Hallo bin ein newbee.
Versuche meinen ersten IPSec Tunnel mit onpnsense 22.7.9 und einem Lancom ans laufen zu kriegen.
Die relevanten Dienste auf der opnsense scheinen zu laufen aber das IPsec Log ist immer leer.
Selbst wenn in meiner Konfig. Fehler sind (was wahrschenlich so ist) müsste doch etwas im Log erscheinen.
Habe die opnsense schon neuinstalliert (alte Konfig wieder eingespielt) keine Änderung!
Hat jemand von euch eine Idee?
Danke!
Das Log sollte auch im Fehlerfall immer da sein. Es liegt in /var/log/ipsec .
Was liefert denn ein "ipsec status" ?
ipsec status
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Security Associations (0 up, 0 connecting):
none
Kannst Du mal Screenshot Deiner ipsec Konfiguration posten ?
Das ist das erst mal, dass ich screenshots poste.
Ich hoffe, das ist in Ordnung so.
(https://i.postimg.cc/1ft1pnfR/2022-12-08-13-52-53-Window.jpg) (https://postimg.cc/1ft1pnfR)
(https://i.postimg.cc/Z0jhBFYD/2022-12-08-13-54-24-Window.jpg) (https://postimg.cc/Z0jhBFYD)
(https://i.postimg.cc/bdqhwFPt/2022-12-08-13-55-46-Window.jpg) (https://postimg.cc/bdqhwFPt)
(https://i.postimg.cc/9wX5gzbp/2022-12-08-13-56-11-Window.jpg) (https://postimg.cc/9wX5gzbp)
Sieht so auf den ersten Blick okay aus.
Kannst Du mal entweder bei "VPN: IPsec: Tunnel Settings" in der rechten oberen Ecke das grüne Dreieck oder den "Refresh" Button drücken oder auf der Einstiegsseite bei "strongswan IPsec VPN".
Nur zur Sicherheit bei Interface steht "Vodafone". Hast Du Dein WAN so genannt ?
Hier kommt das Interface mit der öffentlichen WAN IP-Adresse hin.
Ja, mein Wan Interface heißt vodafone.
Refresh und alle diese Buttons hab ich schon versucht.
Danke dir!
Ist von der GUI die Konfiguration nach /usr/local/etc/ipsec.conf geschrieben worden ?
Kannst Du mal den Haken bei "Enable IPsec" herausnehmen und wieder setzen.
Habe den Haken rausgenommen und wieder gesetzt.
Opnsense bitte mich die Änderungen jeweils zu übernehmen.
Habe ich gemacht. Log ist immer noch leer (trotz refresh).
Ja in der IPsec.conf sind plausible Werte eingetragen. Seufz
Hast Du etwas in den erweiterten Einstellungen angepasst ,,VPN: IPsec: Advanced Settings" ?
Hier die Advanced Settings:
(https://i.postimg.cc/0b3xYHGR/2022-12-09-11-06-51-Window.jpg) (https://postimg.cc/0b3xYHGR)
Laufen die beiden ipsec Prozesse ? Sieht man mit: ps -auxwww | grep ipsec
Hier der outpout:
root@OPNsense:~ # ps -auxwww | grep ipsec
root 19 0.0 0.1 14628 4304 - Is 21:40 0:00.00 /usr/local/libexec/ipsec/starter --daemon charon
root 282 0.0 0.3 54400 13564 - Is 21:40 0:13.14 /usr/local/libexec/ipsec/charon --use-syslog
root 16318 0.0 0.1 12748 2360 0 S+ 11:25 0:00.00 grep ipsec
Der Tunnel steht auf "Respond only".
Was passiert, wenn der auf "Start immediate" steht ?
Steht beim Lancom die Haltezeit für die Verbindung auch auf 0 ?
Ja der steht im moment auf Respond only aber auch wenn ich ihn auf immediate stelle ändert das nichts.
Ja der Lancom ist als initiator konfiguriert "Haltezeit 0".
Was ist das nur!
Ja, im moment steht der Tunnel auf "Respond only" stand aber auch schon auf "immediate" - brachte keine Änderung.
Der Lancom ist als initiator konfiguriert "Haltezeit 0".
Danke für die ausdauernde Hilfe!!
Eine Haltezeit von 0 beim Lancom bedeutet, dass er nur eine Verbindung aufbaut, wenn Traffic für den VPN-Tunnel aus dem Netz vom Lancom zur OPNsense gesendet wird. Das entspricht dem "Start on traffic" bei der OPNsense.
Du solltest also entweder beim Lancom 9999 eintragen, dann baut der den Tunnel immer wieder auf oder bei der OPNsense "Start immediate".
Sorry Fehler von mir der Lancom steht auf Haltezeit 9999.
Wie gesagt habe ich hier schon verschiedene Varianten probiert.
Also auch schon die Rolllen vertauscht opnsene auf immediate.
Hat aber nicht gebracht. Die opnsense scheint sich ipsec mäßig nicht zu rühren und das log ist immer leer.
