Netscreen ssg20 Pfsense site to site ipsec vpn problemi
-
Merhaba,
Netscreen ssg20 ile Pfsense (2.14-Release) cihazlamın arasında ipsec vpn yapmaya calışıyorum. Gerekli port yönlendirmeleri modemden Pfsense makinaya yapılmıştır. Dikkat etmem gereken bir nokta var mı?
Netscreen ssg20 tarafında aldığım log mesajı;
IKE XXX.XXX.XXX.XXX Phase 1: Retransmission limit has been reached.
Pfsense log mesajı;
racoon: [Self]: INFO: 192.168.0.100[4500] used for NAT-T
Oct 10 09:36:41 racoon: [Self]: INFO: 192.168.0.100[4500] used as isakmp port (fd=14)
Oct 10 09:36:41 racoon: [Self]: INFO: 192.168.0.100[500] used for NAT-T
Oct 10 09:36:41 racoon: [Self]: INFO: 192.168.0.100[500] used as isakmp port (fd=15)
Oct 10 09:36:41 racoon: INFO: unsupported PF_KEY message REGISTER
Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.168.19.100/32[0] 192.168.19.0/24[0] proto=any dir=out
Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.168.19.0/24[0] 192.168.19.100/32[0] proto=any dir=in
Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.168.19.0/24[0] 192.255.255.59/30[0] proto=any dir=out
Oct 10 09:36:41 racoon: ERROR: such policy already exists. anyway replace it: 192.255.255.59/30[0] 192.168.19.0/24[0] proto=any dir=in
Oct 10 09:36:57 racoon: [Sube]: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
Oct 10 09:36:57 racoon: [Sube]: INFO: initiate new phase 1 negotiation: 192.168.0.100[500]<=>xxx.xx.xx.xxx[500]
Oct 10 09:36:57 racoon: INFO: begin Identity Protection mode.
Oct 10 09:37:28 racoon: [Sube]: [xxx.xxx.xxx.xxx] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP xxx.xxx.xxx.xxx[0]->192.168.0.100[0]
Oct 10 09:37:28 racoon: INFO: delete phase 2 handler.
Oct 10 09:37:47 racoon: ERROR: phase1 negotiation failed due to time up. 538428f1ae3a5914:0000000000000000
Oct 10 09:43:01 racoon: INFO: unsupported PF_KEY message REGISTER
Oct 10 09:44:58 racoon: INFO: unsupported PF_KEY message REGISTER
Oct 10 10:34:09 racoon: INFO: unsupported PF_KEY message REGISTERİyi çalışmalar..
-
Merhaba,
- Loglar'da gözüken subnet bilgilerinde bir yanlışlık söz konusu olabilir mi ?
- IPSEC aggressive mi main modda mı çalıştırıyorsunuz. ?
- Şifreleme türü olarak neyi tercih ettiniz ?
Son olarak Merkez ve Şube'ye ait subnetleri ve zahmet olmayacaksa pfSense Ipsec menüsünde yaptığınız işlemlerin resimlendirmesini yapabilirmisiniz. ?
-
Merhaba,
Netscreen SSG20;
https://my.pcloud.com/publink/show?code=XZxif7ZHeSErEzWRCFhhTWEpj9h7QeRJU6X
https://my.pcloud.com/publink/show?code=XZwif7Zi0KIl6Arnfyf5GG9Cm3mh8O22W5X
https://my.pcloud.com/publink/show?code=XZMif7Ze0stLHIbUlYzs3yQRHGrmpQjjzIy
https://my.pcloud.com/publink/show?code=XZgif7ZQpcoR7baHj4BTCJvoCltFRJ9jRHy
https://my.pcloud.com/publink/show?code=XZPif7ZjT76WseoqzYHN41XwTvAiHuS93Hk
https://my.pcloud.com/publink/show?code=XZCif7ZqEQD3F5coMyg4n2L87wye0poX42yPfsense;
https://my.pcloud.com/publink/show?code=XZJif7Z3W1Sbe9AnC7EJNc326vUOQqRBg3X
https://my.pcloud.com/publink/show?code=XZnif7ZNH9MvvN00vfJHTqot4BmiQkqdfHkİhiniz için teşekkürler..
-
Juniper ortam'a nasıl bağlı ? Bir router arkasında ise DMZ veya IpSec portlarını yonlendirdiniz mi ?Nat Traversel'i bağlantı kurulumunu test etmek adına bir kapatıp öyle denermisiniz.Eğer cihazlarınız nat arkasında değil se zaten gerek yok ona.
Dikkatimi çeken olay su oldu Juniper tarafında aşağıdaki resim'de 10.0.0.1 nerenin networkü ? Local Network mü karşı network mü ? Eğer Local networkün subnetmaski ise pfsense tarafında 10.0.0.3 belirttiğiniz remote network ile oradaki network bilgisi aynı olması gerekiyor.Aynı zamanda şube ve merkez networkleri ayrı subnetlerde olmasi gerekiyor.
Son olarak bağlantıyı agressive modda denermisiniz.Her iki tarafı da agressive almanız gerekir. Eğer uzaktan erişebileceğimiz bir ortam olursa beraber'de vpn bağlantısını oluşturabiliriz.Büyük ihtimal küçük bir hata bağlantının kurulmasında engel oluyor.
https://my.pcloud.com/publink/show?code=XZxif7ZHeSErEzWRCFhhTWEpj9h7QeRJU6X
-
Merhaba,
Sistemimde DMZ bulunmuyor. Sube tarafında modemden 500 ve 4500 portlarını pfsense ye yönlendirdim.
Local Network farlı bir sekmentinde.10.0.0.1 ip adresi sube tarafındaki ssg 20 tunnel.2 interface ip adresi. Ayrıca bu interaface ayarının içinde next-hoop için merkez interface ip adresinin yazıldığı bir sekme var.Ssg20 tarafında 192.168.15.xx-> tunnel.2(10.0.0.1/22)->10.0.0.3(şube interface ip adresi)
Pfsense tarafında 192.168.19.xx->tunnel.1(10.0.0.3/22)->??.?.?.? Şube tarafı intrface ip adresini yazacağım bir yer yok.Teşekürler
-
Merhaba,
Hala bu problemi çözmüş değilim.İyi çalışmalar..