[GELÖST] Nach update auf 18.1.7 funktioniert mobiler ipsec-client nicht mehr

[markusd]

Guten Tag zusammen,
nach dem Update auf 18.1.7 spuckt mein zyxel vpn client folgende Fehlermeldung aus:
Die Remote-Netzwerkadresse (Phase2) ist falsch.
Invalid ID Information Error

Ich könnte mir vorstellen es hat etwas mit dieser Änderung zu tun:
https://github.com/opnsense/core/issues/2334

Site2Site-IPsec-VPNs betrifft diese Problem nicht

Wo / wie kann ich weiter suchen?
(Ich habe jetzt erst mal ein downgrade auf 18.1.6 durchgeführt und vpn funktioniert wieder)

Danke und Gruß

Markus

[franco]

Hi Markus,

Wir bräuchten ein Diff von /usr/local/etc/ipsec.conf wenn es geht und wenn es nicht geht.

Also bitte noch mal auf 18.1.7 updaten und den Patch für #2334 gezielt einschalten / ausschalten (gleiches Kommando):

# opnsense-patch f9d0304

Hmm, geht aber auch auf 18.1.6... egal wie herum.


Grüsse
Franco

[markusd]

Hallo Franco, danke für die schnelle Antwort!
Ich werde das testen sobald es geht!

Danke

Markus

[markusd]

ok,
 diff ipsec.conf18.1.17_nach_update ipsec.conf18.1.17_nach_revert_f9d0304
27a28
>   rightsubnet = 192.168.2.0/24


meine funtionierende ipsec.conf:
# This file is automatically generated. Do not edit
config setup
  uniqueids = yes
  charondebug=""

conn con1
  aggressive = no
  fragmentation = yes
  keyexchange = ikev1
 
  reauth = yes
  rekey = yes
  forceencaps = no
  installpolicy = yes
  type = tunnel
  dpdaction = clear
  dpddelay = 10s
  dpdtimeout = 60s
  left = IP...
  right = %any
  leftid = IP...
  ikelifetime = 28800s
  lifetime = 28800s
  rightsourceip = 192.168.2.0/24
  ike = aes256-sha1-modp1536!
  leftauth = psk
  rightauth = psk
  rightsubnet = 192.168.2.0/24
  leftsubnet = 192.168.1.0/24
  esp = aes256-sha1-modp1536,aes256-sha256-modp1536,aes256-sha384-modp1536,aes256-sha512-modp1536!
  auto = add

Danke
Gruß

Markus

[franco]

Hallo Markus,

"diff -u" wäre genauer, aber ich denke rightsubnet ist einfach doppelt?


Grüsse
Franco

[markusd]

Nee, es scheint mir, als fehle es einfach nach dem update...

diff -u ipsec.conf18.1.17_nach_update ipsec.conf18.1.17_nach_revert_f9d0304
--- ipsec.conf18.1.17_nach_update  2018-05-08 10:37:45.463639018 +0200
+++ ipsec.conf18.1.17_nach_revert_f9d0304  2018-05-08 10:42:34.126132725 +0200
@@ -25,6 +25,7 @@
   ike = aes256-sha1-modp1536!
   leftauth = psk
   rightauth = psk
+  rightsubnet = 192.168.2.0/24
   leftsubnet = 192.168.1.0/24
   esp = aes256-sha1-modp1536,aes256-sha256-modp1536,aes256-sha384-modp1536,aes256-sha512-modp1536!
   auto = add

[franco]

Ah danke, ich geb das so weiter. Weiss nicht genau welcher Randfall hier zutrifft, aber denke für 18.1.8 ist es dann wieder ok.

Ggf. gibt es noch eine Rückfrage zum Setup.


Danke,
Franco

[markusd]

TipoTop
Vielen Dank!

Gruß

Markus

[markusd]

Hallo,
leider nach dem update auf 18.1.8 das gleiche Bild...
Ich habe jetzt wieder den revert gemacht und dann gehts erstmal wieder...

Gruß

Markus

[markusd]

Hallo,
mich würde aber doch interessieren, ob sich da noch etwas ändert oder ob ich etwas an meiner Konfig ändern muss, damit das in Zukunft zuverlässig funktioniert.

Gibt es weitere config-dateien, die ich posten sollte

Danke
Gruß

Markus

[franco]

Hallo Markus,

Sorry für die späte Antwort.

Wir hatten das intern besprochen und es klingt so als wäre das eine Site-to-Site Config bei dir die als Mobile eingerichtet wurde und deswegen Probleme verursacht. Die Umkonfiguration sollte nur OPNsense-seitig vorzunehmen sein. Sollte dabei ein Problem auftreten müssten wir eher suchen warum es da nicht weitergeht.

https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html


Grüsse
Franco

[markusd]

Hallo Franco,
kein Problem, ich war nur verunsichert, wie das dann langfristig läuft..
Du meinst, der Zyxel-Software-Client verhält sich wie eine Site2Site-Verbindung?

Wenn sich das trotz dynamischer Ips der Client`s so einrichten lässt, werde ich es versuchen.

Vielen Dank!

Gruß

Markus

[franco]

Hallo Markus,

Eigentlich schon. Wie gesagt, sollte es Probleme damit geben müssten wir schauen warum diese Alternative nicht korrekt funktioniert. Andere Reports ausser diesem haben wir nicht, sodass der Lösungsweg vielleicht etwas unkonventioneller ist.


Grüsse
Franco

[markusd]

Ok, einziger Report...dann liegt ja evtl doch eine Fehlconfig vor...
Haben (evtl. fehlerhafte) Nat-Regeln Einfluss auf den Tunnelaufbau?
Ich benutze carp und habe irgendwann mal eine Lösung gesucht, aus dem vpn-Netz auch auf den backup-node zu kommen und weitere Regeln nach dieser Anleitung erstellt:
https://doc.pfsense.org/index.php/CARP_Secondary_Unreachable_Over_VPN

Ich kann das ja ganz einfach mal raus nehmen und bei Gelegenheit testen.
Danke jedenfalls für die Mühen

Gruß

Markus

[markusd]

Die Nat-Regeln waren es jedenfalls nicht...