Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Solved: IPSec Tunnel Problem

    Scheduled Pinned Locked Moved Deutsch
    21 Posts 2 Posters 8.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      Guten Morgen beisammen :)

      Ist schon ein Weilchen her seit ich Zeit hatte hier reinzuschauen und nun wirds gleich dringend ::) (wann ists das nicht..)

      Problemstellung: Nachdem mehrere einzelne VPN Verbindungen zu einem unserer Kunden aufgebaut werden mussten war das diesem irgendwann zu umständlich und in meiner Abwesenheit wurde vereinbart, einen IPSec Tunnel zwischen deren Cisco und uns aufzubauen. Prinzipiell dachte ich "OK kein Problem, IPSec mit PFsense, dem Cisco zeigen wir wo der Hammer hängt ;)". Gestern also Anruf von dem IT'ler, den PSK abgesprochen und die Einstellungen so gesetzt wie er sie vorgegeben hat - alles noch kein Problem.
      Nach Speichern des Tunnels waren auch die Policies vorhanden, aber im Log des IPSec tat/tut sich nichts. Zumindest nichts wirkliches.

      Also bin ich heute morgen hingegangen und habe versucht das gleiche Gebilde mit meiner Heim-pfSense nachzustellen. Gleiche Einstellungen im Tunnel Dialog auf beiden Seiten (beide laufen auf 1.2release) - gleiches Phänomen -> nichts tut sich. Doch, es tut sich was, allerdings nur (um mal den Dialog auf Seiten meiner Home-PF zu zeigen, der Firmen-PF ist ein wenig größer weil er mehr Netze hat):

      Jun 6 08:41:18 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
      Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
      Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
      Jun 6 08:41:18 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
      Jun 6 08:41:18 racoon: INFO: ::1[500] used as isakmp port (fd=16)
      Jun 6 08:41:18 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
      Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
      Jun 6 08:41:18 racoon: [Self]: INFO: 217.233.145.28[500] used as isakmp port (fd=13)
      Jun 6 08:41:18 racoon: INFO: unsupported PF_KEY message REGISTER
      Jun 6 08:41:18 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
      Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
      Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
      Jun 6 08:41:18 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
      Jun 6 08:41:18 racoon: INFO: ::1[500] used as isakmp port (fd=16)
      Jun 6 08:41:18 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
      Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
      Jun 6 08:41:18 racoon: [Self]: INFO: 217.233.145.28[500] used as isakmp port (fd=13)
      Jun 6 08:41:18 racoon: INFO: Resize address pool from 0 to 255
      Jun 6 08:41:18 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
      Jun 6 08:41:18 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
      Jun 6 08:41:18 racoon: INFO: @(#)ipsec-tools 0.7 (http://ipsec-tools.sourceforge.net)

      172.16.61.0/24 ist mein Heimnetz. Die 217.233.145.28 die momentane Adresse (ist eigentlich dynamisch und ändert sich heute nacht wieder aber für den Test reichts). Aber bis auf obiges (ggf. 2x ein paar Sekunden später nochmals) sehe ich nichts. Keinen Verbindungsversuch, keine offenen States, nichts.

      Ich würde mich freuen wenn der ein oder andere nen Tipp hat, wo ich auf dem Schlauch stehe, bisher hatten wir nur OpenVPN Clients oder Tunnel und die liefen ohne große Probleme. Aber keine pfSense auf welcher Seite auch immer scheint überhaupt zu versuchen, die Verbindung aufzubauen. Wenn ihr Infos braucht, einfach nachfragen, aber ich würde schon gern sehen, dass sich die beiden wenigstens verbinden können, um dann nen Ansatz zu haben, warum das Ganze mit dem Cisco ebenfalls nicht geht.

      Gruß
      Grey

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      1 Reply Last reply Reply Quote 0
      • H
        heiko
        last edited by

        Hallo,

        wenn das alles im Log ist, beginnt noch nicht einmal Phase 1, d.h. der Tunnelaufbau hat noch gar nicht begonnen.
        Kannst Du die genaue config posten?