Auch ein komplettes löschen des Tunnels und anschließende Neueinrichtung hat nichts verändert.
Ich habe schon die opnsense komplett neu installiert und dann die alte Konfig eingespielt.
Hat nichts gebracht.
Ansonsten scheint alles zu funktionieren außer IPsec :((
Die Firewall Ports für ESP, 500/udp und 4500/udp sind auch offen ?
Was steht denn im Lancom Trace ( VPN-Status, VPN-IKE), wenn Du die Verbindung vom Lancom aus initiiert (do /o/m/c <gegenstelle> ) ?
Das sind die Firewall Regeln betr. Ipsec:
(https://i.postimg.cc/BLRNg3mh/2022-12-11-19-42-30-Window.jpg) (https://postimg.cc/BLRNg3mh)
(https://i.postimg.cc/sB6TM77C/2022-12-11-19-43-04-Window.jpg) (https://postimg.cc/sB6TM77C)
Hier der Lancom Output (ich hoffe das ist das benötigte)
[VPN-Debug] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: x,x,x,x:500<--x,x,x,x:500
SPIs: 0x6DE68F26C054B54D0000000000000000, Message-ID 0
Payloads: NOTIFY(NO_PROPOSAL_CHOSEN[CHILD_SA])
QUB-DATA: x.x.x.x:500<---x.x.x.x:500 rtg_tag 0 physical-channel WAN(1) vpn-channel 13
transport: [id: 1901538, UDP (17) {outgoing}, dst: 37.24.198.150, tag 0 (U), src: 62.96.194.202, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (6), next hop: 62.96.194.201], local port: 500, remote port: 500
+IKE_SA found and assigned
LCVPEI: IKE-I-General-failure
IKE-TRANSPORT freed
[VPN-Status] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: x.x.x.x:500<--x.x.x.x:500
SPIs: 0x6DE68F26C054B54D0000000000000000, Message-ID 0
Received 1 notification:
+NO_PROPOSAL_CHOSEN (ERROR) -> current request fails
-Required payload IKE_SA (33) not received
-Received notificaion error(s): NOTIFY(NO_PROPOSAL_CHOSEN[IKE_SA])
IKE_SA ('', '' IPSEC_IKE SPIs 0x6DE68F26C054B54D0000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x6DE68F26C054B54D0000000000000000) freed
[VPN-Status] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
VPN: policy manager error indication: OPNSENSE (x.x.x.x), cause: 8703
[VPN-Status] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
VPN: Error: IKE-I-General-failure (0x21ff) for OPNSENSE (x.x.x.x) IKEv2
Im Log steht, dass die Proposals nicht übereinstimmen.
Um zu wissen was genau nicht stimmt im Trace auch noch ,,VPN-IKE" anhaken.
Problem mit den Proposals ist mittlerweile erledigt.
Ich habe jetzt 3 Tunnel die eigentlich funktionieren (Pings funktionieren in beide Richtungen).
Allerdings beenden sich diese Tunnel irgendwann und gehen meistens erst wieder online wenn ich den IPsec Dienst neustarte.
Leider habe ich aber immer noch kein Log um weiter forschen zu können >:(
Spiel mal mit dem Parameter "close action".
Meine VPN Tunnel zu Lancom Routern laufen ohne spezielle "Close Action"-Einstellungen.
Kannst Du mal die Einstellungen in "VPN: IPsec: Advanced Settings" von Highest auf Silent setzen und schauen ob nach einem Restart vom Strongswan dann etwas geloggt wird.
Nun habe ich einen Eintrag gefunden!!
syslog-ng Error opening file for writing; filename='/var/log/ipsec/ipsec_20221216.log', error='Not a directory (20)'
Wie sehen denn die Berechtigungen im Filesystem aus ? ls -la /var/log/ipsec
-rw-r--r-- 1 root wheel 0 Dec 8 11:37 /var/log/ipsec
erst
chmod 700 /var/log/ipsec
dann
Neustart Strongswan.
Ein "ls -la /var/log/ipsec" hätte auch die Rechte von ".." zurückgeliefert.
Jetzt aktueller Wert:
ls -la /var/log/ipsec
-rwx------ 1 root wheel 0 Dec 8 11:37 /var/log/ipsec
Log leider auch nach neustart von Strongswan immer noch leer.
Das muss ein Directory sein laut der Fehlermeldung.
rm /var/log/ipsec
mkdir /var/log/ipsec
Das wars!!!!
Log ist da!!!
Wie das sein konnte ist mir rätzelhaft!!!
Dank deiner Kompetenz und deiner Ausdauer beim Helfen ist das Problem hoffentlich dauerhaft gelöst!
Danke nochmal!
Credit where credit is due ... meine Ausdauer war's nicht. Ich hab den Thread lose verfolgt und dann reingegrätscht, als es offensichtlich war. Also klick den anderen Beitragenden ein wenig "Karma" und schön, dass es jetzt funktioniert.
Scheinbar das eigentliche Problem durch PHP 8: https://github.com/opnsense/core/commit/3f39ff844
Grüsse
Franco