IPSec Phase 2 disconnects

[Nogschu]

Moin Zusammen,
wir haben bei mehreren OPNSenses mit der Version 22.1.X (auch eine 22.1.6) das Problem, dass bei diversen Tunneln nach dem rekeying einzenlne Phase2 nicht hochkommen. Und dann kommt folgende Errormeldung:
2022-05-10T07:08:20 Informational charon 05[ENC] <con3|276> generating CREATE_CHILD_SA response 170 [ N(TS_UNACCEPT) ]
2022-05-10T07:08:20 Informational charon 05[IKE] <con3|276> failed to establish CHILD_SA, keeping IKE_SA

Das child ist aber auf beiden Sieten gesetzt und wenn man den Tunnel händisch neustartet kommt der auch meist mit hoch. Hat da jemand ne Idee was man da machen kann oder ggf. das gleich Problem?

Die Tunnel sind zu verschiedenen Endpunkten also es scheint egal zu sein was am anderen Ende steht.


VG
Nogschu

[JeGr]

->  N(TS_UNACCEPT)

Bei der Meldung ist meistens der Traffic Selector (TS) "unacceptable", sprich die IP Einstellungen der Phase 2 sind abweichend konfiguriert. Hier vielleicht mal genau die IP/Ranges kontrollieren. Dass es manchmal funktioniert würde eventuell darauf hindeuten, dass eine Seite vllt. ein kleineren CIDR Range konfiguriert hat und je nachdem welche Seite Initiator ist und welche Responder nimmt der Responder die kleine Anfrage an weil eine größere konfiguriert ist, wenn aber die größere anfragt lehnt die kleinere mit Mismatch ab.

Alternativ könnte es hier auch ein NAT-T Problem sein, dazu fehlen aber mehr Logoutputs und mehr Hintergrund um dazu etwas sagen zu können. IKE_SA also P1 scheint kein Problem zu haben, ich würde da mit dem Peer nochmal ganz genau die P2 (oder alle P2s) durchgehen und kontrollieren.

Cheers