OPNsense Forum

International Forums => German - Deutsch => Topic started by: vbk on March 14, 2018, 03:47:21 pm

Title: IPsec Phase 2 startet nicht immer
Post by: vbk on March 14, 2018, 03:47:21 pm

Hallo zusammen,

ich versuche verzweifelt ein IPsec-VPN zum Laufen zu bringen mit mehreren Phase 2 Einträgen.
Das Phänomen:
1. Starte die OPNsense Firewall neu
2. 3 von 4 Phase 2 sind verbunden
3. Phase 2 die nicht verbunden ist sagt: charon: 12[IKE] traffic selectors 192.168.77.1/32[icmp/8] 192.168.77.0/24 === 172.16.10.107/32[icmp/8] 172.16.10.0/24 inacceptable

OPNsense ist die aktuellste Version: 18.1.4
Die Gegenstelle ist eine Clavister Firewall. Dort habe ich auch schon mehrere VPNs laufen die einwandfrei funktionieren, unter anderem auch mit IPfire, welche ja auch strongswan nutzen.

Ich habe mittlerweile alle Konfigurationsmöglichkeiten getestet, aber ich bekomme es nicht zum laufen.
Im Anhang noch die ipsec.conf

Vielen Dank im Vorraus.

Title: Re: IPsec Phase 2 startet nicht immer
Post by: JeGr on March 15, 2018, 09:58:18 am

Die Meldung liest sich nicht nach Fehler sondern falsch konfigurierter Phase 2. Bitte abgleichen, dass IP, Subnetz/CIDR Range etc. auch alles übereinstimmt. 172.16.10.0/24 inacceptable hört sich nach Problem der Phase an. Vielleicht hast du das Netz auch schon woanders definiert o.ä.

Title: Re: IPsec Phase 2 startet nicht immer
Post by: vbk on March 15, 2018, 10:25:55 am

Hallo JeGr,

ich muss gestehen ich hab ein wichtigen Punkt vergessen zu schreiben  :-\
Wenn ein2 Phase 2 nicht läuft und ich gehe in irgendeinen Phase eintrag und sage speichern ohne etwas zu ändern, dann läuft er auf einmal.
Oder wenn ich das Logging für IPsec hochschalte, geht es auf einmal auch...
Deshalb würde ich pauschal die Behauptung in den Raum stellen, dass die Konfig prinzipiell richtig ist.

Title: Re: IPsec Phase 2 startet nicht immer
Post by: JeGr on March 15, 2018, 10:29:10 am

Das kann aber auch schlicht heißen, dass es keinen Traffic dafür gab. Phase2 Einträge sind nicht immer einfach "up", sondern können auch idlen oder down bleiben, wenn kein Traffic drüber läuft. Das ist ganz normal.

Title: Re: IPsec Phase 2 startet nicht immer
Post by: vbk on March 15, 2018, 10:37:06 am

Hallo JeGr,

danke fürs Antworten.
Wenn ich aber zum Beispiel einen Ping sende von einem Neztwerk wo der Tunnel noch nicht besteht, müsste dann ja der Tunnel aufgebaut werden. Dies passiert leider aber nicht.
Daher bin ich etwas Ratlos was es sein könnte.

Title: Re: IPsec Phase 2 startet nicht immer
Post by: mimugmail on March 15, 2018, 04:08:08 pm

P2 Up darf nicht auf force stehen, da gibt's gleiches Problem wenn Gegenstelle ne Sophos ist