IPSec Tunnel mit 2 x pfSense 1.2-RC3



  • IPSec Tunnel mit 2 x pfSense 1.2-RC3

    Hallo,
    habe auf zwei "pfSense 1.2-RC3" (FW1 und FW2) über die GUI unter VPN / IPSec / wie unter http://doc.pfsense.org/index.php/VPN_Capability_IPSec beschrieben konfiguriert. Die dort beschriebenen Eintragungen habe ich unter "Tunnels" vorgenommen - in das Feld "Remote gateway" habe ich die öffentliche WAN-IP der jeweils anderen FW eingetragen; dieser Punkt fehlte in der Beschreibung (!?). Wenn die Beschreibung vollständig ist, dann sind in der dritten Registerkarte keine "Pre-Shared Keys" einzutragen (!?). Auf der FW1 und FW2 habe ich jeweils für My indentifier "My IP address" ausgewählt.

    • die lokalen Subnetze sind 10.10.11.0/24 und 10.10.22.0/24 und wurden jeweils auf den "anderen" FW eingetragen
    • jeweils die LAN IP der "anderen" FW habe ich als Ping-IP eingetragen
    • die öffentlichen IP-Adressen sind auch eingetragen
    • unter "Diagnostics: IPSec: SPD" sind diese Daten ersichtlich; jeweils umgekehrt auf FW1 und FW2

    Auf beiden FW werden trotz absolut identischer Konfigurationswerte in der GUI unterschiedliche Logs ausgegeben:

    FW1 (reverse):
    Dec 32 12:08:20 racoon: [FW1 -> FW2]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.216.266[0]->xxx.xxx.223.268[0] spi=8472761(0x8148b9)
    Dec 32 12:08:20 racoon: [FW1 -> FW2]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.223.268[0]->xxx.xxx.216.266[0] spi=256619838(0xf4bb53e)
    Dec 32 12:08:19 racoon: [FW1 -> FW2]: INFO: initiate new phase 2 negotiation: xxx.xxx.216.266[0]<=>xxx.xxx.223.268[0]
    Dec 32 12:08:18 racoon: [FW1 -> FW2]: INFO: ISAKMP-SA established xxx.xxx.216.266[500]-xxx.xxx.223.268[500] spi:41384053cd6e6b53:e3cc89c8e8a85179
    Dec 32 12:08:18 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    Dec 32 12:08:18 racoon: INFO: received Vendor ID: DPD
    Dec 32 12:08:08 racoon: INFO: begin Aggressive mode.
    Dec 32 12:08:08 racoon: [FW1 -> FW2]: INFO: initiate new phase 1 negotiation: xxx.xxx.216.266[500]<=>xxx.xxx.223.268[500]
    Dec 32 12:08:08 racoon: [FW1 -> FW2]: INFO: IPsec-SA request for xxx.xxx.223.268 queued due to no phase1 found.
    Dec 32 12:06:34 racoon: INFO: unsupported PF_KEY message REGISTER
    Dec 32 12:06:34 racoon: [Self]: INFO: 10.10.11.1[500] used as isakmp port (fd=19)
    Dec 32 12:06:34 racoon: INFO: xxx2d08%ste0[500] used as isakmp port (fd=18)
    Dec 32 12:06:34 racoon: INFO: xxx2d0b%ste3[500] used as isakmp port (fd=17)
    Dec 32 12:06:34 racoon: [Self]: INFO: xxx.xxx.216.266[500] used as isakmp port (fd=16)
    Dec 32 12:06:34 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Dec 32 12:06:34 racoon: INFO: ::1[500] used as isakmp port (fd=14)
    Dec 32 12:06:34 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
    Dec 32 12:06:34 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
    Dec 32 12:06:34 racoon: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
    Dec 32 12:06:28 racoon: INFO: racoon shutdown
    Dec 32 12:06:27 racoon: INFO: caught signal 15

    FW2:
    Dec 32 12:16:27 racoon: INFO: unsupported PF_KEY message REGISTER
    Dec 32 12:16:27 racoon: [Self]: INFO: 10.10.22.1[500] used as isakmp port (fd=23)
    Dec 32 12:16:27 racoon: INFO: xxx:e6e8%ste0[500] used as isakmp port (fd=22)
    Dec 32 12:16:27 racoon: INFO: xxx:e6e9%ste1[500] used as isakmp port (fd=21)
    Dec 32 12:16:27 racoon: INFO: xxx:e6ea%ste2[500] used as isakmp port (fd=20)
    Dec 32 12:16:27 racoon: INFO: xxx:e6eb%ste3[500] used as isakmp port (fd=19)
    Dec 32 12:16:27 racoon: [Self]: INFO: xx.xxx.223.268[500] used as isakmp port (fd=18)
    Dec 32 12:16:27 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
    Dec 32 12:16:27 racoon: INFO: ::1[500] used as isakmp port (fd=16)
    Dec 32 12:16:27 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
    Dec 32 12:16:27 racoon: INFO: xxx:a51c%tun0[500] used as isakmp port (fd=14)
    Dec 32 12:16:27 racoon: [Self]: INFO: 10.10.22.2[500] used as isakmp port (fd=13)
    Dec 32 12:16:27 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
    Dec 32 12:16:27 racoon: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
    Dec 32 12:15:58 racoon: INFO: racoon shutdown
    Dec 32 12:15:57 racoon: INFO: caught signal 15

    Der Tunnel steht laut "Status: IPsec" (Overview und SAD) auf der FW1 auf der FW2 jedoch nicht.

    Wie ist es mit dem Routing? Müssen selbständige Einträge erfolgen unter "System / Static Routes"? Wenn ja, welche?

    Über einen Hinweis zur Fehlersuche würde ich mich sehr freuen,
    FBI01



  • Hallo,
    für 2 statische WAN´s würde ich besser den "main" Mode nehmen, agressive funktioniert aber auch. Dynamische Tunnel auf beiden Endpoints gehen in der 1.2 nicht. Die 3-te Registerkarte ist nur für Mobile Ipsec. Das Shared Secret wird direkt in der Tunneldef. eingegeben. Teste nochmal, wenn´s nicht geht, kann ich noch 1-2 Screenshots posten. IPSEC läuft in der 1.2rc3 derzeit sauber und stabil…...

    Gruß
    heiko


Log in to reply