IPSEC keine Verbindung möglich

Started by Syosse, August 13, 2023, 08:54:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 13, 2023, 08:54:58 PM
Hallo zusammen! :)

Ich stehe gerade vor einer Herausforderung und bin langsam am Ende und versucheseit fast einer Woche daran, meine IPSEC-Verbindung zum Laufen zu bringen. Ich habe jede einzelne Einstellung mehr als 15 Mal überprüft und getestet. Es läuft bereits eine IPSEC-Verbindung zu einem anderen Standort, die ich beim ersten Konfigurieren erfolgreich eingerichtet habe. Nun komme ich nicht weiter, da die zweite IPSEC-Verbindung von meinem Standort zu einem externen Standort einfach nicht funktionieren will. Die Einstellung habe ich auch X Mal von der 1 IPSEC Verbindung kopiert zum neuen natürlich mit den anderen Netz und Schlüssel sowie neue Konfiguriert.

Hier ist, was ich bisher konfiguriert habe:

1.) Mein Standort IPSEC Konfiguration:


2.) Externer Standort IPSEC Konfiguration:


Firewall Rules:


Ich hoffe Ihr könnt mir hier weiterhelfen.
Vielen herzlichen Dank...
Gruss Syosse



August 13, 2023, 09:17:23 PM #1
da mir nicht bekannt ist wie deine beiden standorte aufgebaut sind (du scheinst irgend welche vlans zu haben)
würde mir ein grafischer netzwerkplan von beiden standorten helfen
- kannst du mal genauer beschreiben was funktiniert nicht bedeitet (kommt die verbindung nicht zustande, geht ping nicht)?
- was sagen denn die LOGS?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 13, 2023, 09:43:45 PM #2
Quote from: micneu on August 13, 2023, 09:17:23 PM
da mir nicht bekannt ist wie deine beiden standorte aufgebaut sind (du scheinst irgend welche vlans zu haben)
würde mir ein grafischer netzwerkplan von beiden standorten helfen
- kannst du mal genauer beschreiben was funktiniert nicht bedeitet (kommt die verbindung nicht zustande, geht ping nicht)?
- was sagen denn die LOGS?


Vielen Dank für die Hilfe.

Mein Standort :

WWW->Modem->Opnsense->VLANBüro und VLANGuest

Externer Standort: WWW->Modem-> Opnsense-> VLANMGMT und VLANBüro

Mein Standort: OPNsense 23.7.1_3-amd64
Externer Standort: OPNsense 23.7.1_3-amd64

Ich habe die Logs bei IPSEC ausgewertet es zeigt mir 0 Verbindungen an.

Bei IPsec Statusübersicht zeigt es mir einen roten Haken an und ich kann keine Geräte ansprechen beim externen Netz sprich kein Https von Opnsense oder remote etc was bei der 1 IPSEC Verbindung einwandfrei klappt.

Gruss Syosse

August 14, 2023, 04:55:05 PM #3
Hast Du an beiden Standorten feste IP-Adressen?

Bei mir gibt es folgende Konfiguration:

                              Standort A (dynamisch)  //   Standort B (fest)
------------------------------------------------------------------------------
Meine Kennung:       Bedeutender Name        //    IP-Adresse
Peer Identifizierer:   IP-Adresse                    //    Bedeutender Name

Viele Grüße

August 14, 2023, 11:22:03 PM #4
Vielen Dank für die Hilfe.

Ja, an beiden Standorten sind Fixe IP hinterlegt. Hab es immer wieder geprüft.
Das Komische ist, beim Externen Standort habe ich Openvpn und Wireguard eingerichtet und beides läuft einwandfrei nur das IPSEC macht nicht mit:(

Gruss Syosse
September 20, 2023, 04:19:06 PM #5
Jemand noch ne Idee oder hätte jemand Zeit und lust das bei mir anzuschauen würde auch gerne als gegenleistung was spenden  ;D
September 20, 2023, 09:37:52 PM #6 Last Edit: September 20, 2023, 10:02:25 PM by Monviech
Troubleshooting Tips:

Auf beiden Seiten in die SSH Shell gehen, 8 auswählen und "tcpdump -i wan_interface port 500 or port 4500 -n" ausführen. wan_interface mit den jeweiligen WAN Interface Namen ersetzen. Den kann man mit "ifconfig" herausfinden.

Tunnel starten und schauen ob die Pakete von der einen auf die andere Firewall gehen, und zurück.

Wenn da was nicht geht, Firewall überprüfen das UDP 500, 4500 und ESP zugelassen ist.

Wenn Pakete hin und zurück kommen, auf beiden Seiten noch ein SSH Fenster aufmachen und mit "tail -f /var/log/ipsec/latest.log" schauen was in die Logdateien geschrieben wird. Da erkennt man dann was für Fehler es gibt.

Der klassiker wäre "no proposal chosen" wenn die Verschlüsselungsparameter nicht übereinstimmen, oder "can't decrypt payload" wenn die psks nicht übereinstimmen, oder "no peer config found" wenn die local und remote ID nicht stimmen. Gibt noch mehr Fehler aber das sind die häufigsten.

Einfach mal ausprobieren, daran lernt man viel über Ipsec.

Edit: der Haken Ipsec aktivieren muss auf beiden Seiten an sein, sonst passiert auch nichts. Passierte mir einmal, bin fast Wahnsinnig geworden. :)
Hardware:
DEC740
September 23, 2023, 05:48:25 PM #7
Kann mir jemand einen Revolver organisieren oh man!!
Ich hab mich jedesmal auf den Button Ipsec aktivieren unter Ipsec Tunnel Setting fokussiert und den mehrmals deaktiviert und aktiviert jedoch gibt es noch ein Button unter Verbindungen!!!!!

Es funktioniert nun.

Das wars meine Nerven sind am Ende.
Vielen herzlichen Dank an alle!
Print
Go Up Pages1
User actions