Mikrotik L2TP/IPsec

netsense

Hallo zusammen,

ich versuche eine Mikrotik und die pfsense per IPsec über L2TP zu verbinden.

Die L2TP Verbindung steht und funtkioniert auch. Die IPsec Verbindung scheint hingegen ein Problem zu haben. Das Log der pfsense spuckt folgendes aus.

Feb 27 17:04:27 	charon: 12[IKE] <1551> 10.0.100.128 is initiating a Aggressive Mode IKE_SA
Feb 27 17:04:27 	charon: 12[CFG] <1551> looking for pre-shared key peer configs matching 10.0.100.1...10.0.100.128[10.0.100.128]
Feb 27 17:04:27 	charon: 12[IKE] <1551> found 1 matching config, but none allows pre-shared key authentication using Aggressive Mode
Feb 27 17:04:27 	charon: 12[ENC] <1551> generating INFORMATIONAL_V1 request 2899359407 [ N(AUTH_FAILED) ]
Feb 27 17:04:27 	charon: 12[NET] <1551> sending packet: from 10.0.100.1[500] to 10.0.100.128[500] (56 bytes)

Die Mikrotik hat auf dem L2TP Interface die IP-Adresse 10.0.100.128 und die pfsense 10.0.100.1.

Key Exchange version:  V1
Remote gateway:          10.0.100.128
10.0.100.128:              mutual PSK
Negotiation mode:        Aggressive
My identifier:                IP Adresse 10.0.100.1
Peer identifier:              IP Adresse 10.0.100.128

Das Problem scheint hier zu liegen.

found 1 matching config, but none allows pre-shared key authentication using Aggressive Mode

Ich habe im Strongswan Wiki einen Eintrag (https://wiki.strongswan.org/issues/956) dazu gefunden, aber in der ipsec.conf auf der pfsense steht schon aggressive auf yes.

Hat jemand eine Idee?

Ach, aktuell setzte ich die pfsense 2.2.5 ein.

pfoerster

Besser du nimmst native IPsec dafür:
IPsec auf Mikrotik

JeGr

AKTUELL setzt du pfSense 2.2.5 ein?

Sorry, bitte erstmal updaten auf Aktuellen Stand! Du nutzt eine fast VIER Jahre alte obsolete Software mit entsprechenden Bugs, Problemen und sonstigem Ballast. Eine Firewall sollte up2date sein, es gibt keinen Grund 2019 auf <2.3.5 rumzueiern wenn man steinalte Hardware hat und nicht auf 2.4.4 zu sein, wenn die halbwegs aktuell 64bit unterstützt.

Zudem ist Aggressive Mode für IPSEC IKE1 ein No-No seit 2018. Wird nirgends mehr gern gesehen. Wenn schon (nur) IKE1 dann main mode.

Aber wenn du heute noch mit der steinalten pfSense bastelst, dann hast du leider ganz andere Probleme als IPSEC an der Stelle.

Grüße