Solved: IPSec Tunnel Problem


  • Rebel Alliance Moderator

    Guten Morgen beisammen :)

    Ist schon ein Weilchen her seit ich Zeit hatte hier reinzuschauen und nun wirds gleich dringend ::) (wann ists das nicht..)

    Problemstellung: Nachdem mehrere einzelne VPN Verbindungen zu einem unserer Kunden aufgebaut werden mussten war das diesem irgendwann zu umständlich und in meiner Abwesenheit wurde vereinbart, einen IPSec Tunnel zwischen deren Cisco und uns aufzubauen. Prinzipiell dachte ich "OK kein Problem, IPSec mit PFsense, dem Cisco zeigen wir wo der Hammer hängt ;)". Gestern also Anruf von dem IT'ler, den PSK abgesprochen und die Einstellungen so gesetzt wie er sie vorgegeben hat - alles noch kein Problem.
    Nach Speichern des Tunnels waren auch die Policies vorhanden, aber im Log des IPSec tat/tut sich nichts. Zumindest nichts wirkliches.

    Also bin ich heute morgen hingegangen und habe versucht das gleiche Gebilde mit meiner Heim-pfSense nachzustellen. Gleiche Einstellungen im Tunnel Dialog auf beiden Seiten (beide laufen auf 1.2release) - gleiches Phänomen -> nichts tut sich. Doch, es tut sich was, allerdings nur (um mal den Dialog auf Seiten meiner Home-PF zu zeigen, der Firmen-PF ist ein wenig größer weil er mehr Netze hat):

    Jun 6 08:41:18 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
    Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
    Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
    Jun 6 08:41:18 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
    Jun 6 08:41:18 racoon: INFO: ::1[500] used as isakmp port (fd=16)
    Jun 6 08:41:18 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
    Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
    Jun 6 08:41:18 racoon: [Self]: INFO: 217.233.145.28[500] used as isakmp port (fd=13)
    Jun 6 08:41:18 racoon: INFO: unsupported PF_KEY message REGISTER
    Jun 6 08:41:18 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
    Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
    Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
    Jun 6 08:41:18 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
    Jun 6 08:41:18 racoon: INFO: ::1[500] used as isakmp port (fd=16)
    Jun 6 08:41:18 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
    Jun 6 08:41:18 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
    Jun 6 08:41:18 racoon: [Self]: INFO: 217.233.145.28[500] used as isakmp port (fd=13)
    Jun 6 08:41:18 racoon: INFO: Resize address pool from 0 to 255
    Jun 6 08:41:18 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Jun 6 08:41:18 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
    Jun 6 08:41:18 racoon: INFO: @(#)ipsec-tools 0.7 (http://ipsec-tools.sourceforge.net)

    172.16.61.0/24 ist mein Heimnetz. Die 217.233.145.28 die momentane Adresse (ist eigentlich dynamisch und ändert sich heute nacht wieder aber für den Test reichts). Aber bis auf obiges (ggf. 2x ein paar Sekunden später nochmals) sehe ich nichts. Keinen Verbindungsversuch, keine offenen States, nichts.

    Ich würde mich freuen wenn der ein oder andere nen Tipp hat, wo ich auf dem Schlauch stehe, bisher hatten wir nur OpenVPN Clients oder Tunnel und die liefen ohne große Probleme. Aber keine pfSense auf welcher Seite auch immer scheint überhaupt zu versuchen, die Verbindung aufzubauen. Wenn ihr Infos braucht, einfach nachfragen, aber ich würde schon gern sehen, dass sich die beiden wenigstens verbinden können, um dann nen Ansatz zu haben, warum das Ganze mit dem Cisco ebenfalls nicht geht.

    Gruß
    Grey



  • Hallo,

    wenn das alles im Log ist, beginnt noch nicht einmal Phase 1, d.h. der Tunnelaufbau hat noch gar nicht begonnen.
    Kannst Du die genaue config posten?

    Gruß
    heiko


  • Rebel Alliance Moderator

    Das ist genau das was mich stutzig macht, heiko.

    racoon.conf

    path pre_shared_key "/var/etc/psk.txt";

    path certificate  "/var/etc";

    remote x.x.x.82 {
    exchange_mode main;
    my_identifier fqdn "mein.domain.name";

    peers_identifier address x.x.x.82;
    initial_contact on;
    support_proxy on;
    proposal_check obey;

    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key;
    dh_group 2;
    lifetime time 86400 secs;
    }
    lifetime time 86400 secs;
    }

    sainfo address 172.16.61.0/24 any address 10.23.0.0/16 any {
    encryption_algorithm 3des,rijndael;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
    pfs_group 2;
    lifetime time 3660 secs;
    }

    Das ist die Config von meinem Heim-PF.

    path pre_shared_key "/var/etc/psk.txt";

    path certificate  "/var/etc";

    remote 217.233.145.28 {
    exchange_mode main;
    my_identifier fqdn "firmen.domain.name";

    peers_identifier address 217.233.145.28;
    initial_contact on;
    support_proxy on;
    proposal_check obey;

    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key;
    dh_group 2;
    lifetime time 86400 secs;
    }
    lifetime time 86400 secs;
    }

    sainfo address 10.23.0.0/16 any address 172.16.61.0/24 any {
    encryption_algorithm 3des,rijndael;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
    pfs_group 2;
    lifetime time 3660 secs;
    }

    Das ist die Firmen-PF. Die Domain Namen der Identifier sind eindeutig und entsprechen den Geräten.



