OPNsense Forum

Hallo zusammen,

ich habe das Forum schon durchsucht aber leider nichts gefunden.
Zu meinem Problem:
Ich habe auf der einen Seite eine OPNSense Version 22.1 auf der anderen Seite einen Cisco (Weboberfläche von Meraki).
Nun versuche ich ein IPSec aufzubauen und es werden auf dem Status Overview keine Routen angezeigt.
Im Log erscheint folgendes:
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> peer supports MOBIKE   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> received AUTH_LIFETIME of 25413s, scheduling reauthentication in 24873s   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> failed to establish CHILD_SA, keeping IKE_SA   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> received TS_UNACCEPTABLE notify, no CHILD_SA built   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> maximum IKE_SA lifetime 28510s   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> scheduling reauthentication in 27970s   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> IKE_SA con1[1] established between 87.129.231.226[87.129.231.226]...185.6.70.114[185.6.70.114]   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> authentication of 'xxx.x.xx.xxx' with pre-shared key successful   
2022-02-22T16:20:26   Informational   charon   11[ENC] <con1|1> parsed IKE_AUTH response 1 [ IDr AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(TS_UNACCEPT) ]   
2022-02-22T16:20:26   Informational   charon   11[NET] <con1|1> received packet: from 185.6.70.114[4500] to 87.129.231.226[4500] (160 bytes)   
2022-02-22T16:20:26   Informational   charon   11[NET] <con1|1> sending packet: from 87.129.231.226[4500] to 185.6.70.114[4500] (304 bytes)   
2022-02-22T16:20:26   Informational   charon   11[ENC] <con1|1> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> establishing CHILD_SA con1{2}   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> authentication of '87.129.231.226' (myself) with pre-shared key   
2022-02-22T16:20:26   Informational   charon   11[CFG] <con1|1> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048   
2022-02-22T16:20:26   Informational   charon   11[ENC] <con1|1> parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]   
2022-02-22T16:20:26   Informational   charon   11[NET] <con1|1> received packet: from 185.6.70.114[500] to 87.129.231.226[500] (462 bytes)   
2022-02-22T16:20:26   Informational   charon   11[NET] <con1|1> sending packet: from 87.129.231.226[500] to 185.6.70.114[500] (464 bytes)   
2022-02-22T16:20:26   Informational   charon   11[ENC] <con1|1> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]   
2022-02-22T16:20:26   Informational   charon   11[IKE] <con1|1> initiating IKE_SA con1[1] to 185.6.70.114   
2022-02-22T16:20:26   Informational   charon   12[CFG] received stroke: initiate 'con1'

Auf der Oberfläche von Meraki zeigt er mir aber an das der Status schon auf Grün ist  (Verbunden).

Kann mir jemand sagen was da falsch läuft?
P.S.: auf dem gleichen Cisco läuft eine anderen OPNSense mit IPSec und dort klappt es aber leider ist dort die Version noch eine ältere 21.7.3_3

Vielen Dank

Hallo jmacdonald,

die Netze für Phase 2 passen nicht zusammen.

Gruß,
atom

Das verstehe ich jetzt aber nicht so genau denn das ist wie mit der anderen Verbindung das ist genauso eingestellt.

Ich hab die Netze geprüft und es sind die dort eingetragen sind.

Dann poste mal bitte die Einstellungen von beiden Seiten.
Außerdem bitte noch MOBIKE abschalten.

Vielen Dank für deine Unterstützung. Ich weiß hier leider nicht weiter.

https://ibb.co/wNsFWV5
https://ibb.co/R4C90nk
https://ibb.co/7vJyCbt
https://ibb.co/smH0PcS
https://ibb.co/gPN5k5L
https://ibb.co/sqXVH3W

Trage mal bitte auf der OPNsense bei Local Network in der Form: x.x.x.x/24 und nicht LOCALNET.
Auf dem Cisco dann das lokale Netz und als Remote-Netz das lokale Netz der OPNsense.

z.B. so:
Cisco 
lokal 10.10.0.0/24
remote 10.20.0.0/24

OPNsense
lokal 10.20.0.0/24
remote 10.10.0.0/24

Leider klappt es nicht. Ich stelle morgen nochmal andere Bilder rein. Von einer anderen OPNSense die auf den gleichen Cisco geht wo es funktioniert.

Denn dort habe ich die Einstellungen so übernommen nur leider verstehe ich nicht wieso dort funktioniert und bei der nicht.

Alles klar.

Die Bilder sind von einer anderen OPNSense wo die Einstellungen funktioniert aber leider mit der Version 21.7.3_3

Ich hoffe das du mir vielleicht helfen kannst.

https://ibb.co/ByztBNX
https://ibb.co/xGKx8Bk
https://ibb.co/XyJjMdj
https://ibb.co/YdQQbS1
https://ibb.co/7QmZ45c
https://ibb.co/GFJFc14

Da fehlt auf jeden Fall noch etwas, denn im Status Overview der anderen OPNsense sind viel mehr Netze in Phase 2 eingetragen.

Kannst Du das Log der OPNsense zeigen, wenn vom Cisco aus der Tunnel aufgebaut wird. ( und nicht umgekehrt )

Ja ist richtig aber die ganzen Netze brauche ich auf der jetzigen OPNSense nicht.

Kannst du mir kurz sagen wo ich diese Log finde?

Das Log findest Du unter entweder unter /var/log als eine Log-Datei oder im Ordner /var/log/ipsec/ und dann für jeden Tag eine neue.
Das hängt davon ab, wie das Logging unter System -> Settings -> Logging eingestellt ist.

Quote from: atom on February 24, 2022, 08:38:55 PM
Das Log findest Du unter entweder unter /var/log als eine Log-Datei oder im Ordner /var/log/ipsec/ und dann für jeden Tag eine neue.
Das hängt davon ab, wie das Logging unter System -> Settings -> Logging eingestellt ist.

Ok das hole von der OPNSense wo ich die aktuellen Probleme habe oder?

Ja, genau.

Quote from: atom on February 24, 2022, 10:10:41 PM
Ja, genau.

Ok super, danke.
Das werde ich gleich morgen früh machen.

Hier ist das Log. Ich habe es einwenig gekürzt.

Mmh. Man sieht leider OPNsense-Seite wieder nur, dass die Netze nicht passen, aber nicht warum.

received TS_UNACCEPTABLE notify, no CHILD_SA built

Den Grund sieht man so nur im Log des Cisco.

Kannst Du den Tunnel mal auf beiden Seiten stoppen und auf der Cisco Seite starten ?

Was verbirgt sich im Screenshot https://ibb.co/gPN5k5L hinter "All networks" ? Ist das für die SAs ?

Ich bin einwenig irretiert. Ich habe nochmal einwenig rum gespielt und habe dann in Phase 2 statt /24 auf /25 gemacht und damit hat er sofort ein Connect erhalten. Dann habe ich in der Phase2 zwei Bereiche gesetzt und siehe da man kann alle IP-Adressen anpingen.

Ich möchte mich trotzdem erstmal noch bei dir @Atom bedanken.

Nicht dafür  8)