Problem bei mehreren IPSEC VPN gleichzeitig

[cds]

Hallo zusammen!
Ich bin gerade in den letzten Zügen meiner Umstellung von einer Zywall USG auf OPNsense.

In meiner Config sind zwei IPSEC VPNs, bei denen ich ein sehr komisches Verhalten habe: Das Routing funktioniert immer nur zu EINEM von beiden, die Verbindung wird aber bei beiden als aktiv angezeigt.

Kurzer Umriss der Konfig:

Lokales Netz: 10.0.0.0/8

Remote 1: 10.10.0.0/16
Remote 2: 10.11.0.0/16

Wenn nur eine der beiden Phase 1 aktiviert ist, dann funktioniert die Verbindung und das Routing einwandfrei.
Sobald aber beide aktiv sind, funktioniert nur eine der beiden, wobei bei der nicht-funktionalen im Status zwar eine aktive Verbindung, aber bei den Details keine weiteren Infos angezeigt werden.
Die Konfiguration hat auf der USG wunderbar funktioniert
Irgendwelche Tips?

Carsten

[franco]

Es funktioniert immer nur der letzte Tunnel, stimmt das?

Dann Phase 1 "Tunnel Isolation" aktivieren.


Grüsse
Franco

[cds]

Hallo!

Ja, es ist immer der letzte Tunnel der funktioniert.
"Tunnel Isolation" ändert daran leider nichts.

Gruß
Carsten

[Patrick M. Hausen]

Kannst du das lokale Netz mal so verkleinern, dass es nicht mit den beiden Remotes überlappt?

[cds]

Leider nicht ohne weiteres - dann müsste ich ja die Konfig auf den Remotes auch ändern.
Die sind leider recht weit weg, so das ich Bedenken habe mich auszusperren ....

[Patrick M. Hausen]

OK, das war jetzt auch mehr so ein Schuss aus der Schrotflinte. Das ist natürlich prinzipiell möglich, so eine Konfiguration. Man kann auch 0.0.0.0/0 in einer SA haben - natürlich nur auf einer Seite ;-)

Dann musst du wohl das Logging hochdrehen und mal die Methode des scharfen Ansehens einsetzen.

[cds]

OK,
habe ganz scharf geschaut, und das was mir verdächtig vorkommt ist folgende Meldung, nur was sagt mir das?

3[NET] ignoring IKE_SA setup from 77.4.65.219, per-IP half-open IKE_SA limit of 5 reached

Das würde genau die Verbindung betreffen die nicht geht ....

[Patrick M. Hausen]

Die Gegenseite schickt ein "open" aber wir haben schon einen solchen Vorgang am laufen. Bist du hinter NAT? Sind die Gegenstellen hinter NAT? Ist NAT-T aktiviert?

[cds]

Hallo!
Ich bin auf keiner Seite hinter NAT, entspechend ist NAT-T auch nicht aktiviert.
Exakt diese Konfig lief mit der Zyxel USG...

[Patrick M. Hausen]

Mach ma tcpdump und guck, ob deine Seite Antworten an die Gegenseite schickt etc. Evtl. versackt da ja was.

Ein Log/Debug auf der Gegenseite ist auch hilfreich.

[cds]

Hallo Again...

so, ich konnte das Problem jetzt isolieren.
Offensichtlich hat der IPSec Server ein Problem damit wenn zwei Phase1 Konfigs den selben Peer Identifier verwenden (ich hatte aus Bequemlichkeit bei beiden 0.0.0.0 eingetragen), obwohl der Peer ja schon eindeutig durch die Source-Address identifiziert wurde. Bei der ZyWall hat das funktioniert hat.

Gruß
Carsten

[Patrick M. Hausen]

OK - ich hab noch nie was anderes als genau die Peer ID eingetragen, meistens die IP-Adresse bei Site2Site, klar. Ich bin bisher davon ausgegangen, wenn die IDs nicht matchen, kommt keine Verbindung zustande.

[cds]

Naja,
die Auswahl der korrekten Phase1 - nebst zugehörigem PSK - funktioniert ja wohl auch auf Basis der öffentlichen Client IP. Warum der Rest dann nicht ist mir nicht einsichtig.