Messages

Hallo,

mit dem Upgrade auf 23.1 wurde die Konfiguration automatisch von ipsec.conf zu swanctl.conf migriert.
Es scheint nun Probleme mit FQDN-Einträgen zu geben. Ich kann aber nicht sagen, wo das Problem genau liegt ( vielleicht Namensauflösung bei Strongswan ? ). Ich habe bei mir nun IP-Adressen eingetragen und ziehe - als Workaround - diese bei IP-Adressänderungen manuell nach, damit die Tunnel wieder funktionieren

Viele Grüße,
atom

What is the error in the windows event log ?

Netsh trace start VpnClient per=yes maxsize=0 filemode=single

.... connection test ...

Netsh trace stop

The etl file can then be read with the Event Viewer.

What is in the trace of the Windows VPN client ?

phase 1
Windows GCMAES128 is OPNsense Encryption algorithm 128 bit AES-GCM
Windows Group14 is OPNsense DH key group 14
Windows SHA256 is OPNsense Hash algorithm SHA256
phasse 2
Windows GCMAES128 is OPNsense Encryption algorithm  aes128gcm16
Windows PFS2048 is OPNsense PFS key group 14

The values must match those of the "Add-VpnConnection" and "Set-VpnConnectionIpsecConfiguration" commands.

Mache es doch mal testhalber erst auf einer Seite und versuche den Tunnel von der einen oder anderen Seite zu initiieren und dann auf beiden Seiten.  Ich habe etwas ähnliches festgestellt und dafür ein Ticket aufgemacht.
Vielleicht handelt es sich ja um dasselbe Problem.

https://github.com/opnsense/core/issues/6313

Funktioniert denn der Tunnel, wenn Du den FQDN durch Deine aktuelle IP-Adresse ersetzt ?

Is 172.16.10.0/24 your transfer network ? What is the third network ?

Hi,

have you seen the documentation on this yet ?
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html

Regards,
atom

Ich habe ein Bug dafür aufgemacht.

https://github.com/opnsense/core/issues/6370

Die Konfiguration in der GUI sollte dafür nicht neu geändert werden müssen.
Es müssen ja nur die Werte aus der GUI in die swanctl.conf mit den richtigen Parameternamen geschrieben werden.

Auch wenn ich den Tunnel abbaue und wieder neu aufbaue hat der Tunnel 14400s. Das Verhalten habe ich nur bei automatisch migrierten Tunnel durch den Upgrade auf 23.1. Tunnel, die ich mit dem neuen Interface erzeugt habe, haben alle korrekt timeout-Werte.

Hallo,

ich kann das Verhalten reproduzieren. Ich habe einen Tunnel mit 14400s, aber alle anderen haben andere Werte. Nach einem

Code Select Expand

swanctl --load-conns haben alle Tunnel 14400s.

Viele Grüße,
atom

Hallo,

was steht den beim Tunnel in der Phase 2 bei Lifetime für ein Wert ?

Viele Grüße,
atom

Um die Nachricht "no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
" zu unterdrücken einfach eine leere conf-Datei anlegen:

Code Select Expand

touch /usr/local/etc/strongswan.opnsense.d/1.conf

Wegen des Retransmit würde ich mal mit tcpdump schauen, ob die Pakete auf dem richtigen Interface die eine Seite verlassen und auf der anderen Seite auch ankommen.

Die Pre-Shared Keys müssen unter VPN - IPsec - Pre-Shared Keys eingetragen werden.