Problem IPSEC mit Zertifikat

[RockyBaby]

Hallo,

ich habe vor kurzem den Acme-Clienten installiert um automatisch ein Zertifikat für meine Opnsense zu beziehen. Seit dem habe ich ein Problem mit einem VPN-Tunnel.

Wenn ich versuche den Tunnel von meiner Seite her aufzubauen schlägt das fehl wenn allerdings die Gegenstelle den Tunnel aufbaut funktioniert es.

Es wird ein Zertifikatsrequest von der Gegenseite geschickt und auch beantwortet allerdings werden auf dem Tunnel gar keine Zertifikate verwendet.

Ich habe nun gesehen das in strongswan die Option "left|rightsendcert" auf "ifasked" steht. Gibt es eine Möglichkeit diese Option in Opnsense irgendwie zu ändern? Ich habe in der GUI irgendwie keine Möglichkeit gefunden das zu machen.

Danke

[RockyBaby]

Hat hier wirklich niemand eine Idee?

[mimugmail]

Screenshot von Phase1 bitte. Fehler vom Log wären auch interessant

[RockyBaby]

Sorry für die späte Antwort leider andere dringende Sachen im Kopf -_-

Logfile:

2020-06-03T10:38:12   charon: 01[NET] <con1|32> sending packet: from XXX[500] to XXX[500] (80 bytes)
2020-06-03T10:38:12   charon: 01[ENC] <con1|32> generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
2020-06-03T10:38:12   charon: 01[IKE] <con1|32> no trusted RSA public key found for 'XXX'
2020-06-03T10:38:12   charon: 01[CFG] <con1|32> issuer is "XXX"
2020-06-03T10:38:12   charon: 01[CFG] <con1|32> no issuer certificate found for "XXX"
2020-06-03T10:38:12   charon: 01[CFG] <con1|32> using certificate "XXX"
2020-06-03T10:38:12   charon: 01[IKE] <con1|32> received end entity cert "XXX"
2020-06-03T10:38:12   charon: 01[ENC] <con1|32> parsed IKE_AUTH response 1 [ IDr CERT AUTH SA TSi TSr N(MSG_ID_SYN_SUP) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]
2020-06-03T10:38:12   charon: 01[NET] <con1|32> received packet: from XXX[500] to XXX[500] (1392 bytes)
2020-06-03T10:38:12   charon: 01[NET] <con1|32> sending packet: from XXX[500] to XXX[500] (384 bytes)
2020-06-03T10:38:12   charon: 01[ENC] <con1|32> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
2020-06-03T10:38:12   charon: 01[IKE] <con1|32> establishing CHILD_SA con1{402}
2020-06-03T10:38:12   charon: 01[IKE] <con1|32> authentication of 'XXX' (myself) with pre-shared key
2020-06-03T10:38:12   charon: 01[IKE] <con1|32> sending cert request for "XXX"
2020-06-03T10:38:12   charon: 01[IKE] <con1|32> received 1 cert requests for an unknown ca
2020-06-03T10:38:12   charon: 01[CFG] <con1|32> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
2020-06-03T10:38:12   charon: 01[ENC] <con1|32> received unknown vendor ID: dd:47:7b:3d:56:b7:72:0c:b4:21:05:71:f6:d2:06:30
2020-06-03T10:38:12   charon: 01[ENC] <con1|32> parsed IKE_SA_INIT response 0 [ SA KE No N(HTTP_CERT_LOOK) CERTREQ V ]
2020-06-03T10:38:12   charon: 01[NET] <con1|32> received packet: from XXX[500] to XXX[500] (237 bytes)
2020-06-03T10:38:12   charon: 01[NET] <con1|32> sending packet: from XXX[500] to XXX[500] (272 bytes)
2020-06-03T10:38:12   charon: 01[ENC] <con1|32> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2020-06-03T10:38:12   charon: 01[IKE] <con1|32> initiating IKE_SA con1[32] to XXX

[rainerle]

Hi,

als workaround kann man die Einstellungen auf der CLI per Datei übersteuern.

Die generierte Datei für StrongSwan heißt /usr/local/etc/ipsec.conf . Da mal reinkucken, da wird ein include Verzeichnis genannt.

Einstellungen in Dateien im Include-Verzeichnis können die Einstellungen von conn-Einträge dort mit dem gleichen Namen übersteuern.

Besten Gruß
Rainer