VPN: PFS Gruppe lässt sich nicht ändern

Started by karaman, December 03, 2018, 02:11:00 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 03, 2018, 02:11:00 PM
Hallo Leute,

OPNsense 18.7.8-amd64
FreeBSD 11.1-RELEASE-p15
OpenSSL 1.0.2q 20 Nov 2018
strongswan 5.7.1


Beim verbinden einer VPN kommt es zu folgender Meldung:

QuoteDec 3 13:48:08
charon: 09[CFG] <con1|52> configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_1024/NO_EXT_SEQ
Dec 3 13:48:08
charon: 09[CFG] <con1|52> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ

Konfiguration sieht folgendermaßen aus:

Quoteconn con1
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = clear
  dpddelay = 10s
  dpdtimeout = 60s
  left = 37.xx.xx.xx
  right = 78.xx.xx.xx
  leftid = 37.xx.xx.xx
  ikelifetime = 108000s
  lifetime = 28800s
  ike = aes256-sha256-modp2048,aes256-sha1-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = 78.xx.xx.xx
  rightsubnet = 10.xx.xx.0/24
  leftsubnet = 192.xx.xx.0/24
  esp = aes256-sha1-modp1024,aes256-sha256-modp1024!
  auto = add

Über die OPNsense Weboberfläche wurde allerdings in der Phase 2 der VPN Verbindung die PFS Gruppe auf "Group 14" eingestellt. Dennoch wird in der Konfigurationsdatei "esp = aes256-sha1-modp1024,aes256-sha256-modp1024!" übernommen.

Gibt es hierfür eine Lösung?
December 03, 2018, 02:59:40 PM #1
Hast du auch auf "Apply" gedrückt? Anderen Browser testen?
December 03, 2018, 03:03:02 PM #2
Ja... ::)
December 03, 2018, 03:32:06 PM #3
Und wenn du ein Subnetz in P2 änderst, ändert sich das in der config Datei?
December 03, 2018, 03:35:55 PM #4 Last Edit: December 03, 2018, 03:53:57 PM by karaman
Ja... ::)

Es funktioniert alles nur wird die DH Gruppe in der zweiten Phase nicht auf die gewählte Auswahl nicht übernommen. In der Weboberfläche sieht alles aus als wäre es ausgewählt (siehe Screenshot). In der IPSec.config bleibt die Einstellung allerdings...

Scheinbar ist dies wohl ein Bug.
December 04, 2018, 11:37:27 AM #5
Ich kann dir nur anbieten mit Teamviewer kurz drauf zu schauen .. mehr fällt mir nicht ein.
December 04, 2018, 02:13:09 PM #6
Vielen dank an mimugmail! Ursache ist gefunden.


Wenn unter VPN: IPsec: Mobile Clients
Eine Phase2 PFS Group hinterlegt ist wird die Phase 2 bei allen VPN auf diese gesetzt.

Sobald das Häkchen draußen ist funktioniert alles wieder. 


December 07, 2018, 08:10:01 AM #7
Print
Go Up Pages1
User actions