        Gruß
        heiko

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Das ist genau das was mich stutzig macht, heiko.

          racoon.conf

          path pre_shared_key "/var/etc/psk.txt";

          path certificate  "/var/etc";

          remote x.x.x.82 {
          exchange_mode main;
          my_identifier fqdn "mein.domain.name";

          peers_identifier address x.x.x.82;
          initial_contact on;
          support_proxy on;
          proposal_check obey;

          proposal {
          encryption_algorithm 3des;
          hash_algorithm sha1;
          authentication_method pre_shared_key;
          dh_group 2;
          lifetime time 86400 secs;
          }
          lifetime time 86400 secs;
          }

          sainfo address 172.16.61.0/24 any address 10.23.0.0/16 any {
          encryption_algorithm 3des,rijndael;
          authentication_algorithm hmac_sha1;
          compression_algorithm deflate;
          pfs_group 2;
          lifetime time 3660 secs;
          }

          Das ist die Config von meinem Heim-PF.

          path pre_shared_key "/var/etc/psk.txt";

          path certificate  "/var/etc";

          remote 217.233.145.28 {
          exchange_mode main;
          my_identifier fqdn "firmen.domain.name";

          peers_identifier address 217.233.145.28;
          initial_contact on;
          support_proxy on;
          proposal_check obey;

          proposal {
          encryption_algorithm 3des;
          hash_algorithm sha1;
          authentication_method pre_shared_key;
          dh_group 2;
          lifetime time 86400 secs;
          }
          lifetime time 86400 secs;
          }

          sainfo address 10.23.0.0/16 any address 172.16.61.0/24 any {
          encryption_algorithm 3des,rijndael;
          authentication_algorithm hmac_sha1;
          compression_algorithm deflate;
          pfs_group 2;
          lifetime time 3660 secs;
          }

          Das ist die Firmen-PF. Die Domain Namen der Identifier sind eindeutig und entsprechen den Geräten.

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • H
            heiko
            last edited by

            Entweder main-mode und kein FQDN sondern My ip-address oder aggressiv mode mit FQDN, probiers mal aus.

            pfsense mit dynamischer Adresse läuft als Mobile IPSec Client prima, muss dann im Office Enabled und konfiguriert sein.

            Bye
            Heiko

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Vorgaben von unserem Kunden - was ich auch versucht habe mit meinem Home-PF zu testen - ist Main Mode, IP Identifier. Aber gleiches Ergebnis - es tut sich nichts :(

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • H
                heiko
                last edited by

                das ist bei Dir home und Office beides Pfsense, home dynamic mit ip für 24 stunden, seis drum, das geht zwischen 2 pfsensen auf jeden fall, ich habe reichlich davon laufen, du hast die 1.2 im Einsatz nicht 1.21 Alpha testing, denke ich, nimm den Haken bei ipsec raus, apply und setze in neu, so das racoon neu lädt…in 1.2 ist da ein bug

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Wenn ich das nicht schon ein paar Mal gemacht hätte - inklusive kompletter Tunnel löschen und neu eintippern - würde ich freudig einem laufenden Racoon entgegensehen. Habe ich aber leider schon.

                  Wie gesagt: Settings sind wie beschrieben, Main Mode, My IP Adress als Identifier. Speichern, Haken rein bei IPSec -> SPD wird angelegt, Logs wie ganz am Anfang beschrieben. Kein Muks von Racoon dass er loslegt. Nur IP/Port Bindings und der PF_KEY Fehler.

                  Und du liegst richtig, beide laufen 1.2rel, kein Alpha oder Snapshot. Auch mit dem Cisco als Gegenstelle (also der eigentliche Job) tut sich nix.

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • H
                    heiko
                    last edited by

                    Das ist eigenartig, sogar sehr, wie lange hast Du gewartet, nachdem Du den Haken fuer IPSEC enabled gesetzt hast?

