IPSec - Statusübersicht / Status Overview ist nach Neustart nicht auf Play

[LHBL2003]

Hallo,

mein IPsec Tunnel funktioniert sehr gut. Allerdings nur wenn unter Statusübersicht / Status Overview das Status Play Symbol rechts von der Verbindung grün ist, also nicht Orange. (X; Play und Info Symbol vorhanden.)

Starte ich die Firewall neu, so ist das Status Play Symbol orange. Die Verbindung ist somit nicht aufgebaut. Ich muss jetzt erst aktiv den Play Button drücken.

Kann man in Opn sense einstellen, dass die Verbindung automatisch aufgebaut wird?

Gruß Denis

[mimugmail]

Tunnel Settings : Phase1 : Start immediate

[Gauss23]

@LHBL2003 ist das Thema erledigt?

Ich habe in meiner täglichen Praxis mit OPNsense ab und zu das Problem, dass IPsec Tunnel nicht wieder gestartet werden.

Daher habe ich mir einen Cronjob erstellt, der den Tunnel überprüft und ggf neu startet.

Dazu habe ich für jede IPsec Verbindung ein Script wie folgt angelegt:

Code Select Expand


#!/usr/local/bin/bash

test=`ipsec status | grep "con1" | grep -A1 "INSTALLED, TUNNEL"`
if [ -z "$test" ]
then
  ipsec up con1
fi


Der Cronjob läuft jede Minute. Kann man sicher auch eleganter lösen.

[mimugmail]

@LHBL2003 ist das Thema erledigt?

Ich habe in meiner täglichen Praxis mit OPNsense ab und zu das Problem, dass IPsec Tunnel nicht wieder gestartet werden.

Daher habe ich mir einen Cronjob erstellt, der den Tunnel überprüft und ggf neu startet.

Dazu habe ich für jede IPsec Verbindung ein Script wie folgt angelegt:

Code Select Expand


#!/usr/local/bin/bash

test=`ipsec status | grep "con1" | grep -A1 "INSTALLED, TUNNEL"`
if [ -z "$test" ]
then
  ipsec up con1
fi


Der Cronjob läuft jede Minute. Kann man sicher auch eleganter lösen.

DPD deaktivieren könnte helfen. Wenn ein Host down ist versucht DPD 5 mal neu zu starten, kommt dann nix wird der Tunnel auf hold gesetzt. Eventuell bringts was ...

[Gauss23]

DPD deaktivieren könnte helfen. Wenn ein Host down ist versucht DPD 5 mal neu zu starten, kommt dann nix wird der Tunnel auf hold gesetzt. Eventuell bringts was ...

Danke für den Hinweis, werde ich auf der Verbindung, die am meisten Probleme bereitet hat, mal testen. DPD war dort tatsächlich an.

Wozu ist DPD gut? Will man, dass eine Verbindung gestoppt wird, nur weil es ein paar Versuche lang nicht geklappt hat?

[mimugmail]

Ne, nur ne Art keepalive. Es gibt keyingtries=%forever, aber leider nicht über die GUI

[LHBL2003]

Tunnel Settings : Phase1 : Start immediate

Hat prima im Testsystem funktioniert und wurde im Prod System übernommen.

Sorry hatte die Beobachtung des Beitrags nicht aktiviert. (Muss man ja scheinbar für eigene immer händisch machen.)

[LHBL2003]

@LHBL2003 ist das Thema erledigt?

Ich habe in meiner täglichen Praxis mit OPNsense ab und zu das Problem, dass IPsec Tunnel nicht wieder gestartet werden.

Daher habe ich mir einen Cronjob erstellt, der den Tunnel überprüft und ggf neu startet.

Dazu habe ich für jede IPsec Verbindung ein Script wie folgt angelegt:

Code Select Expand


#!/usr/local/bin/bash

test=`ipsec status | grep "con1" | grep -A1 "INSTALLED, TUNNEL"`
if [ -z "$test" ]
then
  ipsec up con1
fi


Der Cronjob läuft jede Minute. Kann man sicher auch eleganter lösen.

DPD deaktivieren könnte helfen. Wenn ein Host down ist versucht DPD 5 mal neu zu starten, kommt dann nix wird der Tunnel auf hold gesetzt. Eventuell bringts was ...

Für "Dead Peer Detection" haben wir zufälligerweise deaktivert. Allerdings ist an der stelle der Info Text "DPD aktivieren" auch nicht hilfreich um zu verstehen was da passiert oder nicht passiert.

Wenn kann man dafür anschreiben um ein besseren Infotext vorschlagen zu können?
Den die Info oben ist definitiv hilfreicher, nur nächsten Monat wieder nur schwammig im Kopf.

[LHBL2003]

@mimugmail

Uns ist ein paar mal aufgefallen, das die IPSec Verbindung nicht mehr aufgebaut wird.
Nach klick auf den Play Button wurde diese wieder aufgebaut.
Wir hatten damals die Funktion "Dead Peer Detection" deaktiviert, da du meintest das dies dafür sorgt, das nach 5 Verbindungsversuchen die Verbindung auf HOLD gesetzt wird.

Allerdings wird die Verbindung nach 5 Versuchen scheinbar dennoch auf Hold gesetzt.
Wir setzten jetzt erst einmal das DPD Haken und schauen ob dauerhaft versucht wird eine Verbindung aufzubauen.

Oder erkennst du ein anderes Problem im Log?

