Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Netscreen ssg20 Pfsense site to site ipsec vpn problemi

    Scheduled Pinned Locked Moved Turkish
    6 Posts 2 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      enderyelkenci
      last edited by

      Merhaba,

      Netscreen ssg20 ile Pfsense (2.14-Release) cihazlamın arasında ipsec vpn yapmaya calışıyorum. Gerekli port yönlendirmeleri modemden Pfsense makinaya yapılmıştır. Dikkat etmem gereken bir nokta var mı?

      Netscreen ssg20 tarafında aldığım log mesajı;

      IKE XXX.XXX.XXX.XXX Phase 1: Retransmission limit has been reached.

      Pfsense log mesajı;

      racoon: [Self]: INFO: 192.168.0.100[4500] used for NAT-T
      Oct 10 09:36:41 racoon: [Self]: INFO: 192.168.0.100[4500] used as isakmp port (fd=14)
      Oct 10 09:36:41 racoon: [Self]: INFO: 192.168.0.100[500] used for NAT-T
      Oct 10 09:36:41 racoon: [Self]: INFO: 192.168.0.100[500] used as isakmp port (fd=15)
      Oct 10 09:36:41 racoon: INFO: unsupported PF_KEY message REGISTER
      Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.168.19.100/32[0] 192.168.19.0/24[0] proto=any dir=out
      Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.168.19.0/24[0] 192.168.19.100/32[0] proto=any dir=in
      Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.168.19.0/24[0] 192.255.255.59/30[0] proto=any dir=out
      Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.255.255.59/30[0] 192.168.19.0/24[0] proto=any dir=in
      Oct 10 09:36:57 racoon: [Sube]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
      Oct 10 09:36:57 racoon: [Sube]: INFO: initiate new phase 1 negotiation: 192.168.0.100[500]<=>xxx.xx.xx.xxx[500]
      Oct 10 09:36:57 racoon: INFO: begin Identity Protection mode.
      Oct 10 09:37:28 racoon: [Sube]: [xxx.xxx.xxx.xxx] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP xxx.xxx.xxx.xxx[0]->192.168.0.100[0]
      Oct 10 09:37:28 racoon: INFO: delete phase 2 handler.
      Oct 10 09:37:47 racoon: ERROR: phase1 negotiation failed due to time up. 538428f1ae3a5914:0000000000000000
      Oct 10 09:43:01 racoon: INFO: unsupported PF_KEY message REGISTER
      Oct 10 09:44:58 racoon: INFO: unsupported PF_KEY message REGISTER
      Oct 10 10:34:09 racoon: INFO: unsupported PF_KEY message REGISTER

      İyi çalışmalar..

      1 Reply Last reply Reply Quote 0
      • S
        sametyilmaznet
        last edited by

        Merhaba,

        • Loglar'da gözüken subnet bilgilerinde bir yanlışlık söz konusu olabilir mi ?
        • IPSEC aggressive mi main modda mı çalıştırıyorsunuz. ?
        • Şifreleme türü olarak neyi tercih ettiniz ?

        Son olarak Merkez ve Şube'ye ait subnetleri ve zahmet olmayacaksa pfSense Ipsec menüsünde yaptığınız işlemlerin resimlendirmesini yapabilirmisiniz. ?

        Samet YILMAZ
        Blog : http://www.sametyilmaz.com.tr
        Facebook Grup : https://www.facebook.com/groups/pfsenseturkey
        E-Posta : sametyilmaz[at]yandex[dot]com

        1 Reply Last reply Reply Quote 0
        • E
          enderyelkenci
          last edited by

          Merhaba,

          Netscreen SSG20;
          https://my.pcloud.com/publink/show?code=XZxif7ZHeSErEzWRCFhhTWEpj9h7QeRJU6X
          https://my.pcloud.com/publink/show?code=XZwif7Zi0KIl6Arnfyf5GG9Cm3mh8O22W5X
          https://my.pcloud.com/publink/show?code=XZMif7Ze0stLHIbUlYzs3yQRHGrmpQjjzIy
          https://my.pcloud.com/publink/show?code=XZgif7ZQpcoR7baHj4BTCJvoCltFRJ9jRHy
          https://my.pcloud.com/publink/show?code=XZPif7ZjT76WseoqzYHN41XwTvAiHuS93Hk
          https://my.pcloud.com/publink/show?code=XZCif7ZqEQD3F5coMyg4n2L87wye0poX42y

          Pfsense;
          https://my.pcloud.com/publink/show?code=XZJif7Z3W1Sbe9AnC7EJNc326vUOQqRBg3X
          https://my.pcloud.com/publink/show?code=XZnif7ZNH9MvvN00vfJHTqot4BmiQkqdfHk

          İhiniz için teşekkürler..

          1 Reply Last reply Reply Quote 0
          • S
            sametyilmaznet
            last edited by

            Juniper ortam'a nasıl bağlı ? Bir router arkasında ise DMZ veya IpSec portlarını yonlendirdiniz mi ?Nat Traversel'i bağlantı kurulumunu test etmek adına bir kapatıp öyle denermisiniz.Eğer cihazlarınız nat arkasında değil se zaten gerek yok ona.

            Dikkatimi çeken olay su oldu Juniper tarafında aşağıdaki resim'de 10.0.0.1 nerenin networkü ? Local Network mü karşı network mü ? Eğer Local networkün subnetmaski ise pfsense tarafında 10.0.0.3 belirttiğiniz remote network ile oradaki network bilgisi aynı olması gerekiyor.Aynı zamanda şube ve merkez networkleri ayrı subnetlerde olmasi gerekiyor.

            Son olarak bağlantıyı agressive modda denermisiniz.Her iki tarafı da agressive almanız gerekir. Eğer uzaktan erişebileceğimiz bir ortam olursa beraber'de vpn bağlantısını oluşturabiliriz.Büyük ihtimal küçük bir hata bağlantının kurulmasında engel oluyor.

            https://my.pcloud.com/publink/show?code=XZxif7ZHeSErEzWRCFhhTWEpj9h7QeRJU6X

            Samet YILMAZ
            Blog : http://www.sametyilmaz.com.tr
            Facebook Grup : https://www.facebook.com/groups/pfsenseturkey
            E-Posta : sametyilmaz[at]yandex[dot]com

            1 Reply Last reply Reply Quote 0
            • E
              enderyelkenci
              last edited by

              Merhaba,
              Sistemimde DMZ bulunmuyor. Sube tarafında modemden 500 ve 4500 portlarını pfsense ye yönlendirdim.
              Local Network farlı bir sekmentinde.10.0.0.1 ip adresi sube tarafındaki ssg 20 tunnel.2 interface ip adresi. Ayrıca bu interaface ayarının içinde next-hoop için merkez interface ip adresinin yazıldığı bir sekme var.

              Ssg20 tarafında 192.168.15.xx-> tunnel.2(10.0.0.1/22)->10.0.0.3(şube interface ip adresi)
              Pfsense tarafında 192.168.19.xx->tunnel.1(10.0.0.3/22)->??.?.?.? Şube tarafı intrface ip adresini yazacağım bir yer yok.

              Teşekürler

              1 Reply Last reply Reply Quote 0
              • E
                enderyelkenci
                last edited by

                Merhaba,
                Hala bu problemi çözmüş değilim.

                İyi çalışmalar..

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.