OPNsense Forum
International Forums => German - Deutsch => Topic started by: almo on April 19, 2018, 10:22:19 pm
-
Hallo Zusammen,
ich versuche gerade meine OPNSense an einen IPSec Tunnel von einer Clavista FW zu verbinden.
Folgende Fehlermeldung kommt:
Apr 19 22:18:42 charon: 10[IKE] received NO_PROPOSAL_CHOSEN notify error
Apr 19 22:18:42 charon: 10[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
Apr 19 22:18:42 charon: 10[NET] received packet: from 212.28.xxx.xxx[500] to 10.168.7.151[500] (36 bytes)
Apr 19 22:18:42 charon: 10[NET] sending packet: from 10.168.7.151[500] to 212.28.xxx.xxx[500] (396 bytes)
Apr 19 22:18:42 charon: 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Apr 19 22:18:42 charon: 10[IKE] initiating IKE_SA con1[4] to 212.28.xxx.xxx
Apr 19 22:18:42 charon: 10[IKE] initiating IKE_SA con1[4] to 212.28.xxx.xxx
Apr 19 22:18:42 charon: 08[CFG] received stroke: initiate 'con1'
Schlüssel und Protokolle zur Verschlüsselung sind bei beiden Seiten gleich. Worauf müsste ich denn noch sonst achten ?
-
Das scheint fast so, als hättest du keine Crypto-Proposals definiert auf der Clavista Seite.
Daher kommt die Verbindung nicht zustande. Sind wirklich auf beiden Seiten Proposals für Phase1 und Phase2 vorhanden und stimmen diese überein ?
-
(http://up.picr.de/32448250kg.jpg)
Phase 1 und Phase 2 gibts ja nicht so direkt bei Clavister
-
Hi,
das entspricht doch deiner Phase 1. Ich hoffe du hast da kein DES im Einsatz, denn das ist fritte. Schalt mal auf AES256 und SHA1 ( Das ist auch nicht toll, aber was besser) und wähle das auch auf deiner OPN. Dann konfigurierts du in Phase 2, was wahrscheinlich in der Clavista-Büchse den IKE-Settings entspricht, ebenfalls Proposals die übereinstimmen. Auf dem WAN der OPN hast du die entprechnenden Ports für die remote-Site geöffnet ?