v.23.1 IPSEC con3 neu starten

[opnforumuser]

Hallo,

ich möchte meinen 3. Tunnel per console neu starten, in der 23.1 bekomme aber folgende Fehler.
Hat sich bei der Umstellung von 22.7 da etwas geändert und falls ja, wie startet man den Tunnel nun?

rz-fw1:" # /usr/local/sbin/swanctl -t --child con3
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf"
terminate failed: no matching sas to terminate found

rz-fwl:" # /usr/local/sbin/swanctl -i --child con3
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
initiate failed: child sa config 'con3' not found

2023.02.27 - Nachtrag, auch ipsec cmd ... liefert nur Fehlermeldungen

ipsec start
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
Starting weakSwan 5.9.9 IPsec [starter]...
no files found matching '/usr/local/etc/ipsec.conf'
failed to open config file '/usr/local/etc/ipsec.conf'
unable to start strongSwan -- fatal errors in config

[atom]

Zum Stoppen des Tunnnels:
swanctl --terminate --ike con3 oder swanctl -t -i con3

Zum Starten des Tunnels:
swanctl --initiate --ike con3 oder swanctl -i -i con3

[opnforumuser]

Das funktioniert, bis auf die Fehlermeldung:
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'

Beim Aufbau gibt es am Ende folgenden Fehler:
[IKE] establishing IKE_SA failed, peer not responding
initiate failed: establishing IKE_SA 'con3' failed

In der GUI hat der Tunnel danach aber in Phase 1 den Status "grün" und auch die zwei Tunnel in in Phase-2 wurden aufgebaut und funktionieren.

Listing:

root@RZFW1:~ # swanctl --terminate --ike con3
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
[IKE] deleting IKE_SA con3[4] between 111.111.123.142[111.111.123.142]...222.222.11.57[222.222.11.57]
[IKE] sending DELETE for IKE_SA con3[4]
[ENC] generating INFORMATIONAL request 3 [ D ]
[NET] sending packet: from 111.111.123.142[4500] to 222.222.11.57[4500] (80 bytes)
[NET] received packet: from 222.222.11.57[4500] to 111.111.123.142[4500] (80 bytes)
[ENC] parsed INFORMATIONAL response 3 [ D ]
[IKE] IKE_SA deleted
terminate completed successfully

root@RZFW1:~ # swanctl --initiate --ike con3
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
[IKE] initiating IKE_SA con3[68] to 222.222.11.57
[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
[NET] sending packet: from 111.111.123.142[500] to 222.222.11.57[500] (272 bytes)
[NET] received packet: from 222.222.11.57[500] to 111.111.123.142[500] (382 bytes)
[ENC] parsed IKE_SA_INIT response 0 [ SA KE No V V N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) V ]
[IKE] received Cisco Delete Reason vendor ID
[IKE] received Cisco Copyright (c) 2009 vendor ID
[IKE] received FRAGMENTATION vendor ID
[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
[IKE] sending cert request for "C=AD, ST=NRW, L=Vel, O=Int, E=technik@int.de, CN=internal-sslvpn-ca"
[IKE] authentication of '111.111.123.142' (myself) with pre-shared key
[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr AUTH N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
[NET] sending packet: from 111.111.123.142[4500] to 222.222.11.57[4500] (288 bytes)
[IKE] retransmit 1 of request with message ID 1
[NET] sending packet: from 111.111.123.142[4500] to 222.222.11.57[4500] (288 bytes)
[IKE] retransmit 2 of request with message ID 1
[NET] sending packet: from 111.111.123.142[4500] to 222.222.11.57[4500] (288 bytes)
[IKE] retransmit 3 of request with message ID 1
[NET] sending packet: from 111.111.123.142[4500] to 222.222.11.57[4500] (288 bytes)
[IKE] retransmit 4 of request with message ID 1
[NET] sending packet: from 111.111.123.142[4500] to 222.222.11.57[4500] (288 bytes)
[IKE] retransmit 5 of request with message ID 1
[NET] sending packet: from 111.111.123.142[4500] to 222.222.11.57[4500] (288 bytes)
[IKE] giving up after 5 retransmits
[IKE] establishing IKE_SA failed, peer not responding
initiate failed: establishing IKE_SA 'con3' failed

[atom]

Um die Nachricht "no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
" zu unterdrücken einfach eine leere conf-Datei anlegen:

Code: [Select]

touch /usr/local/etc/strongswan.opnsense.d/1.conf
Wegen des Retransmit würde ich mal mit tcpdump schauen, ob die Pakete auf dem richtigen Interface die eine Seite verlassen und auf der anderen Seite auch ankommen.

[opnforumuser]

Hi,
funktioniert, leere.conf angelegt, kein Fehler mehr.

Der Ursprung starten/stoppen per cli ist der, dass nach dem update von der v.22 auf die v.23 die con3 alle drei Stunden (10800s) abgebaut und nicht wieder aufgebaut wird.

Eine Frage an die Cisco Seite wurde mit "wir haben hier nichts geändert" beantwortet.

Ich habe dann auf unserer Seite alle Parameter nochmal geprüft und festgestellt, dass in der GUI in con3 in Phase-1 eine Lifetime 10800s angegeben ist, so wie von der Cisco Seite vorgegeben und in den beiden Phase-2 con3-000 und con3-001 jeweils 3600s.

IMO gibt swanctl aber einen viel zu hohen Wert für con3 aus.

swanctl --list-conns
con3: IKEv2, no reauthentication, rekeying every 14400s
  con3-000: TUNNEL, rekeying every 3272s
  con3-001: TUNNEL, rekeying every 3272s

[atom]

Hallo,

was steht den beim Tunnel in der Phase 2 bei Lifetime für ein Wert ?

Viele Grüße,
atom

[opnforumuser]

Hallo,

da stand/steht seit jeher 10800 drin.

Ich habe jetzt bei Margintime einen Wert eingetragen, das Feld war bisher leer.

Margintime   [ 300 ]
Time before SA expiry the rekeying should start. (seconds)

Der Tunnel läuft nun seit gestern ~22 Uhr wieder stabil durch.

[atom]

Hallo,

ich kann das Verhalten reproduzieren. Ich habe einen Tunnel mit 14400s, aber alle anderen haben andere Werte. Nach einem

Code: [Select]

swanctl --load-conns haben alle Tunnel 14400s.

Viele Grüße,
atom

[atom]

Auch wenn ich den Tunnel abbaue und wieder neu aufbaue hat der Tunnel 14400s. Das Verhalten habe ich nur bei automatisch migrierten Tunnel durch den Upgrade auf 23.1. Tunnel, die ich mit dem neuen Interface erzeugt habe, haben alle korrekt timeout-Werte.

[opnforumuser]

Soll bedeuten, ein Bug bei der Migration, der noch behoben wird?
Ich möchte ungern alle Tunnel löschen und wieder neu einrichten.

[atom]

Ich habe ein Bug dafür aufgemacht.

https://github.com/opnsense/core/issues/6370

Die Konfiguration in der GUI sollte dafür nicht neu geändert werden müssen.
Es müssen ja nur die Werte aus der GUI in die swanctl.conf mit den richtigen Parameternamen geschrieben werden.

[opnforumuser]

Okay, Danke, dann schaun mer ma.