opnsense ipsec log immer leer

Started by antiager, December 06, 2022, 10:01:58 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3
User actions
December 10, 2022, 12:54:32 PM #15
Ja der steht im moment auf Respond only aber auch wenn ich ihn auf immediate stelle ändert das nichts.

Ja der Lancom ist als initiator konfiguriert "Haltezeit 0".

Was ist das nur!
Danke für die Hilfe!
Thank you for your Help
December 10, 2022, 12:57:55 PM #16
Ja, im moment steht der Tunnel auf "Respond only" stand aber auch schon auf "immediate" - brachte keine Änderung.

Der Lancom ist als initiator konfiguriert "Haltezeit 0".

Danke für die ausdauernde Hilfe!!
Danke für die Hilfe!
Thank you for your Help
December 10, 2022, 01:50:51 PM #17
Eine Haltezeit von 0 beim Lancom bedeutet, dass er nur eine Verbindung aufbaut, wenn Traffic für den VPN-Tunnel aus dem Netz vom Lancom zur OPNsense gesendet wird. Das entspricht dem "Start on traffic" bei der OPNsense.

Du solltest also entweder beim Lancom 9999 eintragen, dann baut der den Tunnel immer wieder auf oder bei der OPNsense  "Start immediate".



December 10, 2022, 07:58:43 PM #18
Sorry Fehler von mir der Lancom steht auf Haltezeit 9999.

Wie gesagt habe ich hier schon verschiedene Varianten probiert.

Also auch schon die Rolllen vertauscht opnsene auf immediate.

Hat aber nicht gebracht. Die opnsense scheint sich ipsec mäßig nicht zu rühren und das log ist immer leer.

Auch ein komplettes löschen des Tunnels und anschließende Neueinrichtung hat nichts verändert.

Ich habe schon die opnsense komplett neu installiert und dann die alte Konfig eingespielt.

Hat nichts gebracht.

Ansonsten scheint alles zu funktionieren außer IPsec :((
Danke für die Hilfe!
Thank you for your Help
December 11, 2022, 07:03:39 AM #19
Die Firewall Ports für ESP, 500/udp und 4500/udp sind auch offen ?
Was steht denn im Lancom Trace ( VPN-Status, VPN-IKE), wenn Du die Verbindung vom Lancom aus initiiert (do /o/m/c <gegenstelle>  ) ?
December 11, 2022, 09:55:55 PM #20
Das sind die Firewall Regeln betr. Ipsec:





Danke für die Hilfe!
Thank you for your Help
December 11, 2022, 10:40:05 PM #21 Last Edit: December 11, 2022, 10:43:41 PM by antiager
Hier der Lancom Output (ich hoffe das ist das benötigte)

[VPN-Debug] 2022/12/10 14:18:48,667  Devicetime: 2022/12/10 14:18:54,439
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: x,x,x,x:500<--x,x,x,x:500
SPIs: 0x6DE68F26C054B54D0000000000000000, Message-ID 0
Payloads: NOTIFY(NO_PROPOSAL_CHOSEN[CHILD_SA])
QUB-DATA: x.x.x.x:500<---x.x.x.x:500 rtg_tag 0 physical-channel WAN(1) vpn-channel 13
transport: [id: 1901538, UDP (17) {outgoing}, dst: 37.24.198.150, tag 0 (U), src: 62.96.194.202, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (6), next hop: 62.96.194.201], local port: 500, remote port: 500
+IKE_SA found and assigned
LCVPEI: IKE-I-General-failure
IKE-TRANSPORT freed

[VPN-Status] 2022/12/10 14:18:48,667  Devicetime: 2022/12/10 14:18:54,439
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: x.x.x.x:500<--x.x.x.x:500
SPIs: 0x6DE68F26C054B54D0000000000000000, Message-ID 0
Received 1 notification:
  +NO_PROPOSAL_CHOSEN (ERROR) -> current request fails
-Required payload IKE_SA (33) not received
-Received notificaion error(s): NOTIFY(NO_PROPOSAL_CHOSEN[IKE_SA])
IKE_SA ('', '' IPSEC_IKE SPIs 0x6DE68F26C054B54D0000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x6DE68F26C054B54D0000000000000000) freed

[VPN-Status] 2022/12/10 14:18:48,667  Devicetime: 2022/12/10 14:18:54,439
VPN: policy manager error indication: OPNSENSE (x.x.x.x), cause: 8703

[VPN-Status] 2022/12/10 14:18:48,667  Devicetime: 2022/12/10 14:18:54,439
VPN: Error: IKE-I-General-failure (0x21ff) for OPNSENSE (x.x.x.x) IKEv2
Danke für die Hilfe!
Thank you for your Help
December 12, 2022, 06:32:38 AM #22
Im Log steht, dass die Proposals nicht übereinstimmen.
Um zu wissen was genau nicht stimmt im Trace auch noch ,,VPN-IKE" anhaken.
December 16, 2022, 04:59:09 PM #23
Problem mit den Proposals ist mittlerweile erledigt.

Ich habe jetzt 3 Tunnel die eigentlich funktionieren (Pings funktionieren in beide Richtungen).

Allerdings beenden sich diese Tunnel irgendwann und gehen meistens erst wieder online wenn ich den IPsec Dienst neustarte.

Leider habe ich aber immer noch kein Log um weiter forschen zu können >:(
Danke für die Hilfe!
Thank you for your Help
December 16, 2022, 05:00:42 PM #24
Spiel mal mit dem Parameter "close action".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 16, 2022, 05:17:14 PM #25
Meine VPN Tunnel zu Lancom Routern laufen ohne spezielle "Close Action"-Einstellungen.
December 16, 2022, 05:19:42 PM #26
Kannst Du mal die Einstellungen in "VPN: IPsec: Advanced Settings" von Highest auf Silent setzen und schauen ob nach einem Restart vom Strongswan dann etwas geloggt wird.
December 16, 2022, 05:23:01 PM #27
Nun habe ich einen Eintrag gefunden!!

syslog-ng   Error opening file for writing; filename='/var/log/ipsec/ipsec_20221216.log', error='Not a directory (20)'
Danke für die Hilfe!
Thank you for your Help
December 16, 2022, 05:47:41 PM #28
Wie sehen denn die Berechtigungen im Filesystem aus ? ls -la /var/log/ipsec
December 16, 2022, 05:58:29 PM #29
-rw-r--r--  1 root  wheel  0 Dec  8 11:37 /var/log/ipsec
Danke für die Hilfe!
Thank you for your Help
Print
Go Up Pages 1 2 3
User actions