IPsec mit VTI, kein automat. Start bei Datenverkehr

Started by siegfried, May 27, 2019, 07:52:13 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
May 27, 2019, 07:52:13 PM
Guten Abend allerseits,
ich möchte ein Site-2-Site mit VTI aufbauen. Baue ich den Tunnel manuell auf oder setze die Config auf "sofort starten" ist alles schick (also hab ich wohl keine grundsätzlichen Fehler gemacht), aber nur bis der Tunnel dann mal abgebaut wird. Der Tunnel wird nicht automatisch aufgebaut, Anbei die Meldungen dazu (zeitliche Abfolge von oben nach unten):

charon: 15[KNL] received an SADB_ACQUIRE with policy id 2 but no matching policy found
charon: 15[KNL] creating acquire job for policy a.b.c.d/32 === w.x.y.z/32 with reqid {0}
charon: 16[CFG] trap not found, unable to acquire reqid 0

Auf beiden Büchsen läuft 19.1.8, beide zeigen das gleiche Verhalten, Auf der einen ist das einzige Tunnel, auf der anderen laufen noch andere, bisher policy-basierte Tunnel.

Kennt jemand das Problem oder hat eine Idee, wo der Fehler liegt?
Danke vorab,
Siegfried
May 27, 2019, 08:49:04 PM #1
Sorry, für mich zum Verständnis, was ist ,,VTI"?


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
May 27, 2019, 09:13:11 PM #2
0 ist komisch, eigentlich geht's ab 1000 los. Schau Mal in die ipsec.conf
May 27, 2019, 11:08:59 PM #3
Quote from: micneu on May 27, 2019, 08:49:04 PM
Sorry, für mich zum Verständnis, was ist ,,VTI"?


Gesendet von iPad mit Tapatalk Pro

VTI = virtual tunnel interface
Hier ist ein Howto dazu: https://github.com/opnsense/docs/blob/master/source/manual/how-tos/ipsec-s2s-route.rst
May 28, 2019, 08:14:19 AM #4
Moin minugmail,
in der ipsec.conf steht reqid = 1000

conn con1
  aggressive = no
  fragmentation = yes
  keyexchange = ikev2
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = no
 
  dpdaction = none
  left = x.x.x.x
  right = y.y.y.y
 
  leftid = xxx.yyy.de
  ikelifetime = 28800s
  lifetime = 28800s
  ike = aes256-sha512-ecp521!
  leftauth = pubkey
  rightauth = pubkey
  leftcert = /usr/local/etc/ipsec.d/certs/cert-1.crt
  leftsendcert = always
  rightca = "meineCA"
  rightid = xxx.yyy.de
  reqid = 1000
  rightsubnet = 0.0.0.0/0
  leftsubnet = 0.0.0.0/0
  esp = aes256-sha512-ecp521!
  auto = route
May 28, 2019, 10:23:55 AM #5
Hm, das würde ja eher auf einen Bug in strongswan selbst hinweisen.
Wenn du nur danach googlest kommt nix?

"creating acquire job for policy" "with reqid {0}"
May 28, 2019, 01:03:38 PM #6
Leider nichts, was mich weiterbringt. Was ich da finde ist z.T. mehrere Jahre alt...:-(
May 28, 2019, 09:43:16 PM #7
Gerade gefunden: wie es scheint gibt's dazu zwei Tickets.
https://github.com/opnsense/core/issues/2332
https://github.com/opnsense/core/issues/3443
Hab ich also morgen früh im Büro was zu lesen ;-)
July 30, 2019, 03:16:34 PM #8
Nachdem ich das Thema zwischendurch habe ruhen lassen, nun ein neuer Versuch mit 19.7.1 auf der einen Büchse. Leider immer noch dasselbe Verhalten. Hab auch schon die gesamte IPSec config geklöscht, die Kiste zurückgesetzt und das config-Backup wieder draufgenagelt und das VPN neu konfiguriert. Hat nix gebracht.
July 30, 2019, 04:38:54 PM #9
Ich hab den Fehler auch schon bei Policy based mit Checkpoint gesehen, ich glaub das heißt nicht viel. Stell doch mal alles auf bekannten Standard, also AES 256, SHA256, DH14 und PSK statt cert. Ist es dann besser?
September 19, 2019, 03:11:18 PM #10 Last Edit: September 19, 2019, 03:20:42 PM by GaardenZwerch




Ich versuche gerade das routed IPSec howto nachzustellen und komme nicht weiter: bei der Einrichtung der Gateways habe ich nur meine selbst eingerichteten Interfaces zur Auswahl. Die generierte ipsec.conf beinhaltet kein 'reqid = ' aber ein 'type = tunnel'.
Habe ich irgendwas übersehen? (Ich habe es zigmal kontrolliert).

Die Verbindung ist 'up'

Code Select
       con1{11}:  INSTALLED, TUNNEL, reqid 7, ESP SPIs: cf282e8b_i c874d2a8_o
        con1{11}:  AES_CBC_256/HMAC_SHA2_256_128, 0 bytes_i, 0 bytes_o, rekeying in 30 minutes
        con1{11}:   10.111.1.1/32 === 10.111.1.2/32

ipsec.conf
Code Select
# This file is automatically generated. Do not edit
config setup
  uniqueids = yes

conn con1
  aggressive = no
  fragmentation = yes
  keyexchange = ikev2
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = no
  type = tunnel
 
  left = 1.2.3.4
  right = 4.3.2.1
 
  leftid = 1.2.3.4
  ikelifetime = 86400s
  lifetime = 3600s
  ike = aes256-sha256-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = 4.3.2.1
  rightsubnet = 10.111.1.1
  leftsubnet = 10.111.1.2
  esp = aes256-sha256!
  auto = start

include ipsec.opnsense.d/*.conf
September 19, 2019, 03:12:27 PM #11
Screenshot Phase2 bitte ...
September 19, 2019, 03:23:13 PM #12
Bitte :-)
und Danke

September 19, 2019, 03:25:29 PM #13
Mode muss routed sein, nicht tunnel ...  :o
September 19, 2019, 03:25:38 PM #14
Oh, mann.... Sorry, 'route-based'....
Print
Go Up Pages1 2
User actions