Client IPSec EAP VPN does not work after upgrade to 2.5release
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
As a solution, we re-entered the Pre Shared Key from the config.xml Backup file and save.
If you look at the contents of config.xml before and after re-entering the key, are there any differences? Are there any differences in
/var/etc/ipsec/swanctl.conffor keys before and after changing config.xml? There should not be, but if there are, I need to know what they are.The status problem is already known and fixed. To ensure you have all of the current known and fixed IPsec issues corrected, You can install the System Patches package and then create entries for the following commit IDs to apply the fixes:
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Need help fast? Netgate Global Support!
Do not Chat/PM for help!
-
Hi Support!
The following 2 paths have solved the widget and status page issue:
https://github.com/pfsense/pfsense/commit/95a4e1a0e42392fe4523bf769589f74864446f8c.patch
https://github.com/pfsense/pfsense/commit/4e5857b656c7bfd59efadbb9a124876a5516c7df.patch
i looked at the difference (config.xml) before and after the update.
Data differ in 32 places and are missing.Unfortunately, I haven't seen the "swanctl.conf" file before. I will apply as soon as I know more!
Thanks!
-
@matyi-szabolcs
Unfortunately, there were problems with the ipsec connection again this morning. We've added additional patches and it now works.
However, the Ipsec Widget does not show an active link again.activated patches:
- ead6515637a34ce6e170e2d2b0802e4fa1e63a00
- 57beb9ad8ca11703778fc483c7cba0f6770657ac
- 10eb04259fd139c62e08df8de877b71fdd0eedc8
- ded7970ba57a99767e08243103e55d8a58edfc35
- afffe759c4fd19fe6b8311196f4b6d5e288ea4fb
- 2fe5cc52bd881ed26723a81e0eed848fd505fba6
- 95a4e1a0e42392fe4523bf769589f74864446f8c
- 4e5857b656c7bfd59efadbb9a124876a5516c7df
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Unfortunately, there were problems with the ipsec connection again this morning.
Hi,
Termelési környezetben használjátok a 2.5.0 -át?
Vagy ez egy teszt VM?Jimp tud segíteni ebben Ő a műszaki vezetője a Netgate -nek, érdemes figyelni a tanácsaira.
Ráadásul IPSec és egyéb VPN szakértő és általában minden...
Mi semmiképpen sem használjuk még a 2.5.0 termelési környezetben, ez hosszú évek tapasztalata, egy kicsit várni kell.Üdv...
+++edit:
@matyi-szabolcs "Hi Support!"
Jah és itt nincs support ez egy CE közösség, így mindenki segít...a support itt van : https://go.netgate.com/support/login
de ez nem CE -re vonatkozik, hanem Netgate HW -kra (SG-.......) -
Hi @daddygo !
Azt hittem káprázik a szemem, hogy magyarul olvaslak, vagy a google translate maradt bekapcsolva, de nem.
Igen ez az eset a termelésben történt. Előzőleg itthoni környezetben már 2 pfsense-t sikeresen lefrissítettem hiba nélkül, igaz itt ipsec nem volt csak openvpn. Már szinte biztos voltam benne, hogy nem lehet probléma. Jelenleg stabilnak látszik több további patch beadása után, de még szükség van időre a teszteléshez. A widget meg egyelőre így marad, van helyette nagios check.
Örültem a találkozásnak,
Üdv. -
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Azt hittem káprázik a szemem,
Az elmúlt években tapasztalatom szerint csak én vagyok itt magyar, vagyis Én sem az országban élek.
Maradj a 2.4.5 -p1 -en egy darabig nálunk több mint 200 pfSense telepítés fut kisseb nagyobb rendszereken, harmadik fél HW -in és original Netgate cuccokon is. Korai a 2.5, nálam egy Cisco UCS-C240M5 fut tesztként, de nem jó még.
Valahol majd 2.5.3-4 körül lehet váltani, de ígéretek szerint nyáron kijön a 2.6, ergo a Netgate kisérletezik velünk, hihihihi.
A fórum jó petricsésze nekik rengeteg "bug" jön elő.
Abban az esetben, ha segítség kell általában itt vagyok, sok ismerősöm van itt sok szakterületről, tudunk segíteni sok mindenben.
Örültem Én is!+++edit:
jah a "patch" -kel az a gond, ha firssül az FW a pkg - manager felülír mindent, nem sok marad megbelőlük, tehát mindent kezdhetsz újra, inkább jelentsd a dologokat "redmine" -on:
https://redmine.pfsense.org/ -
Hi @daddygo
Köszönöm az információt!
Most vettem észre, hogy a patch nem aktiválódik.
Most mind a 8 patch ezt írja a tesztnél:Patch can NOT be applied cleanly (detail) Patch can be reverted cleanly (detail)
Mindegyik patch tesztelésnél hasonló hibák.
A VPN kapcsolat rendben, status oldal is mutatja az aktív kapcsolatokat. Egyedül a widget nem. Van esetleg információd melyik patch amire tényleg szükség van és melyek a nem fontosak? Tegnap amikor csak 2 patch volt hozzá adva, akkor minden rendben volt, a widget is. Ma reggelre szakadt meg a kapsolat és hozzá adtuk a további patcheket és most ez a probléma.