  • Entweder main-mode und kein FQDN sondern My ip-address oder aggressiv mode mit FQDN, probiers mal aus.

    pfsense mit dynamischer Adresse läuft als Mobile IPSec Client prima, muss dann im Office Enabled und konfiguriert sein.

    Bye
    Heiko


  • Rebel Alliance Moderator

    Vorgaben von unserem Kunden - was ich auch versucht habe mit meinem Home-PF zu testen - ist Main Mode, IP Identifier. Aber gleiches Ergebnis - es tut sich nichts :(



  • das ist bei Dir home und Office beides Pfsense, home dynamic mit ip für 24 stunden, seis drum, das geht zwischen 2 pfsensen auf jeden fall, ich habe reichlich davon laufen, du hast die 1.2 im Einsatz nicht 1.21 Alpha testing, denke ich, nimm den Haken bei ipsec raus, apply und setze in neu, so das racoon neu lädt…in 1.2 ist da ein bug


  • Rebel Alliance Moderator

    Wenn ich das nicht schon ein paar Mal gemacht hätte - inklusive kompletter Tunnel löschen und neu eintippern - würde ich freudig einem laufenden Racoon entgegensehen. Habe ich aber leider schon.

    Wie gesagt: Settings sind wie beschrieben, Main Mode, My IP Adress als Identifier. Speichern, Haken rein bei IPSec -> SPD wird angelegt, Logs wie ganz am Anfang beschrieben. Kein Muks von Racoon dass er loslegt. Nur IP/Port Bindings und der PF_KEY Fehler.

    Und du liegst richtig, beide laufen 1.2rel, kein Alpha oder Snapshot. Auch mit dem Cisco als Gegenstelle (also der eigentliche Job) tut sich nix.



  • Das ist eigenartig, sogar sehr, wie lange hast Du gewartet, nachdem Du den Haken fuer IPSEC enabled gesetzt hast?


  • Rebel Alliance Moderator

    Jun 10 09:38:07 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
    Jun 10 09:38:07 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
    Jun 10 09:38:07 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
    Jun 10 09:38:07 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
    Jun 10 09:38:07 racoon: INFO: ::1[500] used as isakmp port (fd=16)
    Jun 10 09:38:07 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
    Jun 10 09:38:07 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
    Jun 10 09:38:07 racoon: [Self]: INFO: 217.233.142.213[500] used as isakmp port (fd=13)
    Jun 10 09:38:06 racoon: INFO: unsupported PF_KEY message REGISTER
    Jun 10 09:38:06 racoon: [Self]: INFO: 172.16.61.1[500] used as isakmp port (fd=20)
    Jun 10 09:38:06 racoon: INFO: fe80::20d:b9ff:fe04:ab90%sis0[500] used as isakmp port (fd=19)
    Jun 10 09:38:06 racoon: INFO: fe80::20d:b9ff:fe04:ab92%sis2[500] used as isakmp port (fd=18)
    Jun 10 09:38:06 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)
    Jun 10 09:38:06 racoon: INFO: ::1[500] used as isakmp port (fd=16)
    Jun 10 09:38:06 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=15)
    Jun 10 09:38:06 racoon: INFO: fe80::20d:b9ff:fe04:ab90%ng0[500] used as isakmp port (fd=14)
    Jun 10 09:38:06 racoon: [Self]: INFO: 217.233.142.213[500] used as isakmp port (fd=13)
    Jun 10 09:38:06 racoon: INFO: Resize address pool from 0 to 255
    Jun 10 09:38:06 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Jun 10 09:38:06 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
    Jun 10 09:38:06 racoon: INFO: @(#)ipsec-tools 0.7 (http://ipsec-tools.sourceforge.net)

    Siehe Forenposting. Fast ne halbe Stunde jetzt und immer noch nix. Das ist der Output meiner Home-pfSense. Die in der Firma, an der ich grad sitze zeigt dasselbe nur mit ihren eigenen IF-IPs.

    Ich weiß wirklich nicht, warum der nicht loslaufen will. Die pf zuhause ist ein stinknormales DSL Setup mit nem Modem vorndran (Zwangstrennung ist erst wieder um 6h, für den Test müsste es als "statische IP" durchgehen). Die in der Firma ist etwas komplexer und hat 2 WANs, wobei aber beide statisch sind und hat 3 LANs (Firma, DMZ und TestLAN). Könnte da das Problem sein? Nur warum läuft dann Racoon auf keiner der beiden los? (Mal davon abgesehen dass ich den Tunnel zum Zielfirmencisco gestern den ganzen Tag lang aktiv hatte und sich in den Logs überhaupt nichts getan hat..)

