4. IPSec Tunnel mit 2 x pfSense 1.2-RC3

IPSec Tunnel mit 2 x pfSense 1.2-RC3

  • F

    IPSec Tunnel mit 2 x pfSense 1.2-RC3

    Hallo,
    habe auf zwei "pfSense 1.2-RC3" (FW1 und FW2) über die GUI unter VPN / IPSec / wie unter http://doc.pfsense.org/index.php/VPN_Capability_IPSec beschrieben konfiguriert. Die dort beschriebenen Eintragungen habe ich unter "Tunnels" vorgenommen - in das Feld "Remote gateway" habe ich die öffentliche WAN-IP der jeweils anderen FW eingetragen; dieser Punkt fehlte in der Beschreibung (!?). Wenn die Beschreibung vollständig ist, dann sind in der dritten Registerkarte keine "Pre-Shared Keys" einzutragen (!?). Auf der FW1 und FW2 habe ich jeweils für My indentifier "My IP address" ausgewählt.

    • die lokalen Subnetze sind 10.10.11.0/24 und 10.10.22.0/24 und wurden jeweils auf den "anderen" FW eingetragen
    • jeweils die LAN IP der "anderen" FW habe ich als Ping-IP eingetragen
    • die öffentlichen IP-Adressen sind auch eingetragen
    • unter "Diagnostics: IPSec: SPD" sind diese Daten ersichtlich; jeweils umgekehrt auf FW1 und FW2

    Auf beiden FW werden trotz absolut identischer Konfigurationswerte in der GUI unterschiedliche Logs ausgegeben:

    FW1 (reverse):
    Dec 32 12:08:20 racoon: [FW1 -> FW2]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.216.266[0]->xxx.xxx.223.268[0] spi=8472761(0x8148b9)
    Dec 32 12:08:20 racoon: [FW1 -> FW2]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.223.268[0]->xxx.xxx.216.266[0] spi=256619838(0xf4bb53e)
    Dec 32 12:08:19 racoon: [FW1 -> FW2]: INFO: initiate new phase 2 negotiation: xxx.xxx.216.266[0]<=>xxx.xxx.223.268[0]
    Dec 32 12:08:18 racoon: [FW1 -> FW2]: INFO: ISAKMP-SA established xxx.xxx.216.266[500]-xxx.xxx.223.268[500] spi:41384053cd6e6b53:e3cc89c8e8a85179
    Dec 32 12:08:18 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    Dec 32 12:08:18 racoon: INFO: received Vendor ID: DPD
    Dec 32 12:08:08 racoon: INFO: begin Aggressive mode.
    Dec 32 12:08:08 racoon: [FW1 -> FW2]: INFO: initiate new phase 1 negotiation: xxx.xxx.216.266[500]<=>xxx.xxx.223.268[500]
    Dec 32 12:08:08 racoon: [FW1 -> FW2]: INFO: IPsec-SA request for xxx.xxx.223.268 queued due to no phase1 found.
    Dec 32 12:06:34 racoon: INFO: unsupported PF_KEY message REGISTER
    Dec 32 12:06:34 racoon: [Self]: INFO: 10.10.11.1[500] used as isakmp port (fd=19)
    Dec 32 12:06:34 racoon: INFO: xxx2d08%ste0[500] used as isakmp port (fd=18)
    Dec 32 12:06:34 racoon: INFO: xxx2d0b%ste3[500] used as isakmp port (fd=17)
    Dec 32 12:06:34 racoon: [Self]: INFO: xxx.xxx.216.266[500] used as isakmp port (fd=16)
    Dec 32 12:06:34 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Dec 32 12:06:34 racoon: INFO: ::1[500] used as isakmp port (fd=14)
    Dec 32 12:06:34 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
    Dec 32 12:06:34 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
    Dec 32 12:06:34 racoon: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
    Dec 32 12:06:28 racoon: INFO: racoon shutdown
    Dec 32 12:06:27 racoon: INFO: caught signal 15

    FW2:
    Dec 32 12:16:27 racoon: INFO: unsupported PF_KEY message REGISTER
    Dec 32 12:16:27 racoon: [Self]: INFO: 10.10.22.1[500] used as isakmp port (fd=23)
    Dec 32 12:16:27 racoon: INFO: xxx:e6e8%ste0[500] used as isakmp port (fd=22)
    Dec 32 12:16:27 racoon: INFO: xxx:e6e9%ste1[500] used as isakmp port (fd=21)
    Dec 32 12:16:27 racoon: INFO: xxx:e6ea%ste2[500] used as isakmp port (fd=20)
    Dec 32 12:16:27 racoon: INFO: xxx:e6eb%ste3[500] used as isakmp port (fd=19)
    Dec 32 12:16:27 racoon: [Self]: INFO: xx.xxx.223.268[500] used as isakmp port (fd=18)
    Dec 32 12:16:27 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
    Dec 32 12:16:27 racoon: INFO: ::1[500] used as isakmp port (fd=16)
    Dec 32 12:16:27 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
    Dec 32 12:16:27 racoon: INFO: xxx:a51c%tun0[500] used as isakmp port (fd=14)
    Dec 32 12:16:27 racoon: [Self]: INFO: 10.10.22.2[500] used as isakmp port (fd=13)
    Dec 32 12:16:27 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
    Dec 32 12:16:27 racoon: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
    Dec 32 12:15:58 racoon: INFO: racoon shutdown
    Dec 32 12:15:57 racoon: INFO: caught signal 15

    Der Tunnel steht laut "Status: IPsec" (Overview und SAD) auf der FW1 auf der FW2 jedoch nicht.

    Wie ist es mit dem Routing? Müssen selbständige Einträge erfolgen unter "System / Static Routes"? Wenn ja, welche?

    Über einen Hinweis zur Fehlersuche würde ich mich sehr freuen,
    FBI01

    0
  • H

    Hallo,
    für 2 statische WAN´s würde ich besser den "main" Mode nehmen, agressive funktioniert aber auch. Dynamische Tunnel auf beiden Endpoints gehen in der 1.2 nicht. Die 3-te Registerkarte ist nur für Mobile Ipsec. Das Shared Secret wird direkt in der Tunneldef. eingegeben. Teste nochmal, wenn´s nicht geht, kann ich noch 1-2 Screenshots posten. IPSEC läuft in der 1.2rc3 derzeit sauber und stabil…...

    Gruß
    heiko

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy