PfSense 2.1.4 Problem mit IPSec



  • Moin moin,

    ich habe ein Problem mit einer Site-to-Site Verbindung via IPSec und mir gehen langsam die Ideen aus. Folgender Aufbau ist gegeben:

    pfSense 1 <-> FritzBox <-> Internet <-> pfSense 2

    Genau genommen hängen hinter der pfSense 1 zwei FritzBoxen mit verschiedenen Anbietern als Gw-Gruppe, um eine gewisse Ausfallsicherheit zu bieten. Aktuell betrachte ich aber nur die eine FritzBox (T-DSL, statische IP).

    Konfiguriere ich die Phase 1 des IPSec Tunnels so, dass die pfSense 1 als "My Identifier" die statische IP des Anschlusses nimmt und trage die selbe IP als "Peer Identifier" in der pfSense 2 ein, funktioniert alles wie erwartet. Als Remote-Gateway ist in der pfSense 2 der DynDNS Name der pfSense 1 eingetragen, damit bei Ausfall der Internetverbindung die VPN-Verbindung über den anderen Provider funktioniert.

    Da die Verbindung über beide Provider funktionieren soll, soll als Identifier der pfSense 1 nicht eine IP-Adresse, sondern ein Name dienen. Wenn ich also nun auf der pfSense 1 als "My Identifier" einen "Distinguished Name" eintrage und den gleichen Namen als "Peer Identifier" auf der pfSense 2, erhalte ich immer die folgende Fehlermeldung:

    ERROR: couldn't find the pskey for X.X.X.X

    Die IP-Adresse in der Fehlermeldung ist die statische IP des Internetanschlusses. Irgendwo gibt es also offensichtlich ein Problem in der Zuordnung, aber wo?

    Interessanterweise habe ich das gleiche Szenario schonmal aufgebaut, allerdings mit einer FritzBox auf der einen, und einer pfSense auf der anderen Seite als VPN-Endpunkt. Hier hat die Identifikation über den Namen wunderbar geklappt.



  • Hast du da was herausfinden können? Habe dasselbe Problem mit dynamischen Namen. Das muss doch möglich sein.



  • Scheinbar tritt das Phänomen nur im Main Mode auf. Sobald ich auf den Aggressive Mode wechsel, baut sich die Verbindung auf. Das muss doch auch im Main Mode gehen.  :o