Upgrade von 23.01 zu 23.05 - danach über IPSEC keine RADIUS Verbindung mehr möglich???
-
Hallo
ich habe eine IPSEC Strecke zu unserem RZ, dort steht auch eine pfSense (Version 22.05) installiert. Heute habe ich die pfSense im Office von 23.01 auf 23.05 hochgezogen und danach konnten die Client im Office über die dortigen WLAN Hotspots (Radius Authentication) nicht mehr per WLAN zugreifen!! Die Hotspots können über die IPSEC Strecke nicht mehr den RADIUS Server erreichen. Mit 23.01 ging es ohne Probleme. Hat jemand eine Idee?
Werde in der Zwischenzeit ein Ausweich PfSense mit alter Software 23.01 installieren!
Danke für jeden Antwort zu dem Problem.
VG
Norbert -
@NSuttner said in Upgrade von 23.01 zu 23.05 - danach über IPSEC keine RADIUS Verbindung mehr möglich???:
Hat jemand eine Idee?
Geht denn der IPSEC Tunnel?
Mal ein Packet Capture laufen lassen? -
@slu Tunnel funktioniert ohne Probleme, kann alle Maschinen im RZ erreichen, nur RADIUS Authentication (die beiden Server stehen im RZ) funktioniert nicht mehr! Strange!
-
@NSuttner Schon versucht dediziert den Radius Traffic mitzuschneiden ob der ankommt bzw. die richtigen Wege nimmt? Zwischen 23.01 und 05 hat sich jetzt was IPsec angeht keine große Logik verändert, daher würde ich an der Stelle ggf. eher danach suchen, ob sich nun Routing- oder andere Wege die fürs Radius wichtig sind verändert haben. Alternativ das was im Changelog aufgefallen ist, also Dinge wie policy based routes, die auf Regeln mit Gateways aufsetzen, bei denen das GW im Namen sich ggf. geändert hat (war ein Bug in 23.01 den ich reportet hatte), also Sachen die sich explizit im Changelog von 23.05 tummeln. Generell mit Radius gibts da kein Problem - daher vermute ich da eher was zwischen Quelle und Ziel.
-
@JeGr Hallo, es sieht so aus, als ob der Radius Traffic plötzlich nicht mehr über das LAN sondern das WAN läuft, und darüber scheitert die Connection! Habe ähnliche Probleme auch schon im Forum gefunden. Nicht speziell mit 23.05. Überlege gerade wir ich direkt an der pfsense den Connect zu unserem Radius server testen kann. Das müsste ja dann bei 23.01 funktionieren und bei 23.05 eben nicht mehr!
-
Sind die mit FQDN oder IP eingetragen?
Wie sieht die Routing Tabelle aus?
Wenn FQDN, wie wird das aufgelöst? Private oder Public IP? -
@NOCling Statische Public IP - Routing Table ist ein gutes Thema, alles wird durch das WAN geroutet, Habe jetzt mal ein LAN GW gesetzt und für den Radius Server eine statische Route gesetzt, Bin am testen.....
-
Warum haben deine Radius Server eine Public IP?
Dann wundert es mich nicht, wenn es Default direkt durch das WAN raus geht.
-
@NOCling Na ja, nicht ganz, denn bis dato hat es ja auch funktioniert und über das WAN läuft ja auch der IPSEC Tunnel, andere Dienste, außer dem RADIUS Zugriff haben bis zu dem Versionswechsel funktioniert, die Konfig ist mehere Jahre so in Betrieb....wie dem auch sei, ich schaue jetzt mal ob es mit dem Routineintrag funktioniert. Danke für Deine Hilfe!
-
@NSuttner said in Upgrade von 23.01 zu 23.05 - danach über IPSEC keine RADIUS Verbindung mehr möglich???:
@JeGr Hallo, es sieht so aus, als ob der Radius Traffic plötzlich nicht mehr über das LAN sondern das WAN läuft, und darüber scheitert die Connection! Habe ähnliche Probleme auch schon im Forum gefunden. Nicht speziell mit 23.05. Überlege gerade wir ich direkt an der pfsense den Connect zu unserem Radius server testen kann. Das müsste ja dann bei 23.01 funktionieren und bei 23.05 eben nicht mehr!
Dann müsstest du konkreter werden, was dein Setup angeht bzgl. der Public IP, wo die Radius Kisten genau stehen, wie die IPs haben, welche wo anliegen etc.
Es kann auch gut sein, dass ihr all die Jahre ne Fehlkonfiguration hattet, die jetzt eben mal sauber gefixt wurde im Zuge des Refactoring für 23.01 und 23.05 und das daher dann jetzt aufgefallen ist, dass da was (automagisch) geroutet wurde, wo es laut System eigentlich gar nicht hin soll. Aber dazu müsste man mehr sehen, um da was konkreter zu machen. Oder wenns kritische Daten sind, dass man sich das im Rahmen von Support mal zusammen anschaut, aber das liest sich jetzt eher nicht nach ner einfachen Kiste, die man so zwischen Tür und Angel - oder zwischen zwei Zeilen ;) - beantworten kann. Wir haben das bei Kunden auch schon gesehen, dass da mit 23.01 und 23.05 manche kleinen Sachen wie gesagt nicht mehr geklappt haben, was aber wirklich dann Punkte waren, die im Original so hätten gar nicht gehen sollen und nur nicht auffielen, weil sie einfach geklappt haben (und man sich erst hinterher jetzt fragt warum eigentlich) :)
Wenn dus ansonsten ggf. genauer beschrieben und bezeichnen kannst, wäre das interessant festzustellen, was bei dir zutrifft oder ob man sich da ggf. um nen Bug bemühen sollte.
Cheers
-
@JeGr Hi, danke für Deine ausfühliche Antwort, ich werde mich sicher nochmals melden, wenn ich genaueres weiß, hatte bis jetzt leider keine Zeit mir das genauer anzusehen!
-
@NSuttner Hallo, also ich habe heute einiges am Routing getestet und verändert, hat alles nichts gebracht, ich werde mal die 23.01 noch weiterlaufen lassen und auf das neue Release warten und mein Problem nochmals ansehen. Bin mir ziemlich sicher, das sich das so löse wird! Danke trotzdem für die Hilfe.
-
@NSuttner said in Upgrade von 23.01 zu 23.05 - danach über IPSEC keine RADIUS Verbindung mehr möglich???:
Bin mir ziemlich sicher, das sich das so löse wird!
Da bin ich gespannt, halte uns auf dem laufenden.
-
@slu Also, die 23.05.1 war nicht die Lösung! Ich habe an meinem Unify AP einen TCPDUMP durchgeführt und festgestellt, das fragmentierte Paket die Verbindung des AP zum Windows NPS Server verhindern. Habe dann etwas mit den FRAME MTU Raten am NPS rumgespielt, einerlei Erfolg! Erfolg brachte das setzen des nachfolgenden Punktes
- Reassemble IP Fragments until they form a complete packet
in den System\Advanced\Firewall & NAT Einstellungen unter VPN Paket processing
Nach setzen dieses Hakens ging mein WLAN (mit Zertifikat) über IPSEC sofort wieder. Das hat mich einiges an
Debug Aufwand gekostet......
- Reassemble IP Fragments until they form a complete packet
