OPNsense Forum
International Forums => German - Deutsch => Topic started by: markusd on May 08, 2018, 09:54:16 am
-
Guten Tag zusammen,
nach dem Update auf 18.1.7 spuckt mein zyxel vpn client folgende Fehlermeldung aus:
Die Remote-Netzwerkadresse (Phase2) ist falsch.
Invalid ID Information Error
Ich könnte mir vorstellen es hat etwas mit dieser Änderung zu tun:
https://github.com/opnsense/core/issues/2334
Site2Site-IPsec-VPNs betrifft diese Problem nicht
Wo / wie kann ich weiter suchen?
(Ich habe jetzt erst mal ein downgrade auf 18.1.6 durchgeführt und vpn funktioniert wieder)
Danke und Gruß
Markus
-
Hi Markus,
Wir bräuchten ein Diff von /usr/local/etc/ipsec.conf wenn es geht und wenn es nicht geht.
Also bitte noch mal auf 18.1.7 updaten und den Patch für #2334 gezielt einschalten / ausschalten (gleiches Kommando):
# opnsense-patch f9d0304
Hmm, geht aber auch auf 18.1.6... egal wie herum. :)
Grüsse
Franco
-
Hallo Franco, danke für die schnelle Antwort!
Ich werde das testen sobald es geht!
Danke
Markus
-
ok,
diff ipsec.conf18.1.17_nach_update ipsec.conf18.1.17_nach_revert_f9d0304
27a28
> rightsubnet = 192.168.2.0/24
meine funtionierende ipsec.conf:
# This file is automatically generated. Do not edit
config setup
uniqueids = yes
charondebug=""
conn con1
aggressive = no
fragmentation = yes
keyexchange = ikev1
reauth = yes
rekey = yes
forceencaps = no
installpolicy = yes
type = tunnel
dpdaction = clear
dpddelay = 10s
dpdtimeout = 60s
left = IP...
right = %any
leftid = IP...
ikelifetime = 28800s
lifetime = 28800s
rightsourceip = 192.168.2.0/24
ike = aes256-sha1-modp1536!
leftauth = psk
rightauth = psk
rightsubnet = 192.168.2.0/24
leftsubnet = 192.168.1.0/24
esp = aes256-sha1-modp1536,aes256-sha256-modp1536,aes256-sha384-modp1536,aes256-sha512-modp1536!
auto = add
Danke
Gruß
Markus
-
Hallo Markus,
"diff -u" wäre genauer, aber ich denke rightsubnet ist einfach doppelt?
Grüsse
Franco
-
Nee, es scheint mir, als fehle es einfach nach dem update...
diff -u ipsec.conf18.1.17_nach_update ipsec.conf18.1.17_nach_revert_f9d0304
--- ipsec.conf18.1.17_nach_update 2018-05-08 10:37:45.463639018 +0200
+++ ipsec.conf18.1.17_nach_revert_f9d0304 2018-05-08 10:42:34.126132725 +0200
@@ -25,6 +25,7 @@
ike = aes256-sha1-modp1536!
leftauth = psk
rightauth = psk
+ rightsubnet = 192.168.2.0/24
leftsubnet = 192.168.1.0/24
esp = aes256-sha1-modp1536,aes256-sha256-modp1536,aes256-sha384-modp1536,aes256-sha512-modp1536!
auto = add
-
Ah danke, ich geb das so weiter. Weiss nicht genau welcher Randfall hier zutrifft, aber denke für 18.1.8 ist es dann wieder ok. :)
Ggf. gibt es noch eine Rückfrage zum Setup.
Danke,
Franco
-
TipoTop
Vielen Dank!
Gruß
Markus
-
Hallo,
leider nach dem update auf 18.1.8 das gleiche Bild...
Ich habe jetzt wieder den revert gemacht und dann gehts erstmal wieder...
Gruß
Markus
-
Hallo,
mich würde aber doch interessieren, ob sich da noch etwas ändert oder ob ich etwas an meiner Konfig ändern muss, damit das in Zukunft zuverlässig funktioniert.
Gibt es weitere config-dateien, die ich posten sollte
Danke
Gruß
Markus
-
Hallo Markus,
Sorry für die späte Antwort.
Wir hatten das intern besprochen und es klingt so als wäre das eine Site-to-Site Config bei dir die als Mobile eingerichtet wurde und deswegen Probleme verursacht. Die Umkonfiguration sollte nur OPNsense-seitig vorzunehmen sein. Sollte dabei ein Problem auftreten müssten wir eher suchen warum es da nicht weitergeht.
https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html
Grüsse
Franco
-
Hallo Franco,
kein Problem, ich war nur verunsichert, wie das dann langfristig läuft..
Du meinst, der Zyxel-Software-Client verhält sich wie eine Site2Site-Verbindung?
Wenn sich das trotz dynamischer Ips der Client`s so einrichten lässt, werde ich es versuchen.
Vielen Dank!
Gruß
Markus
-
Hallo Markus,
Eigentlich schon. Wie gesagt, sollte es Probleme damit geben müssten wir schauen warum diese Alternative nicht korrekt funktioniert. Andere Reports ausser diesem haben wir nicht, sodass der Lösungsweg vielleicht etwas unkonventioneller ist. :)
Grüsse
Franco
-
Ok, einziger Report...dann liegt ja evtl doch eine Fehlconfig vor...
Haben (evtl. fehlerhafte) Nat-Regeln Einfluss auf den Tunnelaufbau?
Ich benutze carp und habe irgendwann mal eine Lösung gesucht, aus dem vpn-Netz auch auf den backup-node zu kommen und weitere Regeln nach dieser Anleitung erstellt:
https://doc.pfsense.org/index.php/CARP_Secondary_Unreachable_Over_VPN
Ich kann das ja ganz einfach mal raus nehmen und bei Gelegenheit testen.
Danke jedenfalls für die Mühen
Gruß
Markus
-
Die Nat-Regeln waren es jedenfalls nicht...
-
Hallo noch mal,
ich habe es jetzt so gemacht, wie bereits empfohlen.
-s2s-ipsec-Verbindung-
Das funktioniert nun auch nachdem ich
"rightid = %any"
hinzugefügt habe.
Evtl. war es ja das, was auch zuvor schon gefehlt hatte.
Ich hoffe, es lassen sich auch mehrere dieser Verbindungen parallel aufbauen.
Werd`s sehen..
Wenn`s geht, bin ich glücklich.
Danke!
Gruß
Markus
-
Hallo Markus,
Okay, so weit so gut. Gibt es schon neues?
Grüsse
Franco
-
Hallo Franco,
irgendwie hatte sich in letzter Zeit immer nur einer meiner Kollegen /innen zeitgleich angemeldet.
Habs jetzt noch mal selbst mit einem zweiten Laptop getestet und es funktioniert.
Also zwei parallele Verbindungen laufen definitiv über diese site2site-Leitung.
Dann wird ja auch mehr gehen!
(ich behalte das mal im Blick)
Hin und wieder sehe ich unter Statusübersicht "doppelte" Phase-2 Einträge, die als "rekeyed" markiert sind?
Ich nehme an, das hat was mit der konfigurierten lifetime zu tun?
Ansonsten ist das gelöst.
Danke
Gruß
Markus
-
Hallo Markus,
Das tönt gut. Sofern der erstere nicht ausgeloggt ist geht es für alle solange genügend IPs vorhanden sind.
Die doppelten Einträge kommen vielleicht daher, dass schon Rekey ausgeführt wurde, aber noch alte TCP Verbindungen bestehen mit dem vorherigen Key.
Grüsse
Franco