Hallo,
ich habe eine IPsec-IKEV2-Verbindung zwischen einer OPNsense 22.7.6 und einer Bintec-Elmeg bi.ip, die immer wieder abbricht und nicht neu aufgebaut wird:
2022-10-17T11:00:11 Informational charon 14[KNL] <con1|1> unable to delete SAD entry with SPI c44174df: No such process (3)
2022-10-17T11:00:11 Informational charon 14[IKE] <con1|1> giving up after 5 retransmits
2022-10-17T10:58:55 Informational charon 14[NET] <con1|1> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (528 bytes)
2022-10-17T10:58:55 Informational charon 14[IKE] <con1|1> retransmit 5 of request with message ID 6
2022-10-17T10:58:27 Informational charon 16[KNL] creating rekey job for CHILD_SA ESP/0xc0960bdf/167.235.8.23
2022-10-17T10:58:13 Informational charon 16[NET] <con1|1> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (528 bytes)
2022-10-17T10:58:13 Informational charon 16[IKE] <con1|1> retransmit 4 of request with message ID 6
2022-10-17T10:57:50 Informational charon 06[NET] <con1|1> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (528 bytes)
2022-10-17T10:57:50 Informational charon 06[IKE] <con1|1> retransmit 3 of request with message ID 6
2022-10-17T10:57:37 Informational charon 06[NET] <con1|1> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (528 bytes)
2022-10-17T10:57:37 Informational charon 06[IKE] <con1|1> retransmit 2 of request with message ID 6
2022-10-17T10:57:29 Informational charon 06[NET] <con1|1> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (528 bytes)
2022-10-17T10:57:29 Informational charon 06[IKE] <con1|1> retransmit 1 of request with message ID 6
2022-10-17T10:57:25 Informational charon 06[NET] <con1|1> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (528 bytes)
2022-10-17T10:57:25 Informational charon 06[ENC] <con1|1> generating CREATE_CHILD_SA request 6 [ N(REKEY_SA) N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
2022-10-17T10:57:25 Informational charon 06[IKE] <con1|1> establishing CHILD_SA con1{10} reqid 1
2022-10-17T10:57:25 Informational charon 06[KNL] creating rekey job for CHILD_SA ESP/0x59afff27/87.191.152.245
Was könnte denn da der Fehler sein?
PS: Keyingtries in der OPNsense steht auf 999 oder auf -1, es wird trotzdem immer abgebrochen.
Viele Grüße
Oliver
Close action mal auf "restart" gestellt?
Hm, das ändert das Fehlerbild:
2022-10-17T16:52:59 Informational charon 16[IKE] <con1|9> CHILD_SA closed
2022-10-17T16:52:59 Informational charon 16[IKE] <con1|9> received DELETE for ESP CHILD_SA with SPI 36f2ee12
2022-10-17T16:52:59 Informational charon 16[ENC] <con1|9> parsed INFORMATIONAL response 5 [ D ]
2022-10-17T16:52:59 Informational charon 16[NET] <con1|9> received packet: from 87.191.152.245[4500] to 167.235.8.23[4500] (80 bytes)
2022-10-17T16:52:59 Informational charon 16[NET] <con1|9> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (80 bytes)
2022-10-17T16:52:59 Informational charon 16[ENC] <con1|9> generating INFORMATIONAL request 5 [ D ]
2022-10-17T16:52:59 Informational charon 16[IKE] <con1|9> sending DELETE for ESP CHILD_SA with SPI c41a56eb
2022-10-17T16:52:59 Informational charon 16[IKE] <con1|9> closing CHILD_SA con1{21} with SPIs c41a56eb_i (13335747 bytes) 36f2ee12_o (0 bytes) and TS 10.20.10.0/24 === 10.10.10.0/24
2022-10-17T16:52:59 Informational charon 16[IKE] <con1|9> outbound CHILD_SA con1{24} established with SPIs cd10cb1b_i 5b47bc95_o and TS 10.20.10.0/24 === 10.10.10.0/24
2022-10-17T16:52:59 Informational charon 16[IKE] <con1|9> inbound CHILD_SA con1{24} established with SPIs cd10cb1b_i 5b47bc95_o and TS 10.20.10.0/24 === 10.10.10.0/24
2022-10-17T16:52:59 Informational charon 16[CFG] <con1|9> selected proposal: ESP:AES_CBC_128/HMAC_SHA2_256_128/MODP_1536/NO_EXT_SEQ
2022-10-17T16:52:59 Informational charon 16[ENC] <con1|9> parsed CREATE_CHILD_SA response 4 [ SA No KE TSi TSr ]
2022-10-17T16:52:59 Informational charon 16[NET] <con1|9> received packet: from 87.191.152.245[4500] to 167.235.8.23[4500] (400 bytes)
2022-10-17T16:52:58 Informational charon 16[NET] <con1|9> sending packet: from 167.235.8.23[4500] to 87.191.152.245[4500] (528 bytes)
2022-10-17T16:52:58 Informational charon 16[ENC] <con1|9> generating CREATE_CHILD_SA request 4 [ N(REKEY_SA) N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
2022-10-17T16:52:58 Informational charon 16[IKE] <con1|9> establishing CHILD_SA con1{24} reqid 1
2022-10-17T16:52:58 Informational charon 12[KNL] creating rekey job for CHILD_SA ESP/0x36f2ee12/87.191.152.245
Die VPN-Verbindung steht noch, es läuft aber kein Ping durch.
