pfSense baut mehrere Phase2 Connections auf (VPN)

itschloegl

Hallo zusammen,

folgende Problem: Eine PFSense baut mehrere Phase 2 Connections auf. Dadurch ist keine Verbindung zwischen den Gegenstellen (Site2Site-VPN) mehr möglich.

Die Einstellungen wurden bereits geprüft und sind auf beiden Appliances gleich.

Verbunden wird eine PfSense mit zwei ZyXEL USGs.

Die zweite ZyXEL (anderer Standort) läuft mit selben Einstellungen ohne Probleme durch.

Screenshot zum Zeitpunkt des Problems:

Nach einem Trennen der Verbindung baut sich diese auf und ist für ca. 24h aktiv und funktionstüchtig. Anschließend das selbe Spiel wieder.

Danke schonmal
Christian

JeGr

Und was ist falsch daran, dass mehrere Phase 2 Verbindungen existieren? Weil nur eine eingerichtet ist? Da steht etwas wenig Input in der Fragestellung?

Ansonsten sieht man im Screenshot zwei Phase2 Varianten, die sich im MODP Parameter unterscheiden. Somit gehe ich davon aus, dass irgendeine Seite bei einem Rekey oder Verbindungsverlust die Verbindung falsch aufbaut bzw. einfach annimmt anstatt eine der beiden Phasen abzulehnen. Aus der Vergangenheit mit IPSec und Strongswan würde ich behaupten das ist auf Zyxel Seite.

Ich würde zum Debuggen hergehen und entweder die Konfiguration der Phase 2 prüfen (denn da stimmt definitiv was nicht 100%ig, sonst wären die beiden P2s nicht minimal unterschiedlich), ansonsten mal versuchen die pfSense Seite als Initiator abzuklemmen (selbst keine Verbindung aufbauen, nur eine annehmen). Modp2048 ist DH Gruppe 14 die beim oberen Eintrag fehlt.

Grüße