Kann jemand über meinen IPsec log schauen?

guest23134 · February 01, 2020, 12:08:39 AM

Ich bin leider nicht so tief in der Thematik um es komplett zu durchschauen, vielleicht kann mir jemand sagen, warum mein Verbindungsaufbau failed.

Feb 1 00:04:34    charon: 14[NET] <3> sending packet: from 192.168.10.2[500] to xx.x.x.x[26562] (40 bytes)
Feb 1 00:04:34    charon: 14[ENC] <3> generating INFORMATIONAL_V1 request 267380679 [ N(NO_PROP) ]
Feb 1 00:04:34    charon: 14[IKE] <3> no IKE config found for 192.168.10.2...x.x.x.x, sending NO_PROPOSAL_CHOSEN
Feb 1 00:04:34    charon: 14[ENC] <3> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
Feb 1 00:04:34    charon: 14[NET] <3> received packet: from xx.x.xx.x[26562] to 192.168.10.2[500] (628 bytes)
Feb 1 00:04:21    charon: 14[CFG] added configuration 'con1'
Feb 1 00:04:21    charon: 14[CFG] reusing virtual IP address pool 192.168.50.0/24
Feb 1 00:04:21    charon: 14[CFG] received stroke: add connection 'con1'
Feb 1 00:04:21    charon: 06[CFG] deleted connection 'con1'
Feb 1 00:04:21    charon: 06[CFG] received stroke: delete connection 'con1'
Feb 1 00:04:21    charon: 14[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Feb 1 00:04:21    charon: 14[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Feb 1 00:04:21    charon: 14[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Feb 1 00:04:21    charon: 14[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Feb 1 00:04:21    charon: 14[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Feb 1 00:04:21    charon: 14[CFG] expanding file expression '/usr/local/etc/ipsec.secrets.opnsense.d/*.secrets' failed
Feb 1 00:04:21    charon: 14[CFG] loaded IKE secret for xxx
Feb 1 00:04:21    charon: 14[CFG] loaded IKE secret for xxx %any
Feb 1 00:04:21    charon: 14[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Feb 1 00:04:21    charon: 14[CFG] rereading secrets

banym · February 01, 2020, 10:46:16 AM

Wir lesen hier zwar in unserer Freizeit alle sehr gerne Logs, jedoch ist es einfacher zu verstehen was wir uns anschauen wenn wir das große Ganze kennen.

Sei doch so nett und mach ein paar Screenshots der IPsec-Einstellungen und erkläre uns ob das Mobile-Clients oder Site-to-Site IPsec sein soll auf was wir schauen.

Das Regelwerk für die WAN Interfaces ist auch interessant um zu sehen ob da alles passt.

Das NO_PROPOSAL_CHOSEN deutet auf einen Missmatch bei Verschlüsselung hin.
Evtl. passen auch ID und Verschlüsselung nicht mit den Werten zusammen die von der anderen Seite kommen. Da ich eine private Adresse im Log sehe, könnte es ein ID Missmatch sein weil deine Box hinter einem anderen Router mit NAT hängt.

Fährst du AGGRESSIVE Mode? Wenn ja sollte es einen guten Grund dafür geben, ansonsten ist davon abzuraten.

guest23134 · February 02, 2020, 10:38:11 AM

Quote from: banym on February 01, 2020, 10:46:16 AM
Wir lesen hier zwar in unserer Freizeit alle sehr gerne Logs, jedoch ist es einfacher zu verstehen was wir uns anschauen wenn wir das große Ganze kennen.

Sei doch so nett und mach ein paar Screenshots der IPsec-Einstellungen und erkläre uns ob das Mobile-Clients oder Site-to-Site IPsec sein soll auf was wir schauen.

Das Regelwerk für die WAN Interfaces ist auch interessant um zu sehen ob da alles passt.

Das NO_PROPOSAL_CHOSEN deutet auf einen Missmatch bei Verschlüsselung hin.
Evtl. passen auch ID und Verschlüsselung nicht mit den Werten zusammen die von der anderen Seite kommen. Da ich eine private Adresse im Log sehe, könnte es ein ID Missmatch sein weil deine Box hinter einem anderen Router mit NAT hängt.

Fährst du AGGRESSIVE Mode? Wenn ja sollte es einen guten Grund dafür geben, ansonsten ist davon abzuraten.

https://imgur.com/a/UhmSpeT
sag wenn noch was intressant wäre, ich bin bezüglich identifier auch etwas verdutzt was da rein soll.
Die Opnsense sitzt hinter einer Fritzbox, die nicht in den modem Modus gehen kann.

micneu · February 02, 2020, 02:16:07 PM

bitte auch eine skizze deinerseits netzwerk aufbau.
was ist die gegen stelle, bitte mehr informationen?

Gesendet von iPad mit Tapatalk Pro

guest23134 · February 02, 2020, 06:29:20 PM

Quote from: micneu on February 02, 2020, 02:16:07 PM
bitte auch eine skizze deinerseits netzwerk aufbau.
was ist die gegen stelle, bitte mehr informationen?

Gesendet von iPad mit Tapatalk Pro

rein logisch, hab die opnsense on a stick auf einem ESXI laufen

micneu · February 03, 2020, 05:00:48 PM

was bedeuten die nummern in deiner zeichnung
opnsense als vm, da bin ich raus. da kommen so sachen mit virtuellen switch usw.

System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel

Gesendet von iPad mit Tapatalk Pro

guest23134 · February 05, 2020, 09:10:08 PM

Quote from: micneu on February 03, 2020, 05:00:48 PM
was bedeuten die nummern in deiner zeichnung
opnsense als vm, da bin ich raus. da kommen so sachen mit virtuellen switch usw.

System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel

Gesendet von iPad mit Tapatalk Pro

Die Zahlen bedeuten ich war faul und in Packet Tracer lassen sich nicht die bezeichnungen der devices entfernen ^^'

Kann jemand über meinen IPsec log schauen?

guest23134

February 01, 2020, 12:08:39 AM

banym

February 01, 2020, 10:46:16 AM #1

guest23134

February 02, 2020, 10:38:11 AM #2

micneu

February 02, 2020, 02:16:07 PM #3 Last Edit: February 02, 2020, 02:19:10 PM by micneu

guest23134

February 02, 2020, 06:29:20 PM #4

micneu

February 03, 2020, 05:00:48 PM #5

guest23134

February 05, 2020, 09:10:08 PM #6