Üdv!
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Van esetleg információd melyik patch amire tényleg szükség van és melyek a nem fontosak?
Átnéztem és nekem úgy tűnik, hogy nagyobb a probléma mint elsőre Jimp gondolta 17 perc elteltével adta ki a két patch -et és mindegyik PHP related....
https://redmine.pfsense.org/issues/11435
figyeld csak "redmine" Renato már át is tette 2.5.0-p1 -be, ami nekem erőssen azt sugalja, hogy a sok hiba miatt nem sokára kiadják a -p1 -et.
A második patch az aktuálisabb, de az sem jó
+++edit:
-
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Ma reggelre szakadt meg a kapsolat és hozzá adtuk a további patcheket és most ez a probléma.
Egyébként hol használjátok az IPSec -et? Két - több iroda, cég, telephely között..?
Ideiglenesen nem megoldás az OpenVPN az most működik rendesen, vagy Wireguard, ha nagyobb sebesség szükséges..WG -nek durva a teljesítménye, teszteltük és 6 napja fut két branch master router között.
https://www.netgate.com/blog/wireguard-in-pfsense-2-5-performance.html -
Hi @daddygo
Az ügyfelünknek már megvolt az ipsec hálózata mikor hozzánk került (több nagyváros között). Szóval mindenképp csak ezt tudtuk használni a pfsense-ben a már meglévő kapcsolataihoz. Ez most különösen kritikus probléma volt mivel a telefon is ipsecen keresztül üzemel. Volt kiesés is míg megtaláltam ezt a fórumot az ideiglenes megoldással, hogy a pre-shared-key újbóli beadása segíthet. Utána vettük észre, hogy sem a státusz oldal sem a widget nem mutatja megfelelően az adatokat. Egyelőre most működik jól, a státusz oldal is rendben, egyedül a widget a probléma de ez most elhanyagolható. Így hagyjuk és figyeli a nagios check_ipsec.
A WG is érdekes mindenképp, igen főleg a sebesség miatt. Ezt is majd tesztelni kell és semmiképp sem hagyjuk figyelmen kívül. Használ AES-t a hardveres titkosításhoz, vagy annélkül csinálja?
Köszi az infókat!
Üdv. -
@matyi-szabolcs said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
Használ AES-t a hardveres titkosításhoz, vagy annélkül csinálja?
Nem
a sebesség pont ezért van, mivel ezt használja
ChaCha20 + Poly1305 + https://tools.ietf.org/html/rfc7539
-
This post is deleted! -
@matyi-szabolcs
Yes, I have the problem with the widgets and status page also. Not sure about applying the patches. Did they work? I could not understand the rest of the thread. -
@acestrider1
Answer from just another user with IPsec problems: forget about 2.5.0 in its current state and the patches mentioned.We had a perfectly working tunnel between our remote office and our HQ until I decided to upgrade our office site. Even with IPsec working in the evening when I leave the tunnel is down the next morning. Logs don't help, there are 500+ entries within 45min alone with some logged rubbish but without a clue to the problem.
Applying those patches didn't make any difference. Tunnel down next morning. Rebooting the device and it's up for an unknown period again.
Whatever the reason, this 2.5.0 is borked in its current state even with all patches applied as of 2021-02-25.
Sorry, netgate team. If an update brings a working system down then it is kaputt. Face it. -
@jahonix said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
We had a perfectly working tunnel between our remote office and our HQ until I decided to upgrade our office site. Even with IPsec working in the evening when I leave the tunnel is down the next morning. Logs don't help, there are 500+ entries within 45min alone with some logged rubbish but without a clue to the problem.
That doesn't match up with the symptoms in this thread, please start your own thread and we can help you figure out what's wrong with that setup. Sounds like maybe the tunnel isn't rekeying properly or the child SA close action needs set on one side to make it reconnect (especially if it's VTI)
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Need help fast? Netgate Global Support!
Do not Chat/PM for help!
-
@jimp said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
please start your own thread and we can help you figure out what's wrong with that setup.
Jim,
thanks for your offer!
Unfortunately we don't have the time to dig through this. Our fix was to rollback to 2.4.5-p1 and stick with that version. Maybe we'll have a look at 2.5.0 +1 or so. -
@jahonix said in Client IPSec EAP VPN does not work after upgrade to 2.5release:
thanks for your offer!
Unfortunately we don't have the time to dig through this. Our fix was to rollback to 2.4.5-p1 and stick with that version. Maybe we'll have a look at 2.5.0 +1 or so.Fair enough but if nobody else hits the same problem as you then there is little chance of it being fixed. If we don't know enough about it and can't reproduce or diagnose it, then we can't work on it.
-
This post is deleted! -
Too bad, the last comment of this tread has been deleted. You could think of a community test - distribute the VPN credentials of the test environment to the forum participants and we will provide you with all possible dumps and logs. Really guys, I'm available. All this would have allowed your customers not to spend sleepless nights studying IPSec in the hope of finding "that" fantastic configuration that will allow their company to work peacefully. Please...
-
This post is deleted!
