[Gelöst] IPsec, ein spezieller Tunnel durcheinander seit Updatenach 18.1.8

Started by jeuler, June 01, 2019, 12:38:53 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 01, 2019, 12:38:53 PM Last Edit: June 05, 2019, 08:27:21 PM by jeuler
Nachdem ich heute eine meiner Firewalls von 18.1.5 auf 18.1.8 geupdatet habe (meine Heim-Firewall), ist genau eine IPsec-Tunnelgruppe durcheinander. Auch das Neuanlegen des Tunnels bringt keine Besserung.

Die Gegenseite ist der letzte noch verbliebene IPcop, dessen Konfig habe ich nicht angetastet.

Die geupdatete OPNsense liegt mit doppeltem NAT hinter einem Unitymedia-Router, dies sehe ich jedoch nicht zwingend als Problem an (alle anderen Tunnels gegen mehrere OPNsense 18.1.5 und eine Sophos UTM rennen problemlos). Ihr LAN ist 172.31.1.1/23, ihr WAN 192.168.150.2/24 mit Gateway 192.168.150.1 (dort ist die OPNsense erfolgreich als DMZ gelistet, und alle möglichen Ports dorthin freigegeben).

Gegen IPcop und Sophos muss ich natürlich mit IKE-V1 arbeiten, also vergleiche ich mal den nicht funktionierenden Tunnel mit dem gegen die Sophos:

/usr/local/etc/ipsec.conf -- hier der Teil gegen die Sophos (es gibt einen weiteren Tunnel in eine andere Zone -- auch OK):
Code Select
conn con6-000
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = none
  left = 192.168.150.2
  right = der.sophos-ihre.url
 
  leftid = meine.noip.me
  ikelifetime = 28800s
  lifetime = 28800s
  ike = aes256-sha256-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = XX.XX.XX.XX                  [in der GUI über "Peer-IP-Adresse" zugewiesen -- geprüft und ok]
  rightsubnet = 172.16.0.0/24
  leftsubnet = 172.31.0.0/23
  esp = aes256-sha256-modp2048!
  auto = route


Und der Teil gegen den IPcop mit den vormals funktionierenden Parametern neu angelegt (auch hier gibt es eine weitere Zone auf der Gegenseite -- diese ist auch nicht OK):
Code Select
conn con5-000
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = none
  left = 192.168.150.2
  right = dem.ipcop-seine.url
 
  leftid = meine.noip.me
  ikelifetime = 3600s
  lifetime = 28800s
  ike = 3des-sha1-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = 172.31.1.1                        [das ist natürlich ein Fehler, in der GUI über "Peer-IP-Adresse" gesetzt]
  rightsubnet = 172.18.0.0/23
  leftsubnet = 172.31.0.0/23
  esp = aes256-sha1-modp2048,aes192-sha1-modp2048,aes128-sha1-modp2048!
  auto = route


Da die "rightid" definitiv fehlerhaft ist -- der Cop soll sich ja nicht mit meiner LAN-IP identifizieren, sondern mit seiner WAN-IP -- editiere ich die Phase 1 neu und definiere den Peer-Identifier über "IP-Adresse" mit der gültigen IP:
Code Select
conn con5-000
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
  mobike = yes
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = none
  left = 192.168.150.2
  right = dem.ipcop-seine.url
 
  leftid = meine.noip.me
  ikelifetime = 3600s
  lifetime = 28800s
  ike = 3des-sha1-modp2048!
  leftauth = psk
  rightauth = psk
  rightid = YY.YY.YY.YY                        [einzige Änderung, jetzt sollte es passen]
  rightsubnet = 172.18.0.0/23
  leftsubnet = 172.31.0.0/23
  esp = aes256-sha1-modp2048,aes192-sha1-modp2048,aes128-sha1-modp2048!
  auto = route


Die unterschiedlichen Verschlüsselungs- und Zeitparameter sind den Grundeinstellungen bzw technischen Möglichkeiten der Gegenstellen geschuldet. Die Konfiguration sollte jetzt folglich passen, tut sie aber nicht.

Also schaue ich in die Statusübersicht und sehe (hier beginnt die Absurdität; die Zuordnungen scheinen komplett durcheinander zu sein):





VerbindungVersionLokale IDLokale IPFerne IDFerne IPLokale AuthFerne Auth
SophosIKEv1meine.noip.me192.168.150.2XX.XX.XX.XXder.sophos-ihre.urlpre-shared keypre-shared key
IPcopIKEv1172.31.1.1dem.ipcop-seine.urlmeine.noip.me192.168.150.2pre-shared keypre-shared key

Fazit: Die Verbindung zur Sophos wie auch zu allen OPNsenses (dort mit IKEv2) passen, nur die zum IPcop ist komplett durcheinander. Ist das ein genereller Fehler? Wie bekomme ich di Verbindung wieder hin (die Idee "Den IPcop sofort wegwerfen" ist leider keine gültige Lösung, das wird leider eine etwas umfangreichere Operation, bis ich den umgestellt bekomme)? Und vor allem: Was gerät durcheinander, sobald ich die anderen OPNsenses aktualisiere?
June 01, 2019, 01:18:21 PM #1
mach doch ein backup der konfiguration und schau dir mal die genau an. und vergleiche sie mal mit den backups deiner vorigen sicherung der konfiguration (kannst du auch gut mit einem diff machen. ich mache es so das ich vor updates und vor änderung der konfiguration immer ein backup mache, so kann ich wieder zurück springen wenn ich es möchte/muss oder will.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
June 01, 2019, 01:38:13 PM #2
Gute Idee, nur leider zu spät, weil ich das Update schon draufgebügelt habe. Und die ipsec.conf erscheint ja auch korrekt. Deswegen bin ich ja so verwirrt.
June 05, 2019, 08:26:47 PM #3
Sooooo. Die con5 hab ich deaktiviert und stattdessen eine neue Verbindung angelegt. Die geht. Zurück bleibt ein Mysterium.
Print
Go Up Pages1
User actions