Messages

Ja... ::)

Es funktioniert alles nur wird die DH Gruppe in der zweiten Phase nicht auf die gewählte Auswahl nicht übernommen. In der Weboberfläche sieht alles aus als wäre es ausgewählt (siehe Screenshot). In der IPSec.config bleibt die Einstellung allerdings...

Scheinbar ist dies wohl ein Bug.

Ja... ::)

Hallo Leute,

OPNsense 18.7.8-amd64
FreeBSD 11.1-RELEASE-p15
OpenSSL 1.0.2q 20 Nov 2018
strongswan 5.7.1


Beim verbinden einer VPN kommt es zu folgender Meldung:

Dec 3 13:48:08
charon: 09[CFG] <con1|52> configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_1024/NO_EXT_SEQ
Dec 3 13:48:08
charon: 09[CFG] <con1|52> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ

Konfiguration sieht folgendermaßen aus:

conn con1
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = clear
  dpddelay = 10s
  dpdtimeout = 60s
  left = 37.xx.xx.xx
  right = 78.xx.xx.xx
  leftid = 37.xx.xx.xx
  ikelifetime = 108000s
  lifetime = 28800s
  ike = aes256-sha256-modp2048,aes256-sha1-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = 78.xx.xx.xx
  rightsubnet = 10.xx.xx.0/24
  leftsubnet = 192.xx.xx.0/24
  esp = aes256-sha1-modp1024,aes256-sha256-modp1024!
  auto = add

Über die OPNsense Weboberfläche wurde allerdings in der Phase 2 der VPN Verbindung die PFS Gruppe auf "Group 14" eingestellt. Dennoch wird in der Konfigurationsdatei "esp = aes256-sha1-modp1024,aes256-sha256-modp1024!" übernommen.

Gibt es hierfür eine Lösung?