Plötzlich 8 IPSec Tunnel weg. Fehler in OPNsense

Started by 0xDEADC0DE, August 29, 2017, 01:09:18 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 29, 2017, 01:09:18 AM Last Edit: August 29, 2017, 01:11:13 AM by 0xDEADC0DE
Von jetzt auf gleich sind 8 IPSec Tunnel offline und lassen sich nicht mehr starten.
Nach längerem Debuggen hab ich folgendes in den Logs gefunden.

QuoteAug 29 00:42:09    charon: 16[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ
Aug 29 00:42:09    charon: 16[CFG] received proposals: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1536/NO_EXT_SEQ

Ich hab aber kein MODP_2048 konfiguriert sonder MODP_1536.
Ich habe in Phase 2 geschaut. Egal was ich unter PFS einstelle, wenn ich

cat /usr/local/etc/ipsec.conf
aufrufe steht IMMER
esp = aes256-sha512-modp2048!
Ich kann AES ändern und SHA ändern usw. Aber -modp2048 bleibt IMMER stehen hinter jeder esp Einstellung und bei jeder IPSec Verbindung. Woher kommt das plötzlich?
Selbst Phase 2 Einträge löschen und neu anlegen ändert nichts.

Ach ja. An der Oberfläche stimmt alles was ich eingestellt habe.
Egal welche PFS Einstellung, sie ist immer da. Nur der Eintrag in der ipsec.conf ist IMMER falsch.
August 29, 2017, 01:27:04 AM #1
Ich hab jetzt noch in
/conf/config.xml
nachgeschaut.
Da steht auch alles richtig drinnen.
August 29, 2017, 02:20:18 AM #2
Ich hab jetzt manuell die ipsec.conf angepasst und strongswan neu gestartet.
Jetzt funktionieren die geänderten Verbindungen wieder
August 29, 2017, 09:56:10 AM #3
Ist das vielleicht ein Cluster? Bringt es ein Neustart zum Ziel? IKEv1 oder IKEv2?


Grüsse
Franco
August 29, 2017, 11:01:45 AM #4
Kein Cluster. Aktuelle 17.7er Version.
Ein Neustart bringt leider gar nichts.
Sind alles IKEv1 VPNs.

Bevor das Problem aufgetreten ist hatte ich das einzige VPN mit Aggressive Mode
auf Main Mode geändert. Das war alles. Ob das die Ursache war kann ich nicht
sagen.
August 29, 2017, 11:42:41 AM #5
Klingt schon danach... ich schau mal.
August 29, 2017, 11:50:46 AM #6 Last Edit: August 29, 2017, 11:57:28 AM by franco
EDIT: Wird denn der Config-Apply-Restart ausgeführt? Klappt bei mir.

Auch:

# grep pfsgroup /conf/config.xml


Grüsse
Franco
August 29, 2017, 12:34:10 PM #7
Wie prüfe ich ob der Config-Apply-Restart ausgeführt wird?
August 29, 2017, 04:13:32 PM #8
Sicher sein kann man, wenn man nach dem Speichern der Phase 1/2 Einstellungen auf den Apply-Button in der blauen Info-Box der neu geladenen Seite klickt.

Oder das "Enable IPsec" ausmachen und dann wieder anmachen.

Oder ein Reboot.

Wenn es richtig in der config.xml ist, dann ist es mit all diesen Methoden eigentlich auch in der ipsec.conf.


Grüsse
Franco
August 29, 2017, 10:52:00 PM #9
Ich habs gerade versucht. Egal was ich mache, in der config.xml stehen die richtigen Werte.
In der ipsec.conf sind sie falsch.
Was kann ich noch tun um den Fehler zu finden?
September 01, 2017, 10:42:58 AM #10
Egal was ich mache, das Problem bleibt.
Habt ihr noch einen Hinweis was ich machen kann?
September 01, 2017, 11:56:02 AM #11
Neu gestartet hast du oder?
September 01, 2017, 04:27:11 PM #12
Ja. Alles gemacht. Gerade hat OPNsense wohl die Config neu geschrieben und die VPNs waren wieder weg.
Egal ob ich neu boote oder bei IPSec etwas ändere.
die ESP DH Group steht falsch in der ipsec.conf
September 01, 2017, 06:24:49 PM #13
Hm, PSKs aufschreiben und alle VPNs löschen und neu anlegen.
Eigentlich kann ichs mir nicht vorstellen, aber entweder so, oder vorher mal alle P1 und P2 deaktivieren und eins nach dem anderen aktivieren und schauen wann bzw. ob eins allein dann funktioniert.
September 01, 2017, 09:59:46 PM #14
Alle löschen hat nicht funktioniert. Nach längerem Suchen hab ich den Fehler in OPNsense gefunden.
Ich hatte im IPSec Mobile Client PFS auf 14, also 2048, konfiguriert. Mobile Client war aber
abgeschaltet. Trotzdem werden für alle VPNs die PFS Group aus dem Mobile Client genommen.
Print
Go Up Pages1
User actions