OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Emma2 »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Emma2

Pages: 1 ... 8 9 [10] 11 12 ... 21
136
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 28, 2021, 11:26:30 am »
Danke, JeGr, für die ausführliche Info, muss ich mir jetzt mal ganz in Ruhe zu Gemüte führen. Und das Video sehe ich mir auch an. Ihr meint dieses https://www.youtube.com/watch?v=wq-M0bAFViE&t=442s?

Aber eine eventuelle Umstellung auf OpenVPN will ich dann "in Ruhe" machen und nicht unter dem Druck, den Tunnel schnell wieder aufbauen zu müssen. In diesem Zusammenhang ein Update und zwei weitere Fragen:

Ich hatte gestern im entfernten Standort in Südschweden einen mehrstündigen Stromausfall, und danach baute sich der Tunnel nicht wieder von allein auf. Allerdings funktionierte der manuelle Aufbau auch nicht, jedoch diesmal mit einer anderen Fehlermeldung:
Code: [Select]
authentication of <myGermanIP> (myself) with pre-shared key
establishing CHILD_SA con1{6}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from <myGermanIP>[4500] to <mySwedishIP>[4500] (528 bytes)
received packet: from <mySwedishIP>[4500] to <myGermanIP>[4500] (88 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error

Nun meine Fragen:
  • Kann der Fehler mit meinen Einstellungen zu tun haben? Ist es denkbar, dass die irgendwie "nicht mehr" funktionieren?
  • Beim Ändern der Einstellungen: Was ist der Unterschied zwischen "AES (256 bits)" und "256 bit AES-GCM"

Ich habe jedenfalls "mal eben" umgestellt auf "AES (256 bits)" mit Schlüsselgruppe 31 - und damit gelingt der Tunnelaufbau "sofort" (deshalb meine Frage, ob die bisherigen Einstellungen vielleicht "grundsätzlich" nicht mehr funktionieren: aber dieser Verdacht wäre wohl paranoid, oder?).

137
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 26, 2021, 11:13:48 am »
Quote from: mimugmail on July 25, 2021, 10:48:23 am
Ich hab mir deine Einstellungen weder angeschaut noch mich dazu geäußert. Laut Logs verwendest du 3DES mit SHA512, das solltest du vielleicht auf AES 256 ändern. SHA alles ab 256 und DH alles ab 14. (Ich glaub 22 und 23 wieder nicht und dann bis 31 alles ok)
Da ich alles nur über die GUI kann:
  • Bei mir steht dort "256 bit AES-GCM with 128 bit ICV". Das meinst Du?
  • SHA 512 kann ich stehen lassen?
  • Macht es Sinn, die "Schlüsselgruppe" zu ändern? Dann auf 31? Oder ist das "wurscht"?
  • Wird das vom Tunnel auf die einzelnen Netze "vererbt", oder muss ich die Einträge alle ändern?
  • Um das zu ändern, muss ich auf beide OPNsense direkt, also OHNE Tunnel, draufkommen?

138
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 25, 2021, 10:55:12 am »
Ja, danke, das passt zu dem, was "JeGr" oben schrieb. Ich werde das testweise mal umstellen.
Danke an Euch alle!

139
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 25, 2021, 08:20:01 am »
Ok, macht ja aber trotzdem Sinn.
Und dennoch: was gefällt Dir an meinen Einstellungen nicht?

140
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 25, 2021, 08:15:28 am »
Jau, mach ich, danke.
Worauf achte ich dann besonders? Was an meinen Einstellungen ist denn "veraltet"?

141
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 24, 2021, 05:15:00 pm »
Ach so, Nachtrag: Tja, die uralten Einstellungen kommen dann vielleicht aus einem uralten "HOWTO"? ::)
Gibt es irgendwo ein moderneres ("für Dummies")?

... oder überhaupt mal eine Erläuterung, warum z.B. immer wieder jemand empfiehlt, dass IPsec doof ist und man absolut lieber OpenVPN nehmen muss? Das wüsste ich ja auch mal gerne, warum das so ist oder so sein soll...

