IPsec Phase 1 Problem bei Tunnelaufbau



  • Hallo zusammen,

    versuche seit ein paar tagen verzweifelt einen IPsec Tunnel zwischen 2 pfsense aufzubauen.
    Folgenden Fehler erhalte ich im ipsec-log:

    racoon: ERROR: phase 1 negotiation failed due to time up.
    racoon: [VPN_BM]: INFO: phase 2 sa deleted 217.92.130.20-212.7.185.178
    racoon: INFO: request for establishing IPsec-SA was queued due to no phase 1 found.
    racoon: [VPN_BM]: INFO: phase 2 sa expired 217.92.130.20-212.7.185.178
    racoon: INFO: begin Identity Protection mode.

    Konfig sieht auf beiden Seiten folgendermaßen aus:

    Interface: WAN
    Local Subnet: LAN subnet
    Remote Subnet: 192.168.123.0/24 und auf der anderen Seite 10.6.0.0/16
    Remote Gateway: 217.92.130.20 und auf der anderen Seite 212.7.185.178

    Phase1:
    Negotiation mode: main
    Encryption algorithm: Rjindael 256
    Hash algorithm: SHA1
    DH Key Group:5
    Lifetime: 86400 seconds
    Authentification method: Pre-shared key
    Pre-Shared Key: vpn123 (ist auf beiden Seiten wirklich gleich)

    Phase 2:
    Protocol: ESP
    Encryption alghoritms: Rijndael 256
    Hash Algoriths: SHA1, MD5
    PFS key group: 5
    Lifetime: 86400 seconds

    Automatically ping host X.X.X.X

    Hat da irgendwer eine Idee? Wäre für jede Hilfe sehr dankbar =)

    Gruß
    Ben88



  • welche pfs Version 1.23?



  • Version ist die 1.2.2



  • auf die 1.23 updaten…, wenn möglich ist!



  • Es sind an der Firewall noch andere Tunnel mit der version 1.2.2 angebunden.
    Funktionieren diese Tunnel noch nach dem Update oder haben die Versionen untereinander ein Problem?



  • 1.2.x zu 1.23 sollte kein Problem sein, läuft hier stabil, zu Fremdfirewalls kommt es auf einen Test an, Inkompatibiläten sind mir derzeit nicht bekannt. Bei der 1.23 können halt die Tunnel im laufenden Betrieb angelegt und geändert werden und nur diese Tunnel sind betroffen, in den Versionen 1.2x wird das racoon komplett neugestartet und damit auch alle Tunnel…

    Phase 1 = sind Deine WAN Adressen korrekt? Lösche einmal die zugehörigen SADs und starte das IPSEC noch einmal (VPN-IPSEC-Save klick)

    Gruß
    Heiko



  • WAN Adressen sind korrekt.
    Werde heute Abend updaten und mal schauen obs funzt.

    Fürs erste schon mal vielen Dank :-)



  • einfach melden…, pfsense zueinander geht auf jeden Fall!!!


Log in to reply