chris1986d
Goto Top

IPsec OPNsense-Sophos

Guten Abend zusammen,

wir haben bei uns aktuell ein Problem bei einem IPsec Tunnel zwischen einer OPNsense und einer Sophos UTM.
Der Tunnel hat schonmal funktioniert und nun baut er sich nicht wieder auf face-sad

Habt ihr eine Idee, woran das liegen könnte?

Hier das Protokoll der OPNsense (IP: XXX.XXX.XXX.66)
2022-04-27T21:19:30 Informational charon 14[JOB] <1> deleting half open IKE_SA with XXX.XXX.XXX.200 after timeout
2022-04-27T21:19:24 Informational charon 14[NET] <1> sending packet: from XXX.XXX.XXX.66[500] to XXX.XXX.XXX.200[500] (537 bytes)
2022-04-27T21:19:24 Informational charon 14[IKE] <1> received retransmit of request with ID 0, retransmitting response
2022-04-27T21:19:24 Informational charon 14[ENC] <1> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2022-04-27T21:19:24 Informational charon 14[NET] <1> received packet: from XXX.XXX.XXX.200[500] to XXX.XXX.XXX.66[500] (910 bytes)
2022-04-27T21:19:11 Informational charon 14[NET] <1> sending packet: from XXX.XXX.XXX.66[500] to XXX.XXX.XXX.200[500] (537 bytes)
2022-04-27T21:19:11 Informational charon 14[IKE] <1> received retransmit of request with ID 0, retransmitting response
2022-04-27T21:19:11 Informational charon 14[ENC] <1> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2022-04-27T21:19:11 Informational charon 14[NET] <1> received packet: from XXX.XXX.XXX.200[500] to XXX.XXX.XXX.66[500] (910 bytes)
2022-04-27T21:19:04 Informational charon 14[NET] <1> sending packet: from XXX.XXX.XXX.66[500] to XXX.XXX.XXX.200[500] (537 bytes)
2022-04-27T21:19:04 Informational charon 14[IKE] <1> received retransmit of request with ID 0, retransmitting response
2022-04-27T21:19:04 Informational charon 14[ENC] <1> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2022-04-27T21:19:04 Informational charon 14[NET] <1> received packet: from XXX.XXX.XXX.200[500] to XXX.XXX.XXX.66[500] (910 bytes)
2022-04-27T21:19:00 Informational charon 14[NET] <1> sending packet: from XXX.XXX.XXX.66[500] to XXX.XXX.XXX.200[500] (537 bytes)
2022-04-27T21:19:00 Informational charon 14[ENC] <1> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
2022-04-27T21:19:00 Informational charon 14[IKE] <1> sending cert request for …
2022-04-27T21:19:00 Informational charon 14[IKE] <1> sending cert request for "…
2022-04-27T21:19:00 Informational charon 14[IKE] <1> sending cert request for "….
2022-04-27T21:19:00 Informational charon 14[CFG] <1> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048
2022-04-27T21:19:00 Informational charon 14[IKE] <1> XXX.XXX.XXX.200 is initiating an IKE_SA
2022-04-27T21:19:00 Informational charon 14[ENC] <1> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
2022-04-27T21:19:00 Informational charon 14[NET] <1> received packet: from XXX.XXX.XXX.200[500] to XXX.XXX.XXX.66[500] (910 bytes)
2022-04-27T21:18:17 Informational charon 05[CFG] received stroke: route 'con1'
2022-04-27T21:18:17 Informational charon 01[CFG] added configuration 'con1'

Content-ID: 2622560855

Url: https://administrator.de/forum/ipsec-opnsense-sophos-2622560855.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

the-buccaneer
the-buccaneer 27.04.2022 um 23:10:43 Uhr
Goto Top
Moin!

Tritt das auf wenn der Tunnel (z.B. nach Reboot) erstmalig aufgebaut wird oder nach Ablauf der Lifetime der IKE SA's?
Jedenfalls kommt von der Sophos hierauf
 sending packet: from XXX.XXX.XXX.66[500] to XXX.XXX.XXX.200[500] (537 bytes) 
gar keine oder keine gültige Antwort.

Prüfe nochmal alle Einstellungen der Phase 1 auf beiden Seiten.

Evtl. sagt die Sophos noch was?

VG
Buc
Chris1986D
Lösung Chris1986D 30.04.2022 um 15:15:20 Uhr
Goto Top
Ein Neustart der Sophos hat geholfen 🙂

Viele Grüße
Christoph
the-buccaneer
the-buccaneer 10.05.2022 um 21:34:24 Uhr
Goto Top
face-wink

Danke für die Rückmeldung!
Bitte auch auf "gelöst" setzen!

VG
Buc