Nachdem ich heute eine meiner Firewalls von 18.1.5 auf 18.1.8 geupdatet habe (meine Heim-Firewall), ist genau eine IPsec-Tunnelgruppe durcheinander. Auch das Neuanlegen des Tunnels bringt keine Besserung.
Die Gegenseite ist der letzte noch verbliebene IPcop, dessen Konfig habe ich nicht angetastet.
Die geupdatete OPNsense liegt mit doppeltem NAT hinter einem Unitymedia-Router, dies sehe ich jedoch nicht zwingend als Problem an (alle anderen Tunnels gegen mehrere OPNsense 18.1.5 und eine Sophos UTM rennen problemlos). Ihr LAN ist 172.31.1.1/23, ihr WAN 192.168.150.2/24 mit Gateway 192.168.150.1 (dort ist die OPNsense erfolgreich als DMZ gelistet, und alle möglichen Ports dorthin freigegeben).
Gegen IPcop und Sophos muss ich natürlich mit IKE-V1 arbeiten, also vergleiche ich mal den nicht funktionierenden Tunnel mit dem gegen die Sophos:
/usr/local/etc/ipsec.conf -- hier der Teil gegen die Sophos (es gibt einen weiteren Tunnel in eine andere Zone -- auch OK):
conn con6-000
aggressive = no
fragmentation = yes
keyexchange = ikev1
mobike = yes
reauth = yes
rekey = yes
forceencaps = no
installpolicy = yes
type = tunnel
dpdaction = none
left = 192.168.150.2
right = der.sophos-ihre.url
leftid = meine.noip.me
ikelifetime = 28800s
lifetime = 28800s
ike = aes256-sha256-modp2048!
leftauth = psk
rightauth = psk
rightid = XX.XX.XX.XX [in der GUI über "Peer-IP-Adresse" zugewiesen -- geprüft und ok]
rightsubnet = 172.16.0.0/24
leftsubnet = 172.31.0.0/23
esp = aes256-sha256-modp2048!
auto = route
Und der Teil gegen den IPcop mit den vormals funktionierenden Parametern neu angelegt (auch hier gibt es eine weitere Zone auf der Gegenseite -- diese ist auch nicht OK):
conn con5-000
aggressive = no
fragmentation = yes
keyexchange = ikev1
mobike = yes
reauth = yes
rekey = yes
forceencaps = no
installpolicy = yes
type = tunnel
dpdaction = none
left = 192.168.150.2
right = dem.ipcop-seine.url
leftid = meine.noip.me
ikelifetime = 3600s
lifetime = 28800s
ike = 3des-sha1-modp2048!
leftauth = psk
rightauth = psk
rightid = 172.31.1.1 [das ist natürlich ein Fehler, in der GUI über "Peer-IP-Adresse" gesetzt]
rightsubnet = 172.18.0.0/23
leftsubnet = 172.31.0.0/23
esp = aes256-sha1-modp2048,aes192-sha1-modp2048,aes128-sha1-modp2048!
auto = route
Da die "rightid" definitiv fehlerhaft ist -- der Cop soll sich ja nicht mit meiner LAN-IP identifizieren, sondern mit seiner WAN-IP -- editiere ich die Phase 1 neu und definiere den Peer-Identifier über "IP-Adresse" mit der gültigen IP:
conn con5-000
aggressive = no
fragmentation = yes
keyexchange = ikev1
mobike = yes
reauth = yes
rekey = yes
forceencaps = no
installpolicy = yes
type = tunnel
dpdaction = none
left = 192.168.150.2
right = dem.ipcop-seine.url
leftid = meine.noip.me
ikelifetime = 3600s
lifetime = 28800s
ike = 3des-sha1-modp2048!
leftauth = psk
rightauth = psk
rightid = YY.YY.YY.YY [einzige Änderung, jetzt sollte es passen]
rightsubnet = 172.18.0.0/23
leftsubnet = 172.31.0.0/23
esp = aes256-sha1-modp2048,aes192-sha1-modp2048,aes128-sha1-modp2048!
auto = route
Die unterschiedlichen Verschlüsselungs- und Zeitparameter sind den Grundeinstellungen bzw technischen Möglichkeiten der Gegenstellen geschuldet. Die Konfiguration sollte jetzt folglich passen, tut sie aber nicht.
Also schaue ich in die Statusübersicht und sehe (hier beginnt die Absurdität; die Zuordnungen scheinen komplett durcheinander zu sein):
Verbindung | Version | Lokale ID | Lokale IP | Ferne ID | Ferne IP | Lokale Auth | Ferne Auth |
Sophos | IKEv1 | meine.noip.me | 192.168.150.2 | XX.XX.XX.XX | der.sophos-ihre.url | pre-shared key | pre-shared key |
IPcop | IKEv1 | 172.31.1.1 | dem.ipcop-seine.url | meine.noip.me | 192.168.150.2 | pre-shared key | pre-shared key |
Fazit: Die Verbindung zur Sophos wie auch zu allen OPNsenses (dort mit IKEv2) passen, nur die zum IPcop ist komplett durcheinander. Ist das ein genereller Fehler? Wie bekomme ich di Verbindung wieder hin (die Idee "Den IPcop sofort wegwerfen" ist leider keine gültige Lösung, das wird leider eine etwas umfangreichere Operation, bis ich den umgestellt bekomme)? Und vor allem: Was gerät durcheinander, sobald ich die anderen OPNsenses aktualisiere?
mach doch ein backup der konfiguration und schau dir mal die genau an. und vergleiche sie mal mit den backups deiner vorigen sicherung der konfiguration (kannst du auch gut mit einem diff machen. ich mache es so das ich vor updates und vor änderung der konfiguration immer ein backup mache, so kann ich wieder zurück springen wenn ich es möchte/muss oder will.
Gute Idee, nur leider zu spät, weil ich das Update schon draufgebügelt habe. Und die ipsec.conf erscheint ja auch korrekt. Deswegen bin ich ja so verwirrt.
Sooooo. Die con5 hab ich deaktiviert und stattdessen eine neue Verbindung angelegt. Die geht. Zurück bleibt ein Mysterium.