Aktivierung von IPSEC Connection ->Status Overview leer ->Tunnel keine Funktion

Started by phiba, July 11, 2025, 09:24:38 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 11, 2025, 09:24:38 AM
Versions
OPNsense 25.1.9_2-amd64
FreeBSD 14.2-RELEASE-p3
OpenSSL 3.0.16


Nach Aktivierung einer IPSEC Connection sehe ich im Status Overview keine Verbindungen mehr, kurz darauf funktioniert der einzige bestehende Tunnel nicht mehr und kann erst wieder nach einem Neustart der Firewall benutzt werden.

Ich habe schon viel über einen Bug in älteren Versionen gelesen der durch Skripte etc gelöst werden konnte. Ist das tatsächlich immer noch ein aktuelles Problem?
July 11, 2025, 09:47:16 AM #1
Wie ist der Tunnel denn genau konfiguriert? Und wie sieht die Netzwerk-Topologie insgesamt aus? Ohne diese Details lässt sich die Frage kaum beantworten.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2025, 10:16:56 AM #2
Policy based IKEv2 mit PSK

aes256-sha512-ecp521 DH21

Glasmodem static IP -> FritzBox -> OPNsense WAN

Phase 2
192.168.80.0/24 -> Outbound NAT 10.10.80.0/24 mit 192.168.33.0/24 verbunden



Wenn ich den Tunnel identisch dazu im Legacy aufbaue klappt alles.
July 11, 2025, 10:24:57 AM #3
Screenshots der vollständigen Konfiguration - das ist viel zu wenig Info. Und dazu die gesamte involvierte Netz-Topologie: alle Interfaces, alle Netzwerke ...

Wie soll man das sonst debuggen?

Verdacht: einer deiner Phase 2 Policies überlappt mit lokalen Netzen und setzt diese damit "außer Gefecht".


Weitere gute Möglichkeit zur Diagnose: vergleiche die funktionierende (legacy) swanctl.conf mit der, die nicht funktioniert (instances).
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2025, 10:43:30 AM #4
Entschuldige, ich wollte mich vage halten, da ich davon ausgegangen bin, dass es sich um ein bekanntes Problem handelt. Gefunden habe ich dazu:

https://forum.opnsense.org/index.php?topic=29388.msg141943#msg141943
https://www.reddit.com/r/opnsense/comments/1bep4s6/ipsec_status_overview_loading/

Und genau das ist dann auch meine Frage:

Wie soll man das debuggen?

Die conf schau ich mir gleich an.
July 11, 2025, 10:43:57 AM #5
Hier noch die Interfaces:
July 11, 2025, 10:47:47 AM #6
Quote from: phiba on July 11, 2025, 10:43:30 AMEntschuldige, ich wollte mich vage halten, da ich davon ausgegangen bin, dass es sich um ein bekanntes Problem handelt.

Jedes Problem ist einzigartig bis zum Beweis des Gegenteils. Also es gibt Installationen mit Dutzenden von funktionierenden "Instances" Tunnel - zum Beispiel auch hier bei mir. Geh immer erst mal davon aus, dass es sich um ein Problem mit deiner speziellen Konfiguration handelt.

Ich gucks mir später im Detail an.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 11, 2025, 10:52:09 AM #7
Da habe ich mich dann doch zu vage ausgedrückt. Auch bei mir läuft ein funktionierender Tunnel. Der Problemtunnel sollte zusätzlich in Betrieb genommen werden. Weitere werden folgen.
Print
Go Up Pages1
User actions