nach Update IPsec Probelme - Verbindung zu einer Fritzbox



  • Hallo,
    ich habe pfSense 2.5 am laufen und heute habe ich nach 10 Tagen mal wieder ein Update gemacht. Leider funktionieren seitdem 2 IPsec Tunnel zu zwei Fritzboxen nicht mehr.
    Ich habe nicht an der Konfiguration geändert. Ich habe auch schon die komplette IPsec Konig gelöscht und aus dem zuvor erstellten Backup wiederhergestellt, leider ohne Erfolg.
    Die Anleitung zu Konfiguration hatte ich vor längererer Zeit mal von hier entnommen.
    Ich hoffe es kann mir jemand helfen oder ist das ein Fehler im aktuellen Update?

    Gruß Robert

    Auszug aus dem pfSense Log:

    Sep 21 13:37:20	charon	1235	07[NET] <2044> received packet: from 91.66.**.**[500] to 91.64.***.***[500] (708 bytes)
    Sep 21 13:37:20	charon	1235	07[ENC] <2044> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
    Sep 21 13:37:20	charon	1235	07[CFG] <2044> looking for an IKEv1 config for 91.64.***.***...91.66.**.**
    Sep 21 13:37:20	charon	1235	07[IKE] <2044> no IKE config found for 91.64.***.***...91.66.**.**, sending NO_PROPOSAL_CHOSEN
    Sep 21 13:37:20	charon	1235	07[ENC] <2044> generating INFORMATIONAL_V1 request 3804441756 [ N(NO_PROP) ]
    Sep 21 13:37:20	charon	1235	07[NET] <2044> sending packet: from 91.64.***.***[500] to 91.66.**.**[500] (40 bytes)
    Sep 21 13:37:20	charon	1235	07[IKE] <2044> IKE_SA (unnamed)[2044] state change: CREATED => DESTROYING
    

    Auszug aus dem Fritzbox Log:

    21.09.20
    13:48:35
    VPN-Fehler: N2N LH, IKE-Error 0x2026 [5 Meldungen seit 21.09.20 13:48:15]
    

  • LAYER 8 Rebel Alliance

    https://redmine.pfsense.org/issues/10632
    Wieso setzt du eine DEV version ein und nicht STABLE?

    -Rico



  • Hallo,
    ich hatte bis jetzt keine Probleme mit der 2.5

    der Link von dir ist 3 Monate alt und zwischen meinen Updates lagen nur 10 Tage, die Version mit der es funktioniert hat war somit erst 10 Tage alt
    Gruß Robert


  • LAYER 8 Moderator

    schau dir mal mein Thema an im allgemeinen Unterforum wie die Einstellungen zur FB sein können und wie du der FB bspw Main Mode beibringst. Ich sehe da aggressive mode was schon länger immer wieder Probleme machen kann und nicht mehr unterstützt werden sollte. Mit ein wenig Skript Magie kann die FB auch AES mit Main Mode. Warum das so bescheuert sein muss - keine Ahnung.

    No Proposal Chosen sieht daher stark nach P1 oder P2 mismatch aus



  • Hallo,
    die Konfiguration lief bis vor wenigen Tagen ohne Probleme und das seit ca. einem Jahr. Ich vermute daher eher einen Fehler im aktuellen Update für die 2.5

    Gruß Robert



  • Da du das VPN mit der Fritz ja eingerichtet hast, solltest du doch wissen was die kann und was nicht.
    Hast du deine P1 und P2 Settings schon geprüft?

    Im log sollte doch alles stehen um raus zu finden, was bei Aufbau zur AVM Kiste falsch läuft.

    Sicher das nur du ein Update auf der Sense gemacht hast, die AVM Teile rollen ja gerade mit 7.2x durch die Landschaft und da wird ja gerade der VPN Teil explizit angepackt. Hier soll ein wenig mehr Power raus geholt werden., wohu die haben Hardware AES entdeckt, irre 2020 bereits, jedenfalls für die neueren Kisten die das wohl können. Sprich 65/75er Reihe.

    Ggf. hast du ja so eine Gegenstelle und omg, die kann auf einmal sogar was im VPN.

    Der Einwand von JeGr ist berechtigt, Main ist das was man verwenden wollte, Aggressiv Mode ist der ich scheiße auf Security Mode und leider bei AVM wohl immer noch Stand der Technik, oder dankt dem Update halt nicht mehr.
    Mir war es leider auch nur möglich, mit der Agro Einstellung den Tunnel dauerhaft stabil hin zu bekommen zu einer 64/74er Reihe.



  • Hallo,
    es hat sich an den Fritzboxen nichts geändert!
    Die eine läuft auf 7.12 und die andere auf 7.21 was aber auch vor dem Update funktioniert hat. Das Problem wurde definitiv durch das Update verursacht, da es keine Änderung gab.
    Gruß Robert



  • Aber die P1 und P2 in der sense hast dir noch nicht angeschaut oder?
    Nicht das hier der Aggro Mode raus geflogen ist, das würde dann sehr schnell erklären warum das gleich bei P1 auf die fresse fliegt.



  • Hallo,
    da ist alles wie vorher und auch der "Aggressiv Mode" ist noch da und aktiviert.

    Mich wundert aber die Log Zeile:

    charon	1235	07[IKE] <2044> no IKE config found for 91.64.***.***...91.66.**.**, sending NO_PROPOSAL_CHOSEN
    

    was soll das. heißen "no IKE config found" ? warum findet er die Konfig nicht ?

    Gruß Robert


  • LAYER 8 Moderator

    Er findet nicht "die konfig nicht", sondern NO PROPOSAL CHOSEN heißt, dass er sich mit der Gegenstelle auf KEINE gültige ausgewählte Einstellung der Phase einigen kann. Also das Cipherset in P1 oder das Enc-Set in P2. Wenn nichts da ist was er matchen kann - dann kommt NO PROPOSAL CHOSEN.

    Am Einfachsten ist es da die pfSense auf "receiver only" zu schalten, IPSEC durchstarten und dann die Fritze dazu zu bringen, dass SIE die Verbindung versucht aufzubauen.

    Dann solltest du im LOG sehen, was die Fritz anbietet, was die pfSense antwortet und ob da eine Übereinstimmung erzielt werden kann. Als Receiver erhält Strongswan/IPSEC auf der pfSense mehr Logs, daher sinnvoller.



  • Hallo,
    nach weiteren Updates in den letzen Tagen wird die Verbindung seit gestern wieder hergestellt und das ohne die kleinste Änderung an der Konfiguration. Der einzige kleine Schönheitsfehler der noch geblieben ist, ist das die beiden Tunnel im Status noch als nicht verbunden angezeigt werden. Vermutlich verschwindet dieser Anzeigefehler dann noch mit einem der nächsten Updates.
    Gruß Robert


Log in to reply