IP Sec OpenSwan keine Übertragung nach 6 Minuten (Tunnel aber up)



  • Hallo in de PfSense Runde,

    ich hoffe mir kann jemand helfen bei meinem Problem:

    Wir haben einen Kunden, der uns die Serverseite des VPN bereitstellt. Er nutzt die PfSense hinter einer Firmenfirewall.

    Wir nutzen einen Rasperry Pi mit Openswan als Client

    Die Verbindung kann erfolgreich hergestellt werden.  Ich kann danach ein Gerät hinter der PfSense anpingen.
    Nach 5 Minuten ist dies nicht mehr möglich. Es kommt keine Antwort.

    Wenn ich sudo /etc/init.d/ipsec status aufrufe, erhalte ich aber die Meldung "1Tunnel up"
    Die Routen, die mit dem VPN Start gesetzt werden sind auch nach wie vor da.

    Ich vermute ein Lifetimeproblem.

    So sieht die Konfiguration in etwa aus (Ips habe ich entfernt ;))

    conn test
            ikelifetime=1440m
            authby=secret
            aggrmode=yes
            keyexchange=ike
            auth=esp
            ike=3des-sha1-modp1024
            phase2alg=3des-sha1
            left= <left>leftid= <leftid>leftsubnet= <leftsubnet>right= <right>rightsubnet= <rightsubnet>rightsourceip= <rightsourceip>da wir eine virtuelle ip nutzen
            rightid= <rightid>auto=start
            compress=no</rightid></rightsourceip></rightsubnet></right></leftsubnet></leftid></left> 
    

    Kann mir jemand sagen wo ich am Besten ansetze?
    EDIT: Ich habe noch einmal genau nachgefragt
    Lifetime Phase 1 86400s
    Lifetime Phase 2 3600s -> also genau die Zeit wie lang meine Verbindung steht

    Ich denke es liegt eher an der OpenSwan Konfiguration. Kennt sich eventuell jemand mit dieser Konstellation aus? Die Lifetime Phase 2 muss ich dem Client ja eigentlich nicht mitgeben?

    Danke und Grüße


  • Moderator

    Ich denke es liegt eher an der OpenSwan Konfiguration. Kennt sich eventuell jemand mit dieser Konstellation aus? Die Lifetime Phase 2 muss ich dem Client ja eigentlich nicht mitgeben?

    Aber natürlich musst du die Phase 2 auch auf dem Client konfigurieren. Das ist ja kein OpenVPN Tunnel mit dediziertem Server/Client Anteil. IPSec verhandelt jede Phase einzeln, dazu müssen aber trotzdem beide konfiguriert sein. Wenn die Phase 2 bspw. nicht übereinstimmt, kann es genau zu solchen seltsamen Phänomenen kommen. In dem REst deiner Konfiguration oben kann ich aber weder die komplette P1 noch die Werte der P2 ersehen. Lediglich die Crypto Werte sind eingestellt und die IKE Lifetime. Da fehlt aber noch der Rest.