Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: karaman on December 03, 2018, 02:11:00 PM

Title: VPN: PFS Gruppe lässt sich nicht ändern
Post by: karaman on December 03, 2018, 02:11:00 PM
Hallo Leute,

OPNsense 18.7.8-amd64
FreeBSD 11.1-RELEASE-p15
OpenSSL 1.0.2q 20 Nov 2018
strongswan 5.7.1


Beim verbinden einer VPN kommt es zu folgender Meldung:

QuoteDec 3 13:48:08
charon: 09[CFG] <con1|52> configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_1024/NO_EXT_SEQ
Dec 3 13:48:08
charon: 09[CFG] <con1|52> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ

Konfiguration sieht folgendermaßen aus:

Quoteconn con1
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = clear
  dpddelay = 10s
  dpdtimeout = 60s
  left = 37.xx.xx.xx
  right = 78.xx.xx.xx
  leftid = 37.xx.xx.xx
  ikelifetime = 108000s
  lifetime = 28800s
  ike = aes256-sha256-modp2048,aes256-sha1-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = 78.xx.xx.xx
  rightsubnet = 10.xx.xx.0/24
  leftsubnet = 192.xx.xx.0/24
  esp = aes256-sha1-modp1024,aes256-sha256-modp1024!
  auto = add

Über die OPNsense Weboberfläche wurde allerdings in der Phase 2 der VPN Verbindung die PFS Gruppe auf "Group 14" eingestellt. Dennoch wird in der Konfigurationsdatei "esp = aes256-sha1-modp1024,aes256-sha256-modp1024!" übernommen.

Gibt es hierfür eine Lösung?
Title: Re: VPN: PFS Gruppe lässt sich nicht ändern
Post by: mimugmail on December 03, 2018, 02:59:40 PM
Hast du auch auf "Apply" gedrückt? Anderen Browser testen?
Title: Re: VPN: PFS Gruppe lässt sich nicht ändern
Post by: karaman on December 03, 2018, 03:03:02 PM
Ja... ::)
Title: Re: VPN: PFS Gruppe lässt sich nicht ändern
Post by: mimugmail on December 03, 2018, 03:32:06 PM
Und wenn du ein Subnetz in P2 änderst, ändert sich das in der config Datei?
Title: Re: VPN: PFS Gruppe lässt sich nicht ändern
Post by: karaman on December 03, 2018, 03:35:55 PM
Ja... ::)

Es funktioniert alles nur wird die DH Gruppe in der zweiten Phase nicht auf die gewählte Auswahl nicht übernommen. In der Weboberfläche sieht alles aus als wäre es ausgewählt (siehe Screenshot). In der IPSec.config bleibt die Einstellung allerdings...

Scheinbar ist dies wohl ein Bug.
Title: Re: VPN: PFS Gruppe lässt sich nicht ändern
Post by: mimugmail on December 04, 2018, 11:37:27 AM
Ich kann dir nur anbieten mit Teamviewer kurz drauf zu schauen .. mehr fällt mir nicht ein.
Title: Re: VPN: PFS Gruppe lässt sich nicht ändern
Post by: karaman on December 04, 2018, 02:13:09 PM
Vielen dank an mimugmail! Ursache ist gefunden.


Wenn unter VPN: IPsec: Mobile Clients
Eine Phase2 PFS Group hinterlegt ist wird die Phase 2 bei allen VPN auf diese gesetzt.

Sobald das Häkchen draußen ist funktioniert alles wieder. 


Title: Re: VPN: PFS Gruppe lässt sich nicht ändern
Post by: franco on December 07, 2018, 08:10:01 AM
https://forum.opnsense.org/index.php?topic=10504.msg48021#msg48021

;)
Text only | Text with Images