142
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 24, 2021, 05:10:42 pm »
Quote from: JeGr on July 24, 2021, 04:56:58 pm
"Natürlich" ist doof, dann muss ichs anders fragen :)
Nee, das "natürlich" bezog sich auf meine mangelnde Detailkenntnis.

Quote from: JeGr on July 24, 2021, 04:56:58 pm
Hast du also auf einer Sense dediziert eingestellt "responder only" und auf einer dann default oder konkret initiator in phase 1?
Ja, genau, so habe ich das eingestellt: "Sofort starten" und "Nur antworten" in der GUI.
BTW: Gibt es irgendwo eine gute Beschreibung für die Nicht-GUI-Seite der OPNsense? Das OPNsense-Buch habe ich, habe aber erst das Lesen begonnen...

Quote from: JeGr on July 24, 2021, 04:56:58 pm
Unwissende andere Frage: sind wirklich beide Seiten Sensen in gleicher Version? Hat das einen tieferen Grund, dass da uraltes 3DES verwendet wird zum Aushandel von einem aktuellen Tunnel? Frage nur weil das typische FritzBox Einstellungen sind (3DES,SHA512,DH2) aber das kein Mensch für nen modernen Tunnel nutzen würde?
Ja, ich aktualisiere beide OPNsense recht regelmäßig, alle paar Wochen einmal.

Die Einstellungen für den Tunnel sind mir - als Nicht-Experte - im Detail unklar, denn den Tunnel habe ich vor etwa drei Jahren nach irgend einer Step-by-Step eingerichtet (im Zweifel immer vom Thomas-Krenn-Wiki).

Die Idee, dass der Tunnel nur von einer Seite aus aufgebaut wird, war tatsächlich historisch, denn vorher hatte ich an beiden Standorten den unsäglichen (zum Glück mittlerweile verschwundenen) MS-TMG im Einsatz, und der machte regelmäßig eine Art Deadlock, wenn beide Seiten gleichzeitig den Tunnelaufbau versuchten... danke an MS übrigens, denn unter anderem war der TMG der Grund dafür, dass ich mich überhaupt mit Alternativen beschäftigt habe und mittlerweile fast alle Server auf Linuxen laufen habe (oder BSD für die OPNsense).

Aber tatsächlich ist dieses Problem nun, nach etwa drei Jahren, erstmalig aufgetaucht, das finde ich ja so seltsam. Die einzige Änderung (außer Updates der OPNsense) war, dass ich die hiesige von Hyper-V/Win portiert habe auf VirtualBox/Ubuntu (die entfernte wird im August umgestellt) - aber dabei gab es ja keine Änderungen außer an den virtuellen Adaptern.

143
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 24, 2021, 04:50:34 pm »
"Natürlich" verstehe ich nicht alles, was Du gerade gefragt hast, "aber":
  • Auf beiden OPNsense sind für den Tunnel alle Ports offen (meine ich zumindest).
  • Der Tunnel wird nur von der einen Seite aufgebaut, um irgendwelche - für mich unerwarteten - Kollisionen zu vermeiden.
  • Ausprobiert habe ich es aber schon von beiden Seiten, und es funktionierte.
  • Im Problemfall vorgestern habe ich es ebenfalls von beiden Seiten probiert, aber es hat von keiner Seite aus geklappt, selbst nach einem knappen Tag "Wartezeit" nicht.
Als Nichtkenner finde ich ja die Fehlermeldung so seltsam, dass der PSK nicht gefunden würde, denn das habe ich natürlich überprüft, und er war auf beiden OPNsense eingetragen (muss ja auch, sonst hätte es ja nicht nach einem Neustart sofort wieder funktioniert).

144
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 23, 2021, 10:10:05 pm »
Das verstehe ich zwar immer noch nicht, aber das passiert nur "ganz selten", nämlich bisher nur ein einziges Mal?

