Author Topic: opnsense ipsec log immer leer (Read 4426 times)

antiager · « **Reply #15 on:** December 10, 2022, 12:54:32 pm »

Ja der steht im moment auf Respond only aber auch wenn ich ihn auf immediate stelle ändert das nichts.

Ja der Lancom ist als initiator konfiguriert "Haltezeit 0".

Was ist das nur!

antiager · « **Reply #16 on:** December 10, 2022, 12:57:55 pm »

Ja, im moment steht der Tunnel auf "Respond only" stand aber auch schon auf "immediate" - brachte keine Änderung.

Der Lancom ist als initiator konfiguriert "Haltezeit 0".

Danke für die ausdauernde Hilfe!!

atom · « **Reply #17 on:** December 10, 2022, 01:50:51 pm »

Eine Haltezeit von 0 beim Lancom bedeutet, dass er nur eine Verbindung aufbaut, wenn Traffic für den VPN-Tunnel aus dem Netz vom Lancom zur OPNsense gesendet wird. Das entspricht dem "Start on traffic" bei der OPNsense.

Du solltest also entweder beim Lancom 9999 eintragen, dann baut der den Tunnel immer wieder auf oder bei der OPNsense "Start immediate".

antiager · « **Reply #18 on:** December 10, 2022, 07:58:43 pm »

Sorry Fehler von mir der Lancom steht auf Haltezeit 9999.

Wie gesagt habe ich hier schon verschiedene Varianten probiert.

Also auch schon die Rolllen vertauscht opnsene auf immediate.

Hat aber nicht gebracht. Die opnsense scheint sich ipsec mäßig nicht zu rühren und das log ist immer leer.

Auch ein komplettes löschen des Tunnels und anschließende Neueinrichtung hat nichts verändert.

Ich habe schon die opnsense komplett neu installiert und dann die alte Konfig eingespielt.

Hat nichts gebracht.

Ansonsten scheint alles zu funktionieren außer IPsec

(

atom · « **Reply #19 on:** December 11, 2022, 07:03:39 am »

Die Firewall Ports für ESP, 500/udp und 4500/udp sind auch offen ?
Was steht denn im Lancom Trace ( VPN-Status, VPN-IKE), wenn Du die Verbindung vom Lancom aus initiiert (do /o/m/c <gegenstelle> ) ?

antiager · « **Reply #20 on:** December 11, 2022, 09:55:55 pm »

Das sind die Firewall Regeln betr. Ipsec:

antiager · « **Reply #21 on:** December 11, 2022, 10:40:05 pm »

Hier der Lancom Output (ich hoffe das ist das benötigte)

[VPN-Debug] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: x,x,x,x:500<--x,x,x,x:500
SPIs: 0x6DE68F26C054B54D0000000000000000, Message-ID 0
Payloads: NOTIFY(NO_PROPOSAL_CHOSEN[CHILD_SA])
QUB-DATA: x.x.x.x:500<---x.x.x.x:500 rtg_tag 0 physical-channel WAN(1) vpn-channel 13
transport: [id: 1901538, UDP (17) {outgoing}, dst: 37.24.198.150, tag 0 (U), src: 62.96.194.202, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (6), next hop: 62.96.194.201], local port: 500, remote port: 500
+IKE_SA found and assigned
LCVPEI: IKE-I-General-failure
IKE-TRANSPORT freed

[VPN-Status] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: x.x.x.x:500<--x.x.x.x:500
SPIs: 0x6DE68F26C054B54D0000000000000000, Message-ID 0
Received 1 notification:
+NO_PROPOSAL_CHOSEN (ERROR) -> current request fails
-Required payload IKE_SA (33) not received
-Received notificaion error(s): NOTIFY(NO_PROPOSAL_CHOSEN[IKE_SA])
IKE_SA ('', '' IPSEC_IKE SPIs 0x6DE68F26C054B54D0000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x6DE68F26C054B54D0000000000000000) freed

[VPN-Status] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
VPN: policy manager error indication: OPNSENSE (x.x.x.x), cause: 8703

[VPN-Status] 2022/12/10 14:18:48,667 Devicetime: 2022/12/10 14:18:54,439
VPN: Error: IKE-I-General-failure (0x21ff) for OPNSENSE (x.x.x.x) IKEv2

atom · « **Reply #22 on:** December 12, 2022, 06:32:38 am »

Im Log steht, dass die Proposals nicht übereinstimmen.
Um zu wissen was genau nicht stimmt im Trace auch noch „VPN-IKE“ anhaken.

antiager · « **Reply #23 on:** December 16, 2022, 04:59:09 pm »

Problem mit den Proposals ist mittlerweile erledigt.

Ich habe jetzt 3 Tunnel die eigentlich funktionieren (Pings funktionieren in beide Richtungen).

Allerdings beenden sich diese Tunnel irgendwann und gehen meistens erst wieder online wenn ich den IPsec Dienst neustarte.

Leider habe ich aber immer noch kein Log um weiter forschen zu können

Patrick M. Hausen · « **Reply #24 on:** December 16, 2022, 05:00:42 pm »

Spiel mal mit dem Parameter "close action".

atom · « **Reply #25 on:** December 16, 2022, 05:17:14 pm »

Meine VPN Tunnel zu Lancom Routern laufen ohne spezielle "Close Action"-Einstellungen.

atom · « **Reply #26 on:** December 16, 2022, 05:19:42 pm »

Kannst Du mal die Einstellungen in "VPN: IPsec: Advanced Settings" von Highest auf Silent setzen und schauen ob nach einem Restart vom Strongswan dann etwas geloggt wird.

antiager · « **Reply #27 on:** December 16, 2022, 05:23:01 pm »

Nun habe ich einen Eintrag gefunden!!

syslog-ng Error opening file for writing; filename='/var/log/ipsec/ipsec_20221216.log', error='Not a directory (20)'

atom · « **Reply #28 on:** December 16, 2022, 05:47:41 pm »

Wie sehen denn die Berechtigungen im Filesystem aus ? ls -la /var/log/ipsec

antiager · « **Reply #29 on:** December 16, 2022, 05:58:29 pm »

-rw-r--r-- 1 root wheel 0 Dec 8 11:37 /var/log/ipsec

Author Topic: opnsense ipsec log immer leer (Read 4426 times)

antiager

Re: opnsense ipsec log immer leer

antiager

Re: opnsense ipsec log immer leer

atom

Re: opnsense ipsec log immer leer

antiager

Re: opnsense ipsec log immer leer

atom

Re: opnsense ipsec log immer leer

antiager

Re: opnsense ipsec log immer leer

antiager

Re: opnsense ipsec log immer leer

atom

Re: opnsense ipsec log immer leer

antiager

Re: opnsense ipsec log immer leer

Patrick M. Hausen

Re: opnsense ipsec log immer leer

atom

Re: opnsense ipsec log immer leer

atom

Re: opnsense ipsec log immer leer

antiager

Re: opnsense ipsec log immer leer

atom

Re: opnsense ipsec log immer leer

antiager

Re: opnsense ipsec log immer leer