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Jun 10 09:38:07 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
                      Jun 10 09:38:07 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
                      Jun 10 09:38:07 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
                      Jun 10 09:38:07 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
                      Jun 10 09:38:07 racoon: INFO: ::1[500] used as isakmp port (fd=16)
                      Jun 10 09:38:07 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
                      Jun 10 09:38:07 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
                      Jun 10 09:38:07 racoon: [Self]: INFO: 217.233.142.213[500] used as isakmp port (fd=13)
                      Jun 10 09:38:06 racoon: INFO: unsupported PF_KEY message REGISTER
                      Jun 10 09:38:06 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
                      Jun 10 09:38:06 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
                      Jun 10 09:38:06 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
                      Jun 10 09:38:06 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
                      Jun 10 09:38:06 racoon: INFO: ::1[500] used as isakmp port (fd=16)
                      Jun 10 09:38:06 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
                      Jun 10 09:38:06 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
                      Jun 10 09:38:06 racoon: [Self]: INFO: 217.233.142.213[500] used as isakmp port (fd=13)
                      Jun 10 09:38:06 racoon: INFO: Resize address pool from 0 to 255
                      Jun 10 09:38:06 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
                      Jun 10 09:38:06 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
                      Jun 10 09:38:06 racoon: INFO: @(#)ipsec-tools 0.7 (http://ipsec-tools.sourceforge.net)

                      Siehe Forenposting. Fast ne halbe Stunde jetzt und immer noch nix. Das ist der Output meiner Home-pfSense. Die in der Firma, an der ich grad sitze zeigt dasselbe nur mit ihren eigenen IF-IPs.

                      Ich weiß wirklich nicht, warum der nicht loslaufen will. Die pf zuhause ist ein stinknormales DSL Setup mit nem Modem vorndran (Zwangstrennung ist erst wieder um 6h, für den Test müsste es als "statische IP" durchgehen). Die in der Firma ist etwas komplexer und hat 2 WANs, wobei aber beide statisch sind und hat 3 LANs (Firma, DMZ und TestLAN). Könnte da das Problem sein? Nur warum läuft dann Racoon auf keiner der beiden los? (Mal davon abgesehen dass ich den Tunnel zum Zielfirmencisco gestern den ganzen Tag lang aktiv hatte und sich in den Logs überhaupt nichts getan hat..)

                      Generell: Hast du oder sonst jemand überhaupt schon IPSec mit einem Cisco Endpunkt erfolgreich in Betrieb? Dass pf->pf geht denk ich schon, auch wenns hier grade nicht geht.

                      ??? ??? ???

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Das ist die Home-PF. Die andere ist natürlich vice-versa konfiguriert. Gleiche Einstellungen, nur beim Identifier die 213er IP, Remote Network 172.16.61.0/24, Remote Gateway die 217er IP, etc.
                        Vielleicht hilft das weiter.

                        pf1.jpg
                        pf1.jpg_thumb

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • H
                          heiko
                          last edited by

                          Hallo,

                          bei my identifier = ip adress bleibt das Feld leer, nix eintragen, noch einmal probieren. Ich habe keine Cisco als Endpoint laufen, im Forum gabs aber Threads zu Lauffähigkeit mit Cisco Pixen.
                          Auf jeden Fall geht pfs zu pfs….

                          Gruß
                          Heiko

                          1 Reply Last reply Reply Quote 0
                          • JeGrJ
                            JeGr LAYER 8 Moderator
                            last edited by

                            Habe auch das Feld schon leer gelassen - gleiches Phänomen. Allerdings hatte ich ja oben sicherheitshalber nicht MY IP Adress sondern nur "IP Adress" ausgewählt um genau was reinschreiben zu können (und um auszuschließen, dass bei My IP Adress was falsches übergeben wird).

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            1 Reply Last reply Reply Quote 0
                            • H
                              heiko
                              last edited by

                              sehr eigenartig, Automatically ping host muss im übrigen eine lokale Adresse des anderen Endpoints sein, sinnvollerweise die LAN Adresse der Firewall.

