OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on May 04, 2017, 06:21:50 pm
-
Anbei ein Screenshot
faktisch ist es sind 6 IPSEC angelegt wovon leider wie hier bereits diskutiert keiner läuft...
ich versteh die Anzeige so gar nicht mehr
-
We have the same on our ha-firewalls. from time to time the counters will correct themselves though.
i assume it happens when the tunnel is restarted or changes the encryption keys and the corresponding entrys are not cleared.
-
Bei mir das gleiche, seit dem Update auf 17.1.6 funktioniert auch XAUTH bei IPSec nicht mehr.
Da aber die Firewallregeln von IPSec immer noch nicht funktionieren, habe ich mich zwischenzeitlich für eine andere Lösung entschieden.
-
Soweit ich weiß hat strongSwan 5.5.2 was geändert und dafür gab es auch einen Widget fix.
Wie läuft es denn mit strongSwan 5.5.1?
# opnsense-revert -r 17.1.4 strongswan
bitte Reports mit der funktionierenden Version und der nicht mehr funktionierenden Version versehen, sonst haben wir keinen Kontext. :)
Grüsse
Franco
-
Noch ein paar Dinge: ich gebe zu die Woche war emotional für viele aus Gründen die wir nicht ändern können. Hilfe hier ist immer willkommen. Alles negative führt langfristig nicht zum Ziel. 16.7.14_2 funktioniert prima. Deciso arbeitet an einer konservativeren Release-Version. Wir hätten auch lieber OpenBSD. Und meine Freizeit verbringe ich auch gern für andere Sachen als Hotfixes und Releases. :)
Grüsse
Franco
-
Hallo Franco,
wir sind dir und den anderen auch sehr dankbar. Aber wie schon in anderen Beiträgen zu lesen war läuft es nicht optimal um nicht zu sagen schief.
Das Thema IPSec beschäftigt uns und andere ja auch schon was länger... das wir hier anfangen das widget zu debuggeen oder wie man es nennen soll ist das eine - aber das grundsätzliche läuft ja auch immer noch nicht. Die Rules greifen nicht.
Das deine und eure Zeit begrenzt ist und ihr auch Menschen mit Leben seit ist auch klar und vor allem wichtig!
Wir bitten euch nur hier das debuggen etwas nach vorne zu pushen...
wie du weisst bin ich aktuell verzweifelt am thema natten und etc.. und ich finde keine docu dazu...es gibt wohl einen workaround der ist aber nicht offiziell sondern von jemand dritten "entwickelt" worden
.. also soll man jetzt einen consultant dazu bezahlen einen workaround zu geben? oder ist das nicht eher ein Ding was auch im Sinne der Community grundsätzlich gelöst werden soll?
für mich war opnsense nur nebenher für einen Kunden entstanden, als mein Hobby nebenher... wenn das jetzt leider so weiter geht fürchte ich gibt es da keine Zukunft...
-
Ich mag es nicht wenn das ominöse "IPsec läuft nicht" ständig wiederkehrt. Das bring einfach nichts, weil es am Ende nicht mal dabei hilft zu identifizieren was schief läuft.
Ich habe selbst einige IPsec Netze. Ich kann kein generelles Problem feststellen. Setups sind komplex. Meistens dann wenn sie nicht so funktionieren wie sie sollen.
.. also soll man jetzt einen consultant dazu bezahlen einen workaround zu geben? oder ist das nicht eher ein Ding was auch im Sinne der Community grundsätzlich gelöst werden soll?
Ich habe Tage meiner Freiwilligkeit geopfert um dir zu helfen über die Jahre und das weißt du. Ich bin an einem Punkt an dem ich nicht weiter helfen kann ohne meinen eigentlichen Job zu gefährden und darauf zu hoffen, dass die Frage wie du Sie stellst nicht ernst gemeint ist? :)
Mein Motto: Wer viel will, muss viel mitmachen.
Grüsse
Franco
-
und du machst sicher viel mit :D
versteh mich nicht falsch... aber mal ehrlich NAT nur mit Workaround ans laufen zu bekommen die nicht offiziell sind ist schon weniger als suboptimal oder
-
Ja. Ich denke das ist nicht gut. Ich weiß aber auch nicht wie ich helfen kann. Falls es das Rule-Matching im Kernel sein sollte dann kann das ohne genaue Reproduktionsbeschreibung nicht angegangen werden.
-
https://forum.opnsense.org/index.php?topic=5110.0
weiss nicht was ich noch zur Verfügung geben kann zum debuggern