Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSec zw. Netscreen 5GT und pfsense 1.2.3

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 1 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      merylen
      last edited by

      Hallo,
      ich hab nun die letzten 2 Tage gesucht und komme nicht weiter.
      Folgender Aufbau:

      LAN(10.15.6.0/24) – ||Netscreen 5GT||-- WAN(Dyn. IP) -------WAN(statische IP: 213.x.y.z/32) -- || pfsense v1.2.3|| -- LAN (192.168.0.0/24)

      Über die WAN-Strecke möchte ich eine IPsecverbindung aufbauen. So dass ich von beiden LANs ins jeweils andere komme. Der Tunnel sollte am besten duaerhaft aktiv sein und sich nach einem disconnect neu aufbauen.

      Meine aktuelle Config:
      Allow mobile Clients deaktiviert.

      pfsense:

      Interface: LAN
      Local Subnet: LAN subnet
      Remote subnet: 10.15.6.0/24
      Remote Gateway: a.b.c.d (dyndns-Adresse)

      phase1:
      Negotiation mode: aggressive
      My identifier: My IP address
      Ency. algo: 3DES
      Hash algo: SHA1
      DH key group: 2
      PSK
      PSk-Key: topfsekret

      phase2:
      Proto: ESP
      Encry. algo: 3DES
      Hash algo: SHA1
      PFS key group: 2

      Bei status:ipsec
      Ist Overview und SAD leer nur: "No IPsec security associations."

      Bei SPD:

      10.15.6.0/24  192.168.0.0/24  > ESP  88.65.126.145 - 192.168.0.1
      192.168.0.0/24 10.15.6.0/24 < ESP 192.168.0.1 - 88.65.126.6

      Wenn ich den IPsec stope und starte bekomme ich:

      Aug 2 17:04:53 racoon: [Self]: INFO: 192.168.0.1[500] used as isakmp port (fd=17)
      Aug 2 17:04:53 racoon: [Self]: INFO: 213.x.y.z[500] used as isakmp port (fd=16)
      Aug 2 17:04:53 racoon: [Self]: INFO: 172.16.a.b[500] used as isakmp port (fd=15)
      Aug 2 17:04:53 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
      Aug 2 17:04:53 racoon: INFO: unsupported PF_KEY message REGISTER
      Aug 2 17:04:53 racoon: [Self]: INFO: 192.168.0.1[500] used as isakmp port (fd=17)
      Aug 2 17:04:53 racoon: [Self]: INFO: 213.x.y.z[500] used as isakmp port (fd=16)
      Aug 2 17:04:53 racoon: [Self]: INFO: 172.16.a.b[500] used as isakmp port (fd=15)
      Aug 2 17:04:53 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
      Aug 2 17:04:53 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
      Aug 2 17:04:53 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
      Aug 2 17:04:53 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)

      mehr nicht.

      Wenn ich auf der Console  racoon -d -F -v -f /var/etc/racoon.conf ausführe bekomme ich:

