OPNsense Forum

International Forums => German - Deutsch => Topic started by: Snowflocke on February 01, 2020, 12:08:39 am

Title: Kann jemand über meinen IPsec log schauen?
Post by: Snowflocke on February 01, 2020, 12:08:39 am

Ich bin leider nicht so tief in der Thematik um es komplett zu durchschauen, vielleicht kann mir jemand sagen, warum mein Verbindungsaufbau failed.

Feb 1 00:04:34    charon: 14[NET] <3> sending packet: from 192.168.10.2[500] to xx.x.x.x[26562] (40 bytes)
Feb 1 00:04:34    charon: 14[ENC] <3> generating INFORMATIONAL_V1 request 267380679 [ N(NO_PROP) ]
Feb 1 00:04:34    charon: 14[IKE] <3> no IKE config found for 192.168.10.2...x.x.x.x, sending NO_PROPOSAL_CHOSEN
Feb 1 00:04:34    charon: 14[ENC] <3> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
Feb 1 00:04:34    charon: 14[NET] <3> received packet: from xx.x.xx.x[26562] to 192.168.10.2[500] (628 bytes)
Feb 1 00:04:21    charon: 14[CFG] added configuration 'con1'
Feb 1 00:04:21    charon: 14[CFG] reusing virtual IP address pool 192.168.50.0/24
Feb 1 00:04:21    charon: 14[CFG] received stroke: add connection 'con1'
Feb 1 00:04:21    charon: 06[CFG] deleted connection 'con1'
Feb 1 00:04:21    charon: 06[CFG] received stroke: delete connection 'con1'
Feb 1 00:04:21    charon: 14[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Feb 1 00:04:21    charon: 14[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Feb 1 00:04:21    charon: 14[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Feb 1 00:04:21    charon: 14[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Feb 1 00:04:21    charon: 14[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Feb 1 00:04:21    charon: 14[CFG] expanding file expression '/usr/local/etc/ipsec.secrets.opnsense.d/*.secrets' failed
Feb 1 00:04:21    charon: 14[CFG] loaded IKE secret for xxx
Feb 1 00:04:21    charon: 14[CFG] loaded IKE secret for xxx %any
Feb 1 00:04:21    charon: 14[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Feb 1 00:04:21    charon: 14[CFG] rereading secrets

Title: Re: Kann jemand über meinen IPsec log schauen?
Post by: banym on February 01, 2020, 10:46:16 am

Wir lesen hier zwar in unserer Freizeit alle sehr gerne Logs, jedoch ist es einfacher zu verstehen was wir uns anschauen wenn wir das große Ganze kennen.

Sei doch so nett und mach ein paar Screenshots der IPsec-Einstellungen und erkläre uns ob das Mobile-Clients oder Site-to-Site IPsec sein soll auf was wir schauen.

Das Regelwerk für die WAN Interfaces ist auch interessant um zu sehen ob da alles passt.

Das NO_PROPOSAL_CHOSEN deutet auf einen Missmatch bei Verschlüsselung hin.
Evtl. passen auch ID und Verschlüsselung nicht mit den Werten zusammen die von der anderen Seite kommen. Da ich eine private Adresse im Log sehe, könnte es ein ID Missmatch sein weil deine Box hinter einem anderen Router mit NAT hängt.

Fährst du AGGRESSIVE Mode? Wenn ja sollte es einen guten Grund dafür geben, ansonsten ist davon abzuraten.

Title: Re: Kann jemand über meinen IPsec log schauen?
Post by: Snowflocke on February 02, 2020, 10:38:11 am

Quote from: banym on February 01, 2020, 10:46:16 am

Wir lesen hier zwar in unserer Freizeit alle sehr gerne Logs, jedoch ist es einfacher zu verstehen was wir uns anschauen wenn wir das große Ganze kennen.

Sei doch so nett und mach ein paar Screenshots der IPsec-Einstellungen und erkläre uns ob das Mobile-Clients oder Site-to-Site IPsec sein soll auf was wir schauen.

Das Regelwerk für die WAN Interfaces ist auch interessant um zu sehen ob da alles passt.

Das NO_PROPOSAL_CHOSEN deutet auf einen Missmatch bei Verschlüsselung hin.
Evtl. passen auch ID und Verschlüsselung nicht mit den Werten zusammen die von der anderen Seite kommen. Da ich eine private Adresse im Log sehe, könnte es ein ID Missmatch sein weil deine Box hinter einem anderen Router mit NAT hängt.

Fährst du AGGRESSIVE Mode? Wenn ja sollte es einen guten Grund dafür geben, ansonsten ist davon abzuraten.

https://imgur.com/a/UhmSpeT
sag wenn noch was intressant wäre, ich bin bezüglich identifier auch etwas verdutzt was da rein soll.
Die Opnsense sitzt hinter einer Fritzbox, die nicht in den modem Modus gehen kann.

Title: Kann jemand über meinen IPsec log schauen?
Post by: micneu on February 02, 2020, 02:16:07 pm

bitte auch eine skizze deinerseits netzwerk aufbau.
was ist die gegen stelle, bitte mehr informationen?

Gesendet von iPad mit Tapatalk Pro

Title: Re: Kann jemand über meinen IPsec log schauen?
Post by: Snowflocke on February 02, 2020, 06:29:20 pm

Quote from: micneu on February 02, 2020, 02:16:07 pm

bitte auch eine skizze deinerseits netzwerk aufbau.
was ist die gegen stelle, bitte mehr informationen?

Gesendet von iPad mit Tapatalk Pro

(https://i.imgur.com/748Nmtq.png)

rein logisch, hab die opnsense on a stick auf einem ESXI laufen

Title: Re: Kann jemand über meinen IPsec log schauen?
Post by: micneu on February 03, 2020, 05:00:48 pm

was bedeuten die nummern in deiner zeichnung
opnsense als vm, da bin ich raus.  da kommen so sachen mit virtuellen switch usw.


System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel

Gesendet von iPad mit Tapatalk Pro

Title: Re: Kann jemand über meinen IPsec log schauen?
Post by: Snowflocke on February 05, 2020, 09:10:08 pm

Quote from: micneu on February 03, 2020, 05:00:48 pm

was bedeuten die nummern in deiner zeichnung
opnsense als vm, da bin ich raus.  da kommen so sachen mit virtuellen switch usw.


System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel

Gesendet von iPad mit Tapatalk Pro

Die Zahlen bedeuten ich war faul und in Packet Tracer lassen sich nicht die bezeichnungen der devices entfernen ^^'