    Generell: Hast du oder sonst jemand überhaupt schon IPSec mit einem Cisco Endpunkt erfolgreich in Betrieb? Dass pf->pf geht denk ich schon, auch wenns hier grade nicht geht.

    ??? ??? ???


  • Rebel Alliance Moderator

    Das ist die Home-PF. Die andere ist natürlich vice-versa konfiguriert. Gleiche Einstellungen, nur beim Identifier die 213er IP, Remote Network 172.16.61.0/24, Remote Gateway die 217er IP, etc.
    Vielleicht hilft das weiter.




  • Hallo,

    bei my identifier = ip adress bleibt das Feld leer, nix eintragen, noch einmal probieren. Ich habe keine Cisco als Endpoint laufen, im Forum gabs aber Threads zu Lauffähigkeit mit Cisco Pixen.
    Auf jeden Fall geht pfs zu pfs….

    Gruß
    Heiko


  • Rebel Alliance Moderator

    Habe auch das Feld schon leer gelassen - gleiches Phänomen. Allerdings hatte ich ja oben sicherheitshalber nicht MY IP Adress sondern nur "IP Adress" ausgewählt um genau was reinschreiben zu können (und um auszuschließen, dass bei My IP Adress was falsches übergeben wird).



  • sehr eigenartig, Automatically ping host muss im übrigen eine lokale Adresse des anderen Endpoints sein, sinnvollerweise die LAN Adresse der Firewall.


  • Rebel Alliance Moderator

    Aaaaha, das ist schonmal was, was nicht stimmte. Aber ich bin da echt am Verzweifeln langsam, zumal mir auch der ISP vom Kunden im Genick sitzt und fragt was da nicht läuft/so lange dauert.. Sonst vielleicht noch Ideen? Evtl. statt als Tunnel als Mobiler Client definieren? Wobei ich ja dann keine Möglichkeit habe das Fremd- bzw. eigene Netz anzugeben.. verflixt..



  • also das kann nur ein Konfigurationsfehler sein, wenn Du nicht mal pf zu pf ans Rennen bekommst.
    Anbei einmal ein funktionierendes Setup…, willst Du den Tunnel vom Opt aufbauen?, versuch mal vom LAN Net, wenn dem so ist.





  • Rebel Alliance Moderator

    Ich habe mal versucht deine Konfiguration nachzuahmen, kein Erfolg. Beide pfSense stehen da und tun nix.. Ich weiß wirklich nicht weiter. Was kann das für eine Ursache haben? Brauchen sie nach dem neu Einrichten einen Neustart oder derlei?


  • Rebel Alliance Moderator

    :o :o :o
    Heute morgen wegen eines Versuchs (Interface Alias per .sh Skript beim Booten einbinden) die Firewall hier in der Firma neugestartet und - es geht! Tunnel ein/aus, IPsec ein/aus, jetzt tut sich auf einmal was. Verbindung zur pf zu Hause im Labor problemlos, dann Tunnel abgeschaltet und zum Kundencisco verbunden -> läuft! Fabulös ;D

    Sollte also jemand ein ähnliches Problem haben: Öfter mal neu starten nach dem einschalten/konfigurieren von IPsec, Racoon scheint zickig zu sein ;)

    Nochmals danke für die Mühe, Heiko.

    Gruß Jens



  • Erstmal schön zu hören, das sighup für racoon sollte in der 1.21 erledigt sein. Wunder dauern halt etwas länger…aber schön das es jetzt geht :D


  • Rebel Alliance Moderator

    Da sagst du was ;) Kommt man sich mitunter doof vor nach so vielen Jahren immer noch die einfachste Lösung.. allerdings kann ich zu meiner Entschuldigung sagen, dass ich unsere 5NIC Kiste in der Firma auch nicht einfach zur PrimeTime neu booten kann ;) auch wenn sie fix wieder da ist. Aber der Tunnel zum RZ ist vital und da beißen sie mir den Kopf ab wenn ich den einfach übern Tag absäge - neues VPN hin oder her ;D

    Tja so einfach kanns sein :) Allerdings glaub ich nicht an ein SIGHUP Problem, da ich den Daemon manuell gekillt und selbst mit -ddd Optionen gestartet hatte. Das muss was anderes gewesen sein, was sich auf den Start ausgewirkt hat. Vielleicht eine Interfacekonfiguration oder was dergleichen.



  • wart auf die 1.21, da sind einige bugs, auch und gerade im ipsec behoben, dann schauen wir weiter….


  • Rebel Alliance Moderator

    Och ich test das gerne nochmal - jetzt wo ich weiß, dass es sauber läuft wenn man dem störrischen Esel mal Beine macht ;)


Log in to reply