Frage:
sind auf beiden seiten feste ip`s?
bitte mehr infos, gerne auch ein paar screenshots deiner config.
ich bin jetzt nicht der ipsec profi habe zu fritzboxen vpn`s laufen (wenn es einmal läuft kann man sich freuen)
- hast du mal überlegt auf openvpn auszuweichen, gefühlt läuft das in 15 Minuten?
Feste IPs bei OPNsense - BE.ip plus, statische IPs bei einer Fritz!Box.
Eigentlich habe ich die zentrale OPNsense nur umgezogen (Konfig übernommen), aber jetzt gibt es Schwierigkeiten mit den beiden VPNs. Es lief früher recht zuverlässig, aber zweimal pro Quartal gab es Aussetzer.
Fangen wir mal mit dem Problem aus den obigen Protokollen an, be.IP plus kann nur IPSec. Screenshots im nächsten Post.
Zentrale
Zentrale
Filiale
Filiale
Filiale
Filiale
Filiale
Das ist nur ein einziges Log. Kannst du das mal etwas länger posten?
Außerdem ist die Bintec Config richtig murks. Lifetime von Phase 1 ist 9999? Warum? Geht da nicht mehr in das Feld rein? P1 sind normalerweise mind. 28800 lang, viele große Kisten setzen sogar (meh) auf 86400 (1d). Wenn da nur 9999 möglich ist klingt das ziemlich buggy, denn IPsec mit 4h oder 24h in P1 gibts jetzt nicht erst seit gestern.
Zudem DH Group bzw. PFS Group in Phase 2 nur mit DH5? Geht da mehr? Das ist auch schon länger durch und unter DH14 wird eigentlich heute nix neues mehr in Betrieb genommen. Das sieht mir sehr nach (uralt) Firmware auf der Bintec aus?
Ich würde versuchen da mal hinzubekommen, dass die bitte geupdated wird und mal ordentliche Konfigs kann.
Bei der OPNsense auch alles abwählen, was NICHT in der Bintec konfiguriert ist, gerade bei der Crypto. Die Bintecs sind dumm und je nach Richtung wer zuerst aufbaut bekommen die sonst ggf. die Crypto nicht hin. Besser man liefert keine 3,4,5 verschiedenen Settings, sondern eine die passt auf beiden Seiten.
Ansonsten ggf. mal auf IKEv1 downgraden, wir hatten auch schon Mistkisten, die bei Umstellung auf v2 einfach komplett nutzlos waren und es nicht gebacken bekommen haben den Tunnel stabil aufzubauen. Generell schon so viel lustigen Spaß mit Bintecs auf der anderen Seite gehabt dass ich finde man sollte die einfach Brandroden und durch was ersetzen, was auch halbwegs modern ist. ;)
Cheers
Vielen Dank für Deine Hinweise. Aber ich muss die be.ip mal in Schutz nehmen: Die Firmware ist vom 25.08.2022. Und man kann da auch längere Lebenszeiten eintragen. Ich verwende für zyklische Vorgänge ungern volle Tage (auch zum Beispiel für Zeitsynchronisierungen); die 9999 ging auf meine Kappe. Nun verwende ich 28800. Wobei ich denke, dass das eigentlich nicht nötig sein dürfte, weil das Neuaushandeln doch auch klappen sollte, wenn ich überspitzt nur 5 Minuten Lebenszeit eintrage?
Ich habe DH Group und PFS Group beiderseitig auf 14 gestellt. Und ich habe die "überschüssigen" verschlüsselungsstärken auf OPNsense-Seite entfernt. Nun warte ich mal ab. Zu Problemen kam es sowieso nur "immer mal wieder", nicht regelmäßig.
Nochmal vielen Dank für Deine Ratschläge! :)