IPSec - Verbindung

[almo]

Hallo Zusammen,

ich versuche gerade meine OPNSense an einen IPSec Tunnel von einer Clavista FW zu verbinden.

Folgende Fehlermeldung kommt:

Code Select Expand


Apr 19 22:18:42 charon: 10[IKE] received NO_PROPOSAL_CHOSEN notify error
Apr 19 22:18:42 charon: 10[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
Apr 19 22:18:42 charon: 10[NET] received packet: from 212.28.xxx.xxx[500] to 10.168.7.151[500] (36 bytes)
Apr 19 22:18:42 charon: 10[NET] sending packet: from 10.168.7.151[500] to 212.28.xxx.xxx[500] (396 bytes)
Apr 19 22:18:42 charon: 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Apr 19 22:18:42 charon: 10[IKE] initiating IKE_SA con1[4] to 212.28.xxx.xxx
Apr 19 22:18:42 charon: 10[IKE] initiating IKE_SA con1[4] to 212.28.xxx.xxx
Apr 19 22:18:42 charon: 08[CFG] received stroke: initiate 'con1'

Schlüssel und Protokolle zur Verschlüsselung sind bei beiden Seiten gleich. Worauf müsste ich denn noch sonst achten ?

[Wayne Train]

Das scheint fast so, als hättest du keine Crypto-Proposals definiert auf der Clavista Seite.
Daher kommt die Verbindung nicht zustande. Sind wirklich auf beiden Seiten Proposals für Phase1 und Phase2 vorhanden und stimmen diese überein ?

[almo]

Phase 1 und Phase 2 gibts ja nicht so direkt bei Clavister

[Wayne Train]

Hi,
das entspricht doch deiner Phase 1. Ich hoffe du hast da kein DES im Einsatz, denn das ist fritte. Schalt mal auf AES256 und SHA1 ( Das ist auch nicht toll, aber was besser) und wähle das auch auf deiner OPN. Dann konfigurierts du in Phase 2, was wahrscheinlich in der Clavista-Büchse den IKE-Settings entspricht, ebenfalls Proposals die übereinstimmen. Auf dem WAN der OPN hast du die entprechnenden Ports für die remote-Site geöffnet ?