Und was für ein "Gerät dazwischen"? Im entfernten Netz hängt die OPNsense direkt am Netz (Proxy des Providers, der mir eine öffentliche IP liefert), und zu Hause hängt die OPNsense hinter einem Zyxel, das als reines DSL-Modem verwendet wird.

Ich will Deinen Tipp gern befolgen, nur würde ich gern zusätzlich auch ein bisschen dazulernen, damit ich nicht immer gleich bei jeder Kleinigkeit ins Schwimmen komme und nachfragen muss...

145
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 23, 2021, 09:58:06 pm »
Magst Du mir erklären, was das bedeutet?

Es ist ja so, dass es bis auf gestern immer funktioniert hat, nur gestern gab es den Protokolleintrag, dass der "shared key" nicht gefunden wurde, aber nach einem Neustart ging es sofort wieder.

Wieso führt "fehlendes" NAT-Traversal zu diesem Problem? Ich würde es gern verstehen.

146
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 23, 2021, 02:55:29 pm »
Suche ich sofort raus...

Der nicht-funktionierende Versuch, den Tunnel aufzubauen, sieht so aus:
Code: [Select]
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> no shared key found for '<meine-Heim-IP>' - '<meine-Fern-IP>'
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> authentication of '<meine-Heim-IP>' (myself) with pre-shared key
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> sending cert request for "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Artificial Apricot R3"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> sending cert request for "C=US, O=Let's Encrypt, CN=R3"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> sending cert request for "C=DE, ST=<meinLand>, L=<meineStadt>, O=<meineFirma>, E=info@<meineFirma>.de, CN=<meineFirma>-DE-CA"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> sending cert request for "C=DE, ST=<meinBundesland>, L=<meineStadt>, O=<meineFirma>, E=info@<meineFirma>.de, CN=OpenVPN CA DE"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> sending cert request for "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> sending cert request for "CN=Fake LE Intermediate X1"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> received 2 cert requests for an unknown ca
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> received cert request for "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Artificial Apricot R3"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> received cert request for "C=US, O=Let's Encrypt, CN=R3"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> received cert request for "CN=Fake LE Intermediate X1"
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> received cert request for "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
2021-07-22T13:45:22 charon[36881] 15[CFG] <con1|31> selected proposal: IKE:3DES_CBC/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048_256
2021-07-22T13:45:22 charon[36881] 15[ENC] <con1|31> parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
2021-07-22T13:45:22 charon[36881] 15[NET] <con1|31> received packet: from <meine-Fern-IP>[500] to <meine-Heim-IP>[500] (593 bytes)
2021-07-22T13:45:22 charon[36881] 15[NET] <con1|31> sending packet: from <meine-Heim-IP>[500] to <meine-Fern-IP>[500] (460 bytes)
2021-07-22T13:45:22 charon[36881] 15[ENC] <con1|31> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2021-07-22T13:45:22 charon[36881] 15[IKE] <con1|31> initiating IKE_SA con1[31] to <meine-Fern-IP>
2021-07-22T13:45:22 charon[36881] 10[CFG] received stroke: initiate 'con1'

