Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PROBLEMAS CON IPSEC-OPT1 EN 1.2BETA - ERROR: failed to pre-process packet.

    Español
    2
    3
    2.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      juan
      last edited by

      En una configuracion de varios tuneles IPSEC funcionando correctamente, si cambio la puerta de enlace de uno de los tuneles a opt1/wan2, todos los tuneles siguientes de la configuracion dejan de funcionar.

      Configuracion antes del cambio WAN2/OPT1 en el SITE13

      Status  Local net Remote net Interface Remote gw P1 mode P1 Enc. Algo P1 Hash Algo Description 
      ok    LAN 192.168.8.0/24  WAN x.x.x.x  aggressive  3DES  MD5  SITE8
      ok    LAN 192.168.6.0/24  WAN x.x.x.x  aggressive  3DES  MD5  SITE6     
      ok  LAN 192.168.13.0/24  WAN x.x.x.x  aggressive  3DES  MD5  SITE13     
      ok  LAN 192.168.62.0/24  WAN x.x.x.x  aggressive  3DES  MD5  SITE62     
      ok  LAN 192.168.53.0/24  WAN x.x.x.x  aggressive  3DES  MD5  SITE53     
      ok  LAN 192.168.68.0/24  WAN x.x.x.x  aggressive  3DES  MD5  SITE68

      Configuracion depues del cambio WAN2/OPT1 en el SITE13

      Status  Local net Remote net Interface Remote gw P1 mode P1 Enc. Algo P1 Hash Algo Description 
      ok    LAN 192.168.8.0/24  WAN  x.x.x.x  aggressive  3DES  MD5  SITE8
      ok    LAN 192.168.6.0/24  WAN  x.x.x.x  aggressive  3DES  MD5  SITE6     
      err  LAN 192.168.13.0/24  WAN2 x.x.x.x  aggressive  3DES  MD5  SITE13     
      err  LAN 192.168.62.0/24  WAN  x.x.x.x  aggressive  3DES  MD5  SITE62     
      err  LAN 192.168.53.0/24  WAN  x.x.x.x  aggressive  3DES  MD5  SITE53     
      err  LAN 192.168.68.0/24  WAN  x.x.x.x  aggressive  3DES  MD5  SITE68

      IPSEC LOG ERROR:

      May 17 17:18:23 racoon: ERROR: failed to pre-process packet.
      May 17 17:18:23 racoon: ERROR: failed to get proposal for responder.
      May 17 17:18:23 racoon: ERROR: no policy found: 192.168.68.0/24[0] 172.26.0.0/24[0] proto=any dir=in
      May 17 17:18:23 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE68[500]
      May 17 17:18:21 racoon: ERROR: failed to pre-process packet.
      May 17 17:18:21 racoon: ERROR: failed to get proposal for responder.
      May 17 17:18:21 racoon: ERROR: no policy found: 192.168.53.0/24[0] 172.26.0.0/24[0] proto=any dir=in
      May 17 17:18:21 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE53[500]
      May 17 17:18:20 racoon: ERROR: failed to pre-process packet.
      May 17 17:18:20 racoon: ERROR: failed to get proposal for responder.
      May 17 17:18:20 racoon: ERROR: no policy found: 192.168.62.0/24[0] 172.26.0.0/24[0] proto=any dir=in
      May 17 17:18:20 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE62[500]
      May 17 17:18:18 racoon: ERROR: failed to pre-process packet.
      May 17 17:18:18 racoon: ERROR: failed to get proposal for responder.
      May 17 17:18:18 racoon: ERROR: no policy found: 192.168.13.0/24[0] 172.26.0.0/24[0] proto=any dir=in
      May 17 17:18:18 racoon: INFO: respond new phase 2 negotiation: wan.wan.wan.wan[500]<=>SITE13[500]

      ¿Sabeis que puede estar pasando?

      1 Reply Last reply Reply Quote 0
      • C
        ccampodonico
        last edited by

        Hola,
        según esto:
        failed to get proposal for responder.
        May 17 17:18:18 racoon: ERROR: no policy found: 192.168.13.0/24[0] 172.26.0.0/24[0] proto=any dir
        no hace match la policy en ambos peers…
        ¿cuando cambias la wan a wan2 , cambias tambien la ip en la cofiguración del otro equipo hacia wan2?

        1 Reply Last reply Reply Quote 0
        • J
          juan
          last edited by

          Si, efectivamente tambien la cambie.

          El caso es que he conseguido evitar este mensaje de error modificando a IPs fijas las configuracion del WAN y WAN2 (anteriormente en IP fija entregada por DHCP), sin embargo tampoco consigo que se establezca la conexion, ahora las rules se crean correctamente, pero no los tuneles, se muestran los mensajes de error tipicos que se suelen postear en los foros cuando se emplean túneles IPSECs en OPT1, este problema en teoria estaba resuelto en los ultimos SNAPSHOTs 1.1 y en la beta 1.2.

          16:51:08 racoon: ERROR: phase1 negotiation failed due to time up. xxxxxxxxxxxxxxxxxxxxx
          16:50:57 last message repeated 4 times
          16:50:18 racoon: NOTIFY: the packet is retransmitted by yyyyyyyyyyyyyyyy[500].
          16:50:07 racoon: INFO: received Vendor ID: ??????
          16:50:07 racoon: INFO: begin Aggressive mode.
          16:50:07 racoon: INFO: respond new phase 1 negotiation: zzzzzzzzzzzz[500]<=>yyyyyyyyyyy[500]

          ¿Alguien ha conseguido crear tuneles IPSEC en WAN y OPT1 simultaneamente para una misma subred local?

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.