                              1 Reply Last reply Reply Quote 0
                              • JeGrJ
                                JeGr LAYER 8 Moderator
                                last edited by

                                Aaaaha, das ist schonmal was, was nicht stimmte. Aber ich bin da echt am Verzweifeln langsam, zumal mir auch der ISP vom Kunden im Genick sitzt und fragt was da nicht läuft/so lange dauert.. Sonst vielleicht noch Ideen? Evtl. statt als Tunnel als Mobiler Client definieren? Wobei ich ja dann keine Möglichkeit habe das Fremd- bzw. eigene Netz anzugeben.. verflixt..

                                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                1 Reply Last reply Reply Quote 0
                                • H
                                  heiko
                                  last edited by

                                  also das kann nur ein Konfigurationsfehler sein, wenn Du nicht mal pf zu pf ans Rennen bekommst.
                                  Anbei einmal ein funktionierendes Setup…, willst Du den Tunnel vom Opt aufbauen?, versuch mal vom LAN Net, wenn dem so ist.

                                  ScreenShot001.jpg
                                  ScreenShot001.jpg_thumb
                                  ScreenShot002.jpg
                                  ScreenShot002.jpg_thumb

                                  1 Reply Last reply Reply Quote 0
                                  • JeGrJ
                                    JeGr LAYER 8 Moderator
                                    last edited by

                                    Ich habe mal versucht deine Konfiguration nachzuahmen, kein Erfolg. Beide pfSense stehen da und tun nix.. Ich weiß wirklich nicht weiter. Was kann das für eine Ursache haben? Brauchen sie nach dem neu Einrichten einen Neustart oder derlei?

                                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                    1 Reply Last reply Reply Quote 0
                                    • JeGrJ
                                      JeGr LAYER 8 Moderator
                                      last edited by

                                      :o :o :o
                                      Heute morgen wegen eines Versuchs (Interface Alias per .sh Skript beim Booten einbinden) die Firewall hier in der Firma neugestartet und - es geht! Tunnel ein/aus, IPsec ein/aus, jetzt tut sich auf einmal was. Verbindung zur pf zu Hause im Labor problemlos, dann Tunnel abgeschaltet und zum Kundencisco verbunden -> läuft! Fabulös ;D

                                      Sollte also jemand ein ähnliches Problem haben: Öfter mal neu starten nach dem einschalten/konfigurieren von IPsec, Racoon scheint zickig zu sein ;)

                                      Nochmals danke für die Mühe, Heiko.

                                      Gruß Jens

                                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                      1 Reply Last reply Reply Quote 0
                                      • H
                                        heiko
                                        last edited by

                                        Erstmal schön zu hören, das sighup für racoon sollte in der 1.21 erledigt sein. Wunder dauern halt etwas länger…aber schön das es jetzt geht :D

                                        1 Reply Last reply Reply Quote 0
                                        • JeGrJ
                                          JeGr LAYER 8 Moderator
                                          last edited by

                                          Da sagst du was ;) Kommt man sich mitunter doof vor nach so vielen Jahren immer noch die einfachste Lösung.. allerdings kann ich zu meiner Entschuldigung sagen, dass ich unsere 5NIC Kiste in der Firma auch nicht einfach zur PrimeTime neu booten kann ;) auch wenn sie fix wieder da ist. Aber der Tunnel zum RZ ist vital und da beißen sie mir den Kopf ab wenn ich den einfach übern Tag absäge - neues VPN hin oder her ;D

                                          Tja so einfach kanns sein :) Allerdings glaub ich nicht an ein SIGHUP Problem, da ich den Daemon manuell gekillt und selbst mit -ddd Optionen gestartet hatte. Das muss was anderes gewesen sein, was sich auf den Start ausgewirkt hat. Vielleicht eine Interfacekonfiguration oder was dergleichen.

                                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                          1 Reply Last reply Reply Quote 0
                                          • H
                                            heiko
                                            last edited by

                                            wart auf die 1.21, da sind einige bugs, auch und gerade im ipsec behoben, dann schauen wir weiter….

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.