Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IP Sec OpenSwan keine Übertragung nach 6 Minuten (Tunnel aber up)

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 708 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      Nseries
      last edited by

      Hallo in de PfSense Runde,

      ich hoffe mir kann jemand helfen bei meinem Problem:

      Wir haben einen Kunden, der uns die Serverseite des VPN bereitstellt. Er nutzt die PfSense hinter einer Firmenfirewall.

      Wir nutzen einen Rasperry Pi mit Openswan als Client

      Die Verbindung kann erfolgreich hergestellt werden.  Ich kann danach ein Gerät hinter der PfSense anpingen.
      Nach 5 Minuten ist dies nicht mehr möglich. Es kommt keine Antwort.

      Wenn ich sudo /etc/init.d/ipsec status aufrufe, erhalte ich aber die Meldung "1Tunnel up"
      Die Routen, die mit dem VPN Start gesetzt werden sind auch nach wie vor da.

      Ich vermute ein Lifetimeproblem.

      So sieht die Konfiguration in etwa aus (Ips habe ich entfernt ;))

      conn test
        ikelifetime=1440m
        authby=secret
        aggrmode=yes
        keyexchange=ike
        auth=esp
        ike=3des-sha1-modp1024
        phase2alg=3des-sha1
        left= <left>leftid= <leftid>leftsubnet= <leftsubnet>right= <right>rightsubnet= <rightsubnet>rightsourceip= <rightsourceip>da wir eine virtuelle ip nutzen
        rightid= <rightid>auto=start
        compress=no</rightid></rightsourceip></rightsubnet></right></leftsubnet></leftid></left>

      Kann mir jemand sagen wo ich am Besten ansetze?
      EDIT: Ich habe noch einmal genau nachgefragt
      Lifetime Phase 1 86400s
      Lifetime Phase 2 3600s -> also genau die Zeit wie lang meine Verbindung steht

      Ich denke es liegt eher an der OpenSwan Konfiguration. Kennt sich eventuell jemand mit dieser Konstellation aus? Die Lifetime Phase 2 muss ich dem Client ja eigentlich nicht mitgeben?

      Danke und Grüße

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ich denke es liegt eher an der OpenSwan Konfiguration. Kennt sich eventuell jemand mit dieser Konstellation aus? Die Lifetime Phase 2 muss ich dem Client ja eigentlich nicht mitgeben?

        Aber natürlich musst du die Phase 2 auch auf dem Client konfigurieren. Das ist ja kein OpenVPN Tunnel mit dediziertem Server/Client Anteil. IPSec verhandelt jede Phase einzeln, dazu müssen aber trotzdem beide konfiguriert sein. Wenn die Phase 2 bspw. nicht übereinstimmt, kann es genau zu solchen seltsamen Phänomenen kommen. In dem REst deiner Konfiguration oben kann ich aber weder die komplette P1 noch die Werte der P2 ersehen. Lediglich die Crypto Werte sind eingestellt und die IKE Lifetime. Da fehlt aber noch der Rest.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.