Aber nach dem Neustart ging's sofort und automatisch:
Code: [Select]
2021-07-22T21:44:14 charon[86343] 07[KNL] creating rekey job for CHILD_SA ESP/0xcf832cf5/<meine-Heim-IP>
2021-07-22T21:01:09 charon[86343] 11[ENC] <con1|1> parsed INFORMATIONAL response 4 [ ]
2021-07-22T21:01:09 charon[86343] 11[NET] <con1|1> received packet: from <meine-Fern-IP>[4500] to <meine-Heim-IP>[4500] (80 bytes)
2021-07-22T21:01:09 charon[86343] 11[NET] <con1|1> sending packet: from <meine-Heim-IP>[4500] to <meine-Fern-IP>[4500] (136 bytes)
2021-07-22T21:01:09 charon[86343] 11[ENC] <con1|1> generating INFORMATIONAL request 4 [ N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
2021-07-22T21:01:09 charon[86343] 11[IKE] <con1|1> sending address list update using MOBIKE
2021-07-22T21:01:09 charon[86343] 05[KNL] 192.168.5.1 appeared on ovpns1
2021-07-22T21:01:09 charon[86343] 12[KNL] interface ovpns1 activated
2021-07-22T21:01:09 charon[86343] 12[IKE] <con1|1> CHILD_SA con1{2} established with SPIs ccb36a96_i c4959463_o and TS 192.168.0.0/24 192.168.4.0/24 === 192.168.2.0/24 192.168.6.0/24
2021-07-22T21:01:09 charon[86343] 12[CFG] <con1|1> selected proposal: ESP:3DES_CBC/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ
2021-07-22T21:01:09 charon[86343] 12[IKE] <con1|1> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
2021-07-22T21:01:09 charon[86343] 12[ENC] <con1|1> parsed CREATE_CHILD_SA response 3 [ N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
2021-07-22T21:01:09 charon[86343] 12[NET] <con1|1> received packet: from <meine-Fern-IP>[4500] to <meine-Heim-IP>[4500] (512 bytes)
2021-07-22T21:01:09 charon[86343] 12[NET] <con1|1> sending packet: from <meine-Heim-IP>[4500] to <meine-Fern-IP>[4500] (512 bytes)
2021-07-22T21:01:09 charon[86343] 12[ENC] <con1|1> generating CREATE_CHILD_SA request 3 [ N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
2021-07-22T21:01:09 charon[86343] 12[IKE] <con1|1> establishing CHILD_SA con1{2}
2021-07-22T21:01:09 charon[86343] 12[ENC] <con1|1> parsed INFORMATIONAL response 2 [ ]
2021-07-22T21:01:09 charon[86343] 12[NET] <con1|1> received packet: from <meine-Fern-IP>[4500] to <meine-Heim-IP>[4500] (80 bytes)
2021-07-22T21:01:09 charon[86343] 12[CFG] received stroke: initiate 'con1'
2021-07-22T21:01:09 charon[86343] 16[CFG] added configuration 'con1'
2021-07-22T21:01:09 charon[86343] 05[NET] <con1|1> sending packet: from <meine-Heim-IP>[4500] to <meine-Fern-IP>[4500] (128 bytes)
2021-07-22T21:01:09 charon[86343] 05[ENC] <con1|1> generating INFORMATIONAL request 2 [ N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
2021-07-22T21:01:09 charon[86343] 05[IKE] <con1|1> sending address list update using MOBIKE
2021-07-22T21:01:09 charon[86343] 05[KNL] interface ovpns1 deactivated
2021-07-22T21:01:09 charon[86343] 14[KNL] 192.168.5.1 disappeared from ovpns1
2021-07-22T21:01:09 charon[86343] 16[CFG] received stroke: add connection 'con1'
2021-07-22T21:01:09 charon[86343] 14[CFG] deleted connection 'con1'
2021-07-22T21:01:09 charon[86343] 14[CFG] received stroke: delete connection 'con1'
2021-07-22T21:01:09 charon[86343] 16[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
2021-07-22T21:01:09 charon[86343] 16[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
2021-07-22T21:01:09 charon[86343] 16[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
2021-07-22T21:01:09 charon[86343] 16[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
2021-07-22T21:01:09 charon[86343] 16[CFG]   loaded ca certificate "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Artificial Apricot R3" from '/usr/local/etc/ipsec.d/cacerts/d51988df.0.crt'
2021-07-22T21:01:09 charon[86343] 16[CFG]   loaded ca certificate "C=US, O=Let's Encrypt, CN=R3" from '/usr/local/etc/ipsec.d/cacerts/8d33f237.0.crt'
2021-07-22T21:01:09 charon[86343] 16[CFG]   loaded ca certificate "C=DE, ST=<meinLand>, L=<meineStadt>, O=<meineFirma>, E=info@<meineFirma>.de, CN=<meineFirma>-DE-CA" from '/usr/local/etc/ipsec.d/cacerts/0a9b39ac.0.crt'
2021-07-22T21:01:09 charon[86343] 16[CFG]   loaded ca certificate "C=DE, ST=<meinBundesland>, L=<meineStadt>, O=<meineFirma>, E=info@<meineFirma>.de, CN=OpenVPN CA DE" from '/usr/local/etc/ipsec.d/cacerts/eefe3217.0.crt'
2021-07-22T21:01:09 charon[86343] 16[CFG]   loaded ca certificate "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3" from '/usr/local/etc/ipsec.d/cacerts/4f06f81d.0.crt'
2021-07-22T21:01:09 charon[86343] 16[CFG]   loaded ca certificate "CN=Fake LE Intermediate X1" from '/usr/local/etc/ipsec.d/cacerts/0a3654cf.0.crt'
