Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSec Tunnel mit 2 x pfSense 1.2-RC3

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      FBI01
      last edited by

      IPSec Tunnel mit 2 x pfSense 1.2-RC3

      Hallo,
      habe auf zwei "pfSense 1.2-RC3" (FW1 und FW2) über die GUI unter VPN / IPSec / wie unter http://doc.pfsense.org/index.php/VPN_Capability_IPSec beschrieben konfiguriert. Die dort beschriebenen Eintragungen habe ich unter "Tunnels" vorgenommen - in das Feld "Remote gateway" habe ich die öffentliche WAN-IP der jeweils anderen FW eingetragen; dieser Punkt fehlte in der Beschreibung (!?). Wenn die Beschreibung vollständig ist, dann sind in der dritten Registerkarte keine "Pre-Shared Keys" einzutragen (!?). Auf der FW1 und FW2 habe ich jeweils für My indentifier "My IP address" ausgewählt.

      • die lokalen Subnetze sind 10.10.11.0/24 und 10.10.22.0/24 und wurden jeweils auf den "anderen" FW eingetragen
      • jeweils die LAN IP der "anderen" FW habe ich als Ping-IP eingetragen
      • die öffentlichen IP-Adressen sind auch eingetragen
      • unter "Diagnostics: IPSec: SPD" sind diese Daten ersichtlich; jeweils umgekehrt auf FW1 und FW2

      Auf beiden FW werden trotz absolut identischer Konfigurationswerte in der GUI unterschiedliche Logs ausgegeben:

      FW1 (reverse):
      Dec 32 12:08:20 racoon: [FW1 -> FW2]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.216.266[0]->xxx.xxx.223.268[0] spi=8472761(0x8148b9)
      Dec 32 12:08:20 racoon: [FW1 -> FW2]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.223.268[0]->xxx.xxx.216.266[0] spi=256619838(0xf4bb53e)
      Dec 32 12:08:19 racoon: [FW1 -> FW2]: INFO: initiate new phase 2 negotiation: xxx.xxx.216.266[0]<=>xxx.xxx.223.268[0]
      Dec 32 12:08:18 racoon: [FW1 -> FW2]: INFO: ISAKMP-SA established xxx.xxx.216.266[500]-xxx.xxx.223.268[500] spi:41384053cd6e6b53:e3cc89c8e8a85179
      Dec 32 12:08:18 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
      Dec 32 12:08:18 racoon: INFO: received Vendor ID: DPD
      Dec 32 12:08:08 racoon: INFO: begin Aggressive mode.
      Dec 32 12:08:08 racoon: [FW1 -> FW2]: INFO: initiate new phase 1 negotiation: xxx.xxx.216.266[500]<=>xxx.xxx.223.268[500]
      Dec 32 12:08:08 racoon: [FW1 -> FW2]: INFO: IPsec-SA request for xxx.xxx.223.268 queued due to no phase1 found.
      Dec 32 12:06:34 racoon: INFO: unsupported PF_KEY message REGISTER
      Dec 32 12:06:34 racoon: [Self]: INFO: 10.10.11.1[500] used as isakmp port (fd=19)
      Dec 32 12:06:34 racoon: INFO: xxx2d08%ste0[500] used as isakmp port (fd=18)
      Dec 32 12:06:34 racoon: INFO: xxx2d0b%ste3[500] used as isakmp port (fd=17)
      Dec 32 12:06:34 racoon: [Self]: INFO: xxx.xxx.216.266[500] used as isakmp port (fd=16)
      Dec 32 12:06:34 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
      Dec 32 12:06:34 racoon: INFO: ::1[500] used as isakmp port (fd=14)
      Dec 32 12:06:34 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
      Dec 32 12:06:34 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
      Dec 32 12:06:34 racoon: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
      Dec 32 12:06:28 racoon: INFO: racoon shutdown
      Dec 32 12:06:27 racoon: INFO: caught signal 15

      FW2:
      Dec 32 12:16:27 racoon: INFO: unsupported PF_KEY message REGISTER
      Dec 32 12:16:27 racoon: [Self]: INFO: 10.10.22.1[500] used as isakmp port (fd=23)
      Dec 32 12:16:27 racoon: INFO: xxx:e6e8%ste0[500] used as isakmp port (fd=22)
      Dec 32 12:16:27 racoon: INFO: xxx:e6e9%ste1[500] used as isakmp port (fd=21)
      Dec 32 12:16:27 racoon: INFO: xxx:e6ea%ste2[500] used as isakmp port (fd=20)
      Dec 32 12:16:27 racoon: INFO: xxx:e6eb%ste3[500] used as isakmp port (fd=19)
      Dec 32 12:16:27 racoon: [Self]: INFO: xx.xxx.223.268[500] used as isakmp port (fd=18)
      Dec 32 12:16:27 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
      Dec 32 12:16:27 racoon: INFO: ::1[500] used as isakmp port (fd=16)
      Dec 32 12:16:27 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
      Dec 32 12:16:27 racoon: INFO: xxx:a51c%tun0[500] used as isakmp port (fd=14)
      Dec 32 12:16:27 racoon: [Self]: INFO: 10.10.22.2[500] used as isakmp port (fd=13)
      Dec 32 12:16:27 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
      Dec 32 12:16:27 racoon: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
      Dec 32 12:15:58 racoon: INFO: racoon shutdown
      Dec 32 12:15:57 racoon: INFO: caught signal 15

      Der Tunnel steht laut "Status: IPsec" (Overview und SAD) auf der FW1 auf der FW2 jedoch nicht.

      Wie ist es mit dem Routing? Müssen selbständige Einträge erfolgen unter "System / Static Routes"? Wenn ja, welche?

      Über einen Hinweis zur Fehlersuche würde ich mich sehr freuen,
      FBI01

      1 Reply Last reply Reply Quote 0
      • H
        heiko
        last edited by

        Hallo,
        für 2 statische WAN´s würde ich besser den "main" Mode nehmen, agressive funktioniert aber auch. Dynamische Tunnel auf beiden Endpoints gehen in der 1.2 nicht. Die 3-te Registerkarte ist nur für Mobile Ipsec. Das Shared Secret wird direkt in der Tunneldef. eingegeben. Teste nochmal, wenn´s nicht geht, kann ich noch 1-2 Screenshots posten. IPSEC läuft in der 1.2rc3 derzeit sauber und stabil…...

        Gruß
        heiko

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.