OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • VPN: PFS Gruppe lässt sich nicht ändern
« previous next »
  • Print
Pages: [1]

Author Topic: VPN: PFS Gruppe lässt sich nicht ändern  (Read 3615 times)

karaman

  • Newbie
  • *
  • Posts: 33
  • Karma: 0
    • View Profile
VPN: PFS Gruppe lässt sich nicht ändern
« on: December 03, 2018, 02:11:00 pm »
Hallo Leute,

OPNsense 18.7.8-amd64
FreeBSD 11.1-RELEASE-p15
OpenSSL 1.0.2q 20 Nov 2018
strongswan 5.7.1


Beim verbinden einer VPN kommt es zu folgender Meldung:

Quote
Dec 3 13:48:08
charon: 09[CFG] <con1|52> configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_1024/NO_EXT_SEQ
Dec 3 13:48:08
charon: 09[CFG] <con1|52> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ

Konfiguration sieht folgendermaßen aus:

Quote
conn con1
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = clear
  dpddelay = 10s
  dpdtimeout = 60s
  left = 37.xx.xx.xx
  right = 78.xx.xx.xx
  leftid = 37.xx.xx.xx
  ikelifetime = 108000s
  lifetime = 28800s
  ike = aes256-sha256-modp2048,aes256-sha1-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = 78.xx.xx.xx
  rightsubnet = 10.xx.xx.0/24
  leftsubnet = 192.xx.xx.0/24
  esp = aes256-sha1-modp1024,aes256-sha256-modp1024!
  auto = add

Über die OPNsense Weboberfläche wurde allerdings in der Phase 2 der VPN Verbindung die PFS Gruppe auf "Group 14" eingestellt. Dennoch wird in der Konfigurationsdatei "esp = aes256-sha1-modp1024,aes256-sha256-modp1024!" übernommen.

Gibt es hierfür eine Lösung?
Logged

mimugmail

  • Hero Member
  • *****
  • Posts: 6767
  • Karma: 494
    • View Profile
Re: VPN: PFS Gruppe lässt sich nicht ändern
« Reply #1 on: December 03, 2018, 02:59:40 pm »
Hast du auch auf "Apply" gedrückt? Anderen Browser testen?
Logged
WWW: www.routerperformance.net
Support plans: https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German): https://opnsense.max-it.de/

karaman

  • Newbie
  • *
  • Posts: 33
  • Karma: 0
    • View Profile
Re: VPN: PFS Gruppe lässt sich nicht ändern
« Reply #2 on: December 03, 2018, 03:03:02 pm »
Ja... ::)
Logged

mimugmail

  • Hero Member
  • *****
  • Posts: 6767
  • Karma: 494
    • View Profile
Re: VPN: PFS Gruppe lässt sich nicht ändern
« Reply #3 on: December 03, 2018, 03:32:06 pm »
Und wenn du ein Subnetz in P2 änderst, ändert sich das in der config Datei?
Logged
WWW: www.routerperformance.net
Support plans: https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German): https://opnsense.max-it.de/

karaman

  • Newbie
  • *
  • Posts: 33
  • Karma: 0
    • View Profile
Re: VPN: PFS Gruppe lässt sich nicht ändern
« Reply #4 on: December 03, 2018, 03:35:55 pm »
Ja... ::)

Es funktioniert alles nur wird die DH Gruppe in der zweiten Phase nicht auf die gewählte Auswahl nicht übernommen. In der Weboberfläche sieht alles aus als wäre es ausgewählt (siehe Screenshot). In der IPSec.config bleibt die Einstellung allerdings...

Scheinbar ist dies wohl ein Bug.
« Last Edit: December 03, 2018, 03:53:57 pm by karaman »
Logged

mimugmail

  • Hero Member
  • *****
  • Posts: 6767
  • Karma: 494
    • View Profile
Re: VPN: PFS Gruppe lässt sich nicht ändern
« Reply #5 on: December 04, 2018, 11:37:27 am »
Ich kann dir nur anbieten mit Teamviewer kurz drauf zu schauen .. mehr fällt mir nicht ein.
Logged
WWW: www.routerperformance.net
Support plans: https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German): https://opnsense.max-it.de/

karaman

  • Newbie
  • *
  • Posts: 33
  • Karma: 0
    • View Profile
Re: VPN: PFS Gruppe lässt sich nicht ändern
« Reply #6 on: December 04, 2018, 02:13:09 pm »
Vielen dank an mimugmail! Ursache ist gefunden.


Wenn unter VPN: IPsec: Mobile Clients
Eine Phase2 PFS Group hinterlegt ist wird die Phase 2 bei allen VPN auf diese gesetzt.

Sobald das Häkchen draußen ist funktioniert alles wieder. 


Logged

franco

  • Administrator
  • Hero Member
  • *****
  • Posts: 17707
  • Karma: 1618
    • View Profile
Re: VPN: PFS Gruppe lässt sich nicht ändern
« Reply #7 on: December 07, 2018, 08:10:01 am »
https://forum.opnsense.org/index.php?topic=10504.msg48021#msg48021

;)
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • VPN: PFS Gruppe lässt sich nicht ändern
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2