Palo Alto unknown IKEv2 Peer
Hallo,
hat jemand mal ein IPsec VPN zwischen einer Palo Alto (PA-220) und einer OPNsense (24.7.12) zum laufen bekommen?
Ich habe hier leider die unrühmliche Aufgabe eine veraltete PA anzubinden und ich bekomme es ums verrecken nicht hin. Ich habe Zugriff auf diese. Nicht nur das Design und Funktion direkt aus der Hölle zu kommen scheinen, ist bei meiner zwei Tage andauernden Recherche einige Abgründe zu Tage gekommen. PA hatte da wohl in der Vergangenheit öfters Probleme mit verschiedenen Herstellern. Ist mir bisschen schleierhaft was da als "Enterprise" verkauft wurde. Der Commit der Einstellungen dauert geschlagene 10 Minuten. Ist das normal?
Ich habe verschiedene Einstellungen probiert und mittlerweile wieder auf die ursprüngliche Config zurück und dort jetzt mehrmals penibelst auf gleiche Config geachtet, doch leider klappt nach Ablauf von der Lifetime der Phase 2 das Rekeying nicht. Der VTI-Tunnel ist ansonsten funktionell und macht was er soll. Wenn ich ihn manuell wieder anstarte geht alles wieder.
In der PA steht unter Monitor folgendes:
Das habe ich überprüft. Unter Network>Network Profiles>IKE Gateways wurde die OPNsense explizit mit "IKEv2 only mode" angelegt. Leider geht aus der Meldung nicht wirklich hervor welche Peer Adresse er meinen könnte.
In der OPNsense habe ich folgende Einstellungen gewählt "VPN>IPSEC>Connections":
Phase1
Proposals: default
Version: IKEv2
MOBIKE: Check
Rekey time: 14400
Over Time: 1440
DPD delay: 6s
PSK
Phase2
sha256_96: Check
Mode: Tunnel
Policies: Uncheck
Start Action: Start
Close Action: Start
DPD Action: Start
Reqid: 10
ESP Proposals: default
Rekey time: 7200
Ansonsten ist der Rest default. Manche Sachen wie Rekey time oder DPD delay hatte ich bereits auf default, macht keinen Unterschied.
In der Log von der OPNsense fallen paar Einträge auf:
Wenn ich verschiedene Beiträge aus Foren richtig interpretiert habe, ist das beim VTI-Tunnel normal und die Meldung kommt immer.
Das kommt, wenn das Rekeying fehlgeschlagen ist. Auf der PA sieht man allerdings keine konkreten Einträge zu diesem Ereignis. Meine Vermutung ist das die PA gar nicht selbst versucht, eine Neuverbindung aufzubauen obwohl sie nicht im Passive Mode ist. Einstellungen in der PA:
Ich habe mit der OPNsense bereits zu anderen Gegenstellen erfolgreich IPsec VPNs aufgebaut. Viel Cisco, vielleicht auch mal eine neuere PA, immer über andere Dienstleister. Da hatte ich solche Probleme nicht und es ging meistens prompt.
Jemand eine Idee woran das liegen kann?
Gruß
hat jemand mal ein IPsec VPN zwischen einer Palo Alto (PA-220) und einer OPNsense (24.7.12) zum laufen bekommen?
Ich habe hier leider die unrühmliche Aufgabe eine veraltete PA anzubinden und ich bekomme es ums verrecken nicht hin. Ich habe Zugriff auf diese. Nicht nur das Design und Funktion direkt aus der Hölle zu kommen scheinen, ist bei meiner zwei Tage andauernden Recherche einige Abgründe zu Tage gekommen. PA hatte da wohl in der Vergangenheit öfters Probleme mit verschiedenen Herstellern. Ist mir bisschen schleierhaft was da als "Enterprise" verkauft wurde. Der Commit der Einstellungen dauert geschlagene 10 Minuten. Ist das normal?
Ich habe verschiedene Einstellungen probiert und mittlerweile wieder auf die ursprüngliche Config zurück und dort jetzt mehrmals penibelst auf gleiche Config geachtet, doch leider klappt nach Ablauf von der Lifetime der Phase 2 das Rekeying nicht. Der VTI-Tunnel ist ansonsten funktionell und macht was er soll. Wenn ich ihn manuell wieder anstarte geht alles wieder.
In der PA steht unter Monitor folgendes:
Das habe ich überprüft. Unter Network>Network Profiles>IKE Gateways wurde die OPNsense explizit mit "IKEv2 only mode" angelegt. Leider geht aus der Meldung nicht wirklich hervor welche Peer Adresse er meinen könnte.
In der OPNsense habe ich folgende Einstellungen gewählt "VPN>IPSEC>Connections":
Phase1
Proposals: default
Version: IKEv2
MOBIKE: Check
Rekey time: 14400
Over Time: 1440
DPD delay: 6s
PSK
Phase2
sha256_96: Check
Mode: Tunnel
Policies: Uncheck
Start Action: Start
Close Action: Start
DPD Action: Start
Reqid: 10
ESP Proposals: default
Rekey time: 7200
Ansonsten ist der Rest default. Manche Sachen wie Rekey time oder DPD delay hatte ich bereits auf default, macht keinen Unterschied.
In der Log von der OPNsense fallen paar Einträge auf:
2025-06-26T22:42:08 Informational charon 09[KNL] creating acquire job for policy IP-PA == IP-OPN with reqid {10}
2025-06-26T22:42:04 Informational charon 05[CFG] trap not found, unable to acquire reqid 10Wenn ich verschiedene Beiträge aus Foren richtig interpretiert habe, ist das beim VTI-Tunnel normal und die Meldung kommt immer.
2025-06-26T22:41:11 Informational charon 14[MGR] IKE_SA checkout not successful
2025-06-26T22:41:11 Informational charon 14[MGR] checkout IKEv2 SA by message with SPIs 380483_i 9cd1726c_r
2025-06-26T22:41:11 Informational charon 03[NET] waiting for data on socketsDas kommt, wenn das Rekeying fehlgeschlagen ist. Auf der PA sieht man allerdings keine konkreten Einträge zu diesem Ereignis. Meine Vermutung ist das die PA gar nicht selbst versucht, eine Neuverbindung aufzubauen obwohl sie nicht im Passive Mode ist. Einstellungen in der PA:
Ich habe mit der OPNsense bereits zu anderen Gegenstellen erfolgreich IPsec VPNs aufgebaut. Viel Cisco, vielleicht auch mal eine neuere PA, immer über andere Dienstleister. Da hatte ich solche Probleme nicht und es ging meistens prompt.
Jemand eine Idee woran das liegen kann?
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673576
Url: https://administrator.de/forum/palo-alto-ipsec-vpn-opnsense-673576.html
Ausgedruckt am: 27.06.2025 um 10:06 Uhr