2021-07-22T21:01:09 charon[86343] 16[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
2021-07-22T21:01:09 charon[86343] 16[CFG] expanding file expression '/usr/local/etc/ipsec.secrets.opnsense.d/*.secrets' failed
2021-07-22T21:01:09 charon[86343] 16[CFG]   loaded IKE secret for <meine-Fern-IP>
2021-07-22T21:01:09 charon[86343] 16[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
2021-07-22T21:01:09 charon[86343] 16[CFG] rereading secrets
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> peer supports MOBIKE
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> received AUTH_LIFETIME of 27868s, scheduling reauthentication in 27328s
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> CHILD_SA con1{1} established with SPIs cf832cf5_i cc71bdd2_o and TS 192.168.0.0/24 192.168.4.0/24 === 192.168.2.0/24 192.168.6.0/24
2021-07-22T21:01:06 charon[86343] 16[CFG] <con1|1> selected proposal: ESP:3DES_CBC/HMAC_SHA2_512_256/NO_EXT_SEQ
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> maximum IKE_SA lifetime 28587s
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> scheduling reauthentication in 28047s
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> IKE_SA con1[1] established between <meine-Heim-IP>[<meine-Heim-IP>]...<meine-Fern-IP>[<meine-Fern-IP>]
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> authentication of '<meine-Fern-IP>' with pre-shared key successful
2021-07-22T21:01:06 charon[86343] 16[ENC] <con1|1> parsed IKE_AUTH response 1 [ IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
2021-07-22T21:01:06 charon[86343] 16[NET] <con1|1> received packet: from <meine-Fern-IP>[4500] to <meine-Heim-IP>[4500] (344 bytes)
2021-07-22T21:01:06 charon[86343] 16[NET] <con1|1> sending packet: from <meine-Heim-IP>[4500] to <meine-Fern-IP>[4500] (528 bytes)
2021-07-22T21:01:06 charon[86343] 16[ENC] <con1|1> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> establishing CHILD_SA con1{1}
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> authentication of '<meine-Heim-IP>' (myself) with pre-shared key
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> sending cert request for "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Artificial Apricot R3"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> sending cert request for "C=US, O=Let's Encrypt, CN=R3"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> sending cert request for "C=DE, ST=<meinLand>, L=<meineStadt>, O=<meineFirma>, E=info@<meineFirma>.de, CN=<meineFirma>-DE-CA"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> sending cert request for "C=DE, ST=<meinBundesland>, L=<meineStadt>, O=<meineFirma>, E=info@<meineFirma>.de, CN=OpenVPN CA DE"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> sending cert request for "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> sending cert request for "CN=Fake LE Intermediate X1"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> received 2 cert requests for an unknown ca
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> received cert request for "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Artificial Apricot R3"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> received cert request for "C=US, O=Let's Encrypt, CN=R3"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> received cert request for "CN=Fake LE Intermediate X1"
2021-07-22T21:01:06 charon[86343] 16[IKE] <con1|1> received cert request for "C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3"
2021-07-22T21:01:06 charon[86343] 16[CFG] <con1|1> selected proposal: IKE:3DES_CBC/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048_256
2021-07-22T21:01:06 charon[86343] 16[ENC] <con1|1> parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
2021-07-22T21:01:06 charon[86343] 16[NET] <con1|1> received packet: from <meine-Fern-IP>[500] to <meine-Heim-IP>[500] (593 bytes)
2021-07-22T21:01:06 charon[86343] 15[NET] <con1|1> sending packet: from <meine-Heim-IP>[500] to <meine-Fern-IP>[500] (460 bytes)
2021-07-22T21:01:06 charon[86343] 15[ENC] <con1|1> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2021-07-22T21:01:06 charon[86343] 15[IKE] <con1|1> initiating IKE_SA con1[1] to <meine-Fern-IP>
2021-07-22T21:01:06 charon[86343] 15[CFG] received stroke: initiate 'con1'
2021-07-22T21:01:06 charon[86343] 05[CFG] added configuration 'con1'
2021-07-22T21:01:06 charon[86343] 05[CFG] received stroke: add connection 'con1'

