500] (80 bytes)
      Sep 26 16:27:49	charon		07[ENC] <bypasslan|24> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
      Sep 26 16:27:49	charon		07[IKE] <bypasslan|24> peer supports MOBIKE
      Sep 26 16:27:49	charon		07[IKE] <bypasslan|24> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
      Sep 26 16:27:49	charon		07[CFG] <bypasslan|24> no alternative config found
      Sep 26 16:27:49	charon		07[IKE] <bypasslan|24> peer requested EAP, config inacceptable
      Sep 26 16:27:49	charon		07[CFG] <bypasslan|24> selected peer config 'bypasslan'
      Sep 26 16:27:49	charon		07[CFG] <24> looking for peer configs matching xxx[ipsecvpn]...192.168.1.123[192.168.1.123]
      Sep 26 16:27:49	charon		07[ENC] <24> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
      Sep 26 16:27:49	charon		07[ENC] <24> unknown attribute type (25)
      Sep 26 16:27:49	charon		07[NET] <24> received packet: from 192.168.1.123[4500] to xxx[4500] (496 bytes)
      Sep 26 16:27:49	charon		07[NET] <24> sending packet: from xxx[500] to 192.168.1.123[500] (473 bytes)
      Sep 26 16:27:49	charon		07[ENC] <24> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
      Sep 26 16:27:49	charon		07[IKE] <24> sending cert request for "C=DE, ST=A, L=A, O=A, E=a@a.a, CN=ipsecvpn"
      Sep 26 16:27:49	charon		07[IKE] <24> 192.168.1.123 is initiating an IKE_SA
      Sep 26 16:27:49	charon		07[ENC] <24> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
      Sep 26 16:27:49	charon		07[NET] <24> received packet: from 192.168.1.123[500] to xxx[500] (604 bytes)
      

      Netgate 6100 MAX

      1 Reply Last reply Reply Quote 0
      • M
        mrsunfire
        last edited by

        OK, ich habe es zum laufen bekommen! Jedoch nur wenn WAN1 tatsächlich down ist. Ist WAN1 nicht down und ich möchte mich via WAN2 verbinden, funktioniert es nicht mit dem Fehler von oben.

        Doch wieso?

        Netgate 6100 MAX

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Doch wieso?

          OK, ich habe es zum laufen bekommen!

          Da stellt sich doch erstmal diese Frage, woraus sich dann ggf. die Antwort auf das "wieso" ergibt.

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • M
            mrsunfire
            last edited by

            Nun lief es einige Tage einwandfrei, doch seit heute kann ich nur via WAN 2 verbinden, obwohl auch WAN 1 online ist und genutzt wird.

            Ich weiß nicht wo ich schauen soll wann welche IPsex Verbindung genutzt werden kann, bzw. wieso nun WAN 1 nicht geht.

            Netgate 6100 MAX

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.