Code Select Expand


2021-02-11T09:47:29 charon: 12[CFG] trap not found, unable to acquire reqid 0
2021-02-11T09:47:29 charon: 06[KNL] creating acquire job for policy 222.222.222.222/32 === 111.111.111.111/32 with reqid {0}
2021-02-11T09:47:29 charon: 06[KNL] received an SADB_ACQUIRE with policy id 9661 but no matching policy found
2021-02-11T09:47:26 charon: 06[CFG] trap not found, unable to acquire reqid 0
2021-02-11T09:47:26 charon: 12[KNL] creating acquire job for policy 222.222.222.222/32 === 111.111.111.111/32 with reqid {0}
2021-02-11T09:47:26 charon: 12[KNL] received an SADB_ACQUIRE with policy id 9661 but no matching policy found
2021-02-11T09:47:13 charon: 12[CFG] trap not found, unable to acquire reqid 0
2021-02-11T09:47:13 charon: 06[KNL] creating acquire job for policy 222.222.222.222/32 === 111.111.111.111/32 with reqid {0}
2021-02-11T09:47:13 charon: 06[KNL] received an SADB_ACQUIRE with policy id 9663 but no matching policy found
2021-02-11T09:47:08 charon: 12[CFG] trap not found, unable to acquire reqid 0
2021-02-11T09:47:08 charon: 12[KNL] creating acquire job for policy 222.222.222.222/32 === 111.111.111.111/32 with reqid {0}
2021-02-11T09:47:08 charon: 12[KNL] received an SADB_ACQUIRE with policy id 9661 but no matching policy found
2021-02-11T09:47:05 charon: 12[CFG] trap not found, unable to acquire reqid 0
2021-02-11T09:47:05 charon: 06[KNL] creating acquire job for policy 222.222.222.222/32 === 111.111.111.111/32 with reqid {0}
2021-02-11T09:47:05 charon: 06[KNL] received an SADB_ACQUIRE with policy id 9661 but no matching policy found
2021-02-11T09:47:03 charon: 06[KNL] <con1|35> unable to delete SAD entry with SPI cda60877: No such process (3)
2021-02-11T09:47:03 charon: 06[IKE] <con1|35> giving up after 5 retransmits
2021-02-11T09:46:48 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:46:28 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:46:08 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:46:02 charon: 06[KNL] creating rekey job for CHILD_SA ESP/0xb6ab0e2a/111.111.111.111
2021-02-11T09:45:48 charon: 06[NET] <con1|35> sending packet: from 222.222.222.222[4500] to 111.111.111.111[4500] (336 bytes)
2021-02-11T09:45:48 charon: 06[IKE] <con1|35> retransmit 5 of request with message ID 12
2021-02-11T09:45:46 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:45:26 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:45:06 charon: 09[NET] <con1|35> sending packet: from 222.222.222.222[4500] to 111.111.111.111[4500] (336 bytes)
2021-02-11T09:45:06 charon: 09[IKE] <con1|35> retransmit 4 of request with message ID 12
2021-02-11T09:45:03 charon: 09[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:44:42 charon: 09[NET] <con1|35> sending packet: from 222.222.222.222[4500] to 111.111.111.111[4500] (336 bytes)
2021-02-11T09:44:42 charon: 09[IKE] <con1|35> retransmit 3 of request with message ID 12
2021-02-11T09:44:29 charon: 09[NET] <con1|35> sending packet: from 222.222.222.222[4500] to 111.111.111.111[4500] (336 bytes)
2021-02-11T09:44:29 charon: 09[IKE] <con1|35> retransmit 2 of request with message ID 12
2021-02-11T09:44:22 charon: 09[NET] <con1|35> sending packet: from 222.222.222.222[4500] to 111.111.111.111[4500] (336 bytes)
2021-02-11T09:44:22 charon: 09[IKE] <con1|35> retransmit 1 of request with message ID 12
2021-02-11T09:44:18 charon: 09[NET] <con1|35> sending packet: from 222.222.222.222[4500] to 111.111.111.111[4500] (336 bytes)
2021-02-11T09:44:18 charon: 09[ENC] <con1|35> generating CREATE_CHILD_SA request 12 [ N(REKEY_SA) N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
2021-02-11T09:44:18 charon: 09[IKE] <con1|35> establishing CHILD_SA con1{237} reqid 22
2021-02-11T09:44:18 charon: 06[KNL] creating rekey job for CHILD_SA ESP/0xc9ae9fa6/222.222.222.222
2021-02-11T09:44:12 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:43:52 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:43:32 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:43:12 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:42:52 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:42:32 charon: 06[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:42:11 charon: 11[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:41:51 charon: 11[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:41:31 charon: 11[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:41:11 charon: 11[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:40:51 charon: 11[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:40:31 charon: 11[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]
2021-02-11T09:40:11 charon: 11[IKE] <con1|35> sending keep alive to 111.111.111.111[4500]


Vielen Dank für weitere Informationen

[LHBL2003]

Ich habe mal ein Screen von der Konfig angehangen, wenn man DPD aktiviert.
Mir ist noch nicht schlüssig was genau passiert wenn ich folgende Konfiguration vornehme.

Sekunden = "10"
Wiederholungen = "5"
DPD action = "Restart the tunnel"

Ich hoffe die interpretation wäre folgende:

Ist die Verbindung gestört, dann wird alle 10 Sekunden versucht die Verbindung wieder aufzunehmen. Ist dies nach dem 5. Versuch weiterhin nicht möglich, so wird der Tunnel vollständig getrennt und neu aufgebaut.

Ist die Interpretation richtig?
Was passiert wenn der Restart des Tunnels ebenso nicht erfolgreich verläuft?
Bleibt dann die Verbindung weiterhin gretrennt oder versucht er dann das 10x5-->Restart spiel bis es irgendwann wieder klappt?

Danke für weitere Infos.

[mimugmail]

Das stell mal Wiederholungen auf 20, bin mir jetzt nicht sicher ob er nach 5 mal Down restart macht oder nur 5 mal wiederholt und dann aufhört.