147
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 23, 2021, 10:19:23 am »
Da ich mich "nicht so gut" auskenne, meinte ich eher, wo ich die finde und wie die genau heißen.
(NB: Ich kenne mich so wenig aus, dass ich - zumindest noch - alles per GUI mache, machen muss).

Aber das Problem hat sich nun (erst einmal) gelöst: Ich habe den "Windows-Trick" angewendet und beide OPNsense neu gestartet (ja, ich komme zum Glück remote auf beide drauf). Danach stand der Tunnel auf Anhieb wieder.
(Hätte nicht gedacht, dass das bei einem Unixoiden helfen kann, ich dachte, das sei nur bei MS-Zeugs so.)

Langer Rede kurzer Sinn: haben wir (habt Ihr) jetzt noch eine Chance, dem Problem forensisch nachzugehen?
Oder macht das wenig Sinn, und ich sollte lieber hinnehmen, dass auch eine OPNsense von Zeit zu Zeit mal einen Neustart "braucht"?

Falls das wichtig sein könnte: Meine OPNsense laufen beide als VM (die eine als VB auf Ubuntu, die andere noch als HV auf WinSvr). Die hiesige (VB/Ubu) wird einmal pro Woche per "ACPIPOWERBUTTON" heruntergefahren und dann per RSYNC gesichert, danach wieder gestartet. Wenn das herunterfahren nicht klappt (weil sie nicht auf den Befehl reagiert), dann wird sie auch nicht gesichert. Es kann aus meiner Sicht hier also eigentlich nichts schiefgehen. Aber ich will es dennoch zur Info berichten.

148
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 22, 2021, 04:30:23 pm »
Quote from: mimugmail on July 22, 2021, 03:02:12 pm
Dann kann der Tunnel aus irgendeinem Grund nur von einer Seite aufgebaut werden.
Also entweder machst du den Hack auf der anderen Seite
Das habe ich versucht, gleicher Fehler von beiden Seiten.

Quote from: mimugmail on July 22, 2021, 03:02:12 pm
oder du postest die config und logs.
Mache ich gerne. Welche Dateien sind das, und wo stehen die?

149
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 22, 2021, 04:29:14 pm »
Quote from: chemlud on July 22, 2021, 03:12:30 pm
Vergiss den IPsec Quatsch.
Das hat jetzt aber mindestens drei Jahre völlig problemlos funktioniert.

Quote from: chemlud on July 22, 2021, 03:12:30 pm
Mach openVPN oder Wireguard und fertig.
... wobei ich mangels Kenntnisse keine echte Vorliebe habe. Gibt es für einen Tunnel per openVPN oder Wirecard ein gutes HOWTO?

150
German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."
« on: July 22, 2021, 01:46:34 pm »
Ich bin vermutlich wieder zu ungeduldig, aber ein kleines bisschen "pressiert's mich".
Hat niemand eine Idee, was ich wie reparieren muss?

Pages: 1 ... 8 9 [10] 11 12 ... 21
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2