      racoon -d -F -v -f /var/etc/racoon.conf

      Foreground mode.
      2010-08-02 17:12:50: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
      2010-08-02 17:12:50: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
      2010-08-02 17:12:50: INFO: Reading configuration from "/var/etc/racoon.conf"
      2010-08-02 17:12:50: DEBUG: call pfkey_send_register for AH
      2010-08-02 17:12:50: DEBUG: call pfkey_send_register for ESP
      2010-08-02 17:12:50: DEBUG: call pfkey_send_register for IPCOMP
      2010-08-02 17:12:50: DEBUG: reading config file /var/etc/racoon.conf
      2010-08-02 17:12:50: DEBUG: hmac(modp1024)
      2010-08-02 17:12:50: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
      2010-08-02 17:12:50: DEBUG: getsainfo params: loc='192.168.0.0/24', rmt='10.15.6.0/24', peer='NULL', id=0
      2010-08-02 17:12:50: DEBUG: getsainfo pass #2
      2010-08-02 17:12:50: DEBUG: open /var/db/racoon/racoon.sock as racoon management.
      2010-08-02 17:12:50: DEBUG: my interface: 192.168.0.1 (re0)
      2010-08-02 17:12:50: DEBUG: my interface: 213.x.y.z (re1)
      2010-08-02 17:12:50: DEBUG: my interface: 172.16.a.b (re2)
      2010-08-02 17:12:50: DEBUG: my interface: 127.0.0.1 (lo0)
      2010-08-02 17:12:50: DEBUG: configuring default isakmp port.
      2010-08-02 17:12:50: DEBUG: 4 addrs are configured successfully
      2010-08-02 17:12:50: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
      2010-08-02 17:12:50: INFO: 172.16.a.b[500] used as isakmp port (fd=8)
      2010-08-02 17:12:50: INFO: 213.x.y.z[500] used as isakmp port (fd=9)
      2010-08-02 17:12:50: INFO: 192.168.0.1[500] used as isakmp port (fd=10)
      2010-08-02 17:12:50: DEBUG: pk_recv: retry[0] recv()
      2010-08-02 17:12:50: DEBUG: get pfkey X_SPDDUMP message
      2010-08-02 17:12:50: DEBUG: pfkey X_SPDDUMP failed: No such file or directory
      ^C2010-08-02 17:12:52: INFO: caught signal 2
      2010-08-02 17:12:52: DEBUG: pk_recv: retry[0] recv()
      2010-08-02 17:12:52: DEBUG: get pfkey FLUSH message
      2010-08-02 17:12:53: DEBUG: call pfkey_send_dump
      2010-08-02 17:12:53: DEBUG: pk_recv: retry[0] recv()
      2010-08-02 17:12:53: INFO: racoon shutdown

      Bei:

      pfkey X_SPDDUMP failed: No such file or directory bleibt es hängen und ich breche mit ctrl-c ab.

      Unter Rules habe ich bei IPSEC erlaubt:

      LAN nach any
      Any nach LAN
      jeweils alles erlaubt.

      Die Netscreen ist ebenfalls auf Aggressiv und die richtigen Phasen eingestellt, auch der PSK ist identisch.
      Ich denke aber das das Problem nicht bei der NS ist sondern an der pfsense, da hier scheinbar nicht mal die phase1 aktiviert wird.

      Mich wundert das no such file. Ich habe dazu aber keine wirklich aufschlussreiche Information gefunden.
      Es wäre echt super wenn mir jemand einen Anstoß oder Hilfe geben könnte.

      Danke
      merylen

      1 Reply Last reply Reply Quote 0
      • M
        merylen
        last edited by

        Wirklich keiner ne Idee?
        Oder eine Tip was ich bei der Config anders machen soll/kann?

        Hilfe!

        1 Reply Last reply Reply Quote 0
        • M
          merylen
          last edited by

          Schade das sich wirklich niemand hier zu einem Kommentar durchringen kann.
          Das ist das erste Forum in dem nicht mehr der Kommentar:
          "Benutz mal die Suche" kommt.

          Jedenfalls konnte ich es inzwischen lösen.
          Das Problem scheint daran zu liegen das ein setkey /var/etc/spd.conf nicht ausgeführt wird.

          Mit folgendem Vorgehen kann ich das "Problem" beheben.

          Vorraussetzung:
          Der Tunnel ist konfiguriert.

          IPSEC per Web stoppen
          Auf die pfsense Console einloggen und
          setkey -f /var/etc/spd.conf  ausführen
          IPSEC per Web starten.

          Fertig, nun gehts.
          Wenn ein neuer Tunnel dazu kommt, das gleiche wieder machen.

          Ich konnte das Problem auf meiner Produktiven und einer Testumgebung nachstellen. Mich
          wundert es, dass noch niemand anders das gleiche hatte.

          P.S. Falls noch jemand interesse an der Konfig der NS 5GT hat kann er sich gerne bei mir melden.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.