Messages

Abend

Nach 23.1.2 geht per IPSEC nun gar nichts mehr. Der Dienst funktioniert, aber ein Tunnel kommt nun garnicht mehr zu stände.

unter 22.7 funktioniert die gleiche Konfiguration ohne Probleme und der Tunnel kommt zu stande.

So mal eine kleine Ergänzung, auszug aus dem Log:

2023-02-27T18:13:19   Notice   daemon   -> ??:0   
2023-02-27T18:13:19   Notice   daemon   /lib/libthr.so.3 @ 0x00000008003a0000 (pthread_sigmask+0x540) [0x00000008003ba580]   
2023-02-27T18:13:19   Notice   daemon   dumping 11 stack frame addresses:
2023-02-27T18:13:19   Notice   daemon   /usr/local/lib/ipsec/plugins/libstrongswan-x509.so @ 0x0000000801079000 (x509_cert_load+0x17d6) [0x0000000801083176]   
2023-02-27T18:13:19   Notice   daemon   0x7ffffffff8a3 <???> at ???   
2023-02-27T18:13:19   Notice   daemon   -> ??:0   
2023-02-27T18:13:19   Notice   daemon   /lib/libthr.so.3 @ 0x00000008003a0000 (pthread_setschedparam+0x82f) [0x00000008003b9b3f]   
2023-02-27T18:13:19   Notice   daemon   -> ??:0

und das geht immer so weiter

Hat das jemand schon so gesehen und besser wäre noch eine Idee

Hallo an die Gemeinde,

auch nach dem Update auf 23.1.1 stürzt der strongswan Daemon (IPSEC) nach undefinierter Zeit ab. Im gegensatz zum PSK, wird hier mit Zertifikaten gearbeitet. Auch das vorgänger Update, was ja im IPSEC den Fehler beheben sollte (PSK, wenn ich das so richtig verstanden hatte) gab es weiterhin Problem, so das ich auf 22.7.11 zurück musste, wo der Fehler nicht aufgetreten ist.

Man kann disen Daemen per hand starten, muss ihn aber noch einmal neu starten, damit er dann auch wieder (kurzzeitig) funktionierte.

Unter den Logs kann ich nichts finden (oder ich schaue an der falschen stelle)

Jemand mal eine Idee?

Vielen Dank

Hallo an die Gemeinschaft,

also das update im HA lief ohne Probleme. Jetzt aber ein aber. Der strongswan daemon stürzt regelmäßig ab. Konfiguriert ist IKE V2. Wenn es mal funktionierert, der Tunnel aufgebaut ist, fehlt auch die Anzeige der Mobilen Verbindung. Also bleibt mir nichts anderes übrig, wiede auf 22.7 zurück zu gehehen.

Jetzt kommt die Frage WIE?

Mit opnsense-revert (opnsense-revert -r 22.7.11 opnsense) bin ich gescheiter, weil er direkt auf 23.1 im verzeichnis gehen will.

Hat hier jemand eine idee ?

Vielen Dank

Es gibt zwei mögliche Lösung

a) die APU2E4 rausschmeißen und gegen die D-Serie (o.ä.) ersetzen oder

b) tricksen: WWAN also ppp0 erstellen, dann unter einer Physikalischen Schnittstelle zuweisen. Danach von der Physikalischen auf ppp0 wechseln. Dann lässt sich diese zuweisen. Sollte danach funktionieren.

Aber laut beschreibung vom Hersteller, gibt es ein Problem bei WWAN-Modulen (zu midestens dieser Karte) ein Frequenzproblem (soweit ich mich erinnern kann).

Viele grüße

Hallo an die Gemeinde,

warscheinlich wurde das problem schon irgend wann mal behandelt, ich habe es im Forum aber nicht mehr gefunden, deshalb noch mal vom Anfang.

Ich versuche das o.g. WWAN (LTE / 4G) -Modul zu installieren. Habe ein  PPP0 angelegt und bekomme die Fehlermeldung beim zuweisen der Schnittstelle:

The interface "ppp0" does not exist. ..... (ist auch rot)

Ich habe es mit allen cuaU´s probiert (nach meinem verständniss cuaU0.0), es bleibt rot. SIM ist vorhanden ohne PIN. auch über die AT Befehle, bekomme ich die Bestätigungen:

ATI
Manufacturer: Huawei Technologies Co., Ltd.
Model: ME909s-120 V2
Revision: 11.617.24.00.00
IMEI: *********
+GCAP: +CGSM,+DS,+ES

OK

AT+COPS?
+COPS: 0,0,"Telekom.de",7

D.h. nach meinem verständniss, sollte es eigentlich funktionieren ODER?

Also wo bitte ist meine Fehler?

Viele Grüße

Ach was noch zu erwähnen wäre, es handelt sich um ein APU2E4, wo die Realisierung erfolgen soll

Beim versuch PPP und eine entsprechende Schnitstelle an zu legen, werden die Providerdaten nicht gespeichert. Ich habe per Konsole schon überprüft, ob das Modemm und die SIM erreichbar sind (AT-Befehle). Dort ist kein fehler zu erkennen. Allerdings muss ich jedes mal die Providerdaten neu angeben.

Je mand eien Idee?

VG

Kleine Ziffer, große Wirkung.

Vielen Dank

OK und noch einen Tip, wie ich beide dazu bekomme ?

Ach so,

nein Master ist OPt1 und Backup Opt2.

@superwinni2: wenn Du mit optx die Syncinterface, die dierekt miteinander verbunden meinst, hatt jedes Interface seine eigene IP. Der sync funktioniert ja auch, aber danch fliegt die rule wieder auf dem BU-System raus

Guten Abend,

eigendlich sagt der betreff alles aus. Nach dem Syncronisieren bei einem HA system verschwindet auf dem Backupsystem die Regel auf dem pfsync interface. Auf dem MAster ist diese Regel eingetragen. Das ist natürlich blöd, das jedes mal auf dem Backup-System jedes mal neu einrichten zu müssen.

System 21.7.1 auf beiden seiten.

Alle Dienste werden Syncronisieret. Als Vorlagenbeispiel habe ich die Anleitung von Thomas Krenn verwendet

Hat jemand eine Idee?

Vielen Dank

Yes, das wars. Zwei Geräte, Zwei IP-Adressen.

Vielen Dank

Witzig finde ich nur die Anzeige in der GUI in der Lobby. "Aktiver Tunnel 1" "mobile Benutzer 2"

Ja, die my.conf liegt im richtigen Verzeichniss.

Interessant ist beim ipsec restart folgende Meldung:

ipsec restart
Stopping strongSwan IPsec...
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Starting strongSwan 5.9.2 IPsec [starter]...

Hier nnimmt er als meldung ein anderes Verzeichnis als : "ipsec.opnsense.d"

auch bei der Änderung der ipsec.conf "uniqueids = no" bleibt das ergebniss das gleiche. Wobei ich inzwischen sagen muss, dass die Geräte zwar die gleich IP erhalten, aber ur eins von beiden wirklich kommunizieren kann.

Eingesetzte Version OPNsense 21.7.1-amd64

Also inzwischen startet der VPN-Dienst mit der my.conf. Allerdings gibt es mit "= no" keine Änderung, das Verhalten ist das Gleiche, zwei Geräte eine IP.

In der ipsec.conf steht das gleiche

config setup
  uniqueids = yes

Ich blicke es nicht