PFsense 2.3 site-to-site Problem
Hallo zusammen,
ich habe ein für mich unerklärliches Problem. Ich habe eine site-to-site ipsec Verbindung mit 2 PFSense (aktuelle Version) auf jeweils einem APU Board laufen. Diese Verbindung lief soweit ohne Probleme. Bisher kamm es einmal vor, dass die Verbindung ausgestiegen war und nach einem Reboot der Firewall von Standort A auch alles wieder lief. Nun habe ich wieder einen Abbruch der Verbindung und bekomme keinen Tunnel mehr zu Stande. Es wurde nichts an der Firewall verändert. Ein Neustart beider Geräte hat ebenfalls nichts gebracht. Ich habe unter Status -> IPsec einfach connecting stehen. Leider ist VPN nicht wirklich mein Fachgebiet und ich bin recht viel am Googeln bzgl. der Logfiles. Vielleicht bzw. ziemlich sicher kennt sich jemand damit um Welten besser aus und hätte eventuell einen Anhaltspunkt für mich. Das einzige was ich geändert hatte unter System -> Advanced -> Firewall & NAT sind die UDP Timeouts, da ich auf der Telefonanlage immer wieder Probleme hatte mit den Gesprächen. Danach lief der Tunnel jedoch noch.
Logfile A
Logfile B
Danke schon einmal für jegliche Hilfe.
ich habe ein für mich unerklärliches Problem. Ich habe eine site-to-site ipsec Verbindung mit 2 PFSense (aktuelle Version) auf jeweils einem APU Board laufen. Diese Verbindung lief soweit ohne Probleme. Bisher kamm es einmal vor, dass die Verbindung ausgestiegen war und nach einem Reboot der Firewall von Standort A auch alles wieder lief. Nun habe ich wieder einen Abbruch der Verbindung und bekomme keinen Tunnel mehr zu Stande. Es wurde nichts an der Firewall verändert. Ein Neustart beider Geräte hat ebenfalls nichts gebracht. Ich habe unter Status -> IPsec einfach connecting stehen. Leider ist VPN nicht wirklich mein Fachgebiet und ich bin recht viel am Googeln bzgl. der Logfiles. Vielleicht bzw. ziemlich sicher kennt sich jemand damit um Welten besser aus und hätte eventuell einen Anhaltspunkt für mich. Das einzige was ich geändert hatte unter System -> Advanced -> Firewall & NAT sind die UDP Timeouts, da ich auf der Telefonanlage immer wieder Probleme hatte mit den Gesprächen. Danach lief der Tunnel jedoch noch.
Logfile A
Sep 16 13:09:27 charon 09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:09:31 charon 09[IKE] <con1|48> retransmit 1 of request with message ID 0
Sep 16 13:09:31 charon 09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:09:36 charon 09[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:09:36 charon 03[CFG] ignoring acquire, connection attempt pending
Sep 16 13:09:38 charon 03[IKE] <con1|48> retransmit 2 of request with message ID 0
Sep 16 13:09:38 charon 03[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:09:51 charon 03[IKE] <con1|48> retransmit 3 of request with message ID 0
Sep 16 13:09:51 charon 03[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:10:01 charon 03[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:10:01 charon 09[CFG] ignoring acquire, connection attempt pending
Sep 16 13:10:14 charon 09[IKE] <con1|48> retransmit 4 of request with message ID 0
Sep 16 13:10:14 charon 09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:10:26 charon 09[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:10:26 charon 07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:10:51 charon 07[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:10:51 charon 09[CFG] ignoring acquire, connection attempt pending
Sep 16 13:10:56 charon 09[IKE] <con1|48> retransmit 5 of request with message ID 0
Sep 16 13:10:56 charon 09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:11:16 charon 09[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:11:16 charon 07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:11:41 charon 07[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:11:41 charon 05[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:06 charon 05[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:12:06 charon 07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:12 charon 07[IKE] <con1|48> giving up after 5 retransmits
Sep 16 13:12:12 charon 07[IKE] <con1|48> peer not responding, trying again (3/3)
Sep 16 13:12:12 charon 07[IKE] <con1|48> initiating IKE_SA con1[48] to 213.200.229.244
Sep 16 13:12:12 charon 07[ENC] <con1|48> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:12 charon 07[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:16 charon 07[IKE] <con1|48> retransmit 1 of request with message ID 0
Sep 16 13:12:16 charon 07[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:23 charon 07[IKE] <con1|48> retransmit 2 of request with message ID 0
Sep 16 13:12:23 charon 07[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:31 charon 07[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:12:31 charon 14[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:36 charon 14[IKE] <con1|48> retransmit 3 of request with message ID 0
Sep 16 13:12:36 charon 14[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:56 charon 14[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:12:56 charon 07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:59 charon 14[IKE] <con1|48> retransmit 4 of request with message ID 0
Sep 16 13:12:59 charon 14[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:13:21 charon 14[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:13:21 charon 13[CFG] ignoring acquire, connection attempt pending
Sep 16 13:13:41 charon 13[IKE] <con1|48> retransmit 5 of request with message ID 0
Sep 16 13:13:41 charon 13[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:13:46 charon 13[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:13:46 charon 14[CFG] ignoring acquire, connection attempt pending
Sep 16 13:14:11 charon 14[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:14:11 charon 13[CFG] ignoring acquire, connection attempt pending
Logfile B
Sep 16 13:09:51 charon 01[ENC] <348> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:09:51 charon 01[IKE] <348> received retransmit of request with ID 0, retransmitting response
Sep 16 13:09:51 charon 01[NET] <348> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:09:57 charon 01[JOB] <348> deleting half open IKE_SA after timeout
Sep 16 13:10:14 charon 01[NET] <349> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:10:14 charon 01[ENC] <349> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:10:14 charon 01[IKE] <349> 213.200.229.167 is initiating an IKE_SA
Sep 16 13:10:14 charon 01[IKE] <349> local host is behind NAT, sending keep alives
Sep 16 13:10:14 charon 01[IKE] <349> remote host is behind NAT
Sep 16 13:10:14 charon 01[ENC] <349> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sep 16 13:10:14 charon 01[NET] <349> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:10:34 charon 01[IKE] <349> sending keep alive to 213.200.229.167[500]
Sep 16 13:10:45 charon 01[JOB] <349> deleting half open IKE_SA after timeout
Sep 16 13:10:56 charon 01[NET] <350> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:10:56 charon 01[ENC] <350> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:10:56 charon 01[IKE] <350> 213.200.229.167 is initiating an IKE_SA
Sep 16 13:10:56 charon 01[IKE] <350> local host is behind NAT, sending keep alives
Sep 16 13:10:56 charon 01[IKE] <350> remote host is behind NAT
Sep 16 13:10:56 charon 01[ENC] <350> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sep 16 13:10:56 charon 01[NET] <350> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:11:16 charon 01[IKE] <350> sending keep alive to 213.200.229.167[500]
Sep 16 13:11:26 charon 12[JOB] <350> deleting half open IKE_SA after timeout
Sep 16 13:12:12 charon 12[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:12 charon 12[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:12 charon 12[IKE] <351> 213.200.229.167 is initiating an IKE_SA
Sep 16 13:12:12 charon 12[IKE] <351> local host is behind NAT, sending keep alives
Sep 16 13:12:12 charon 12[IKE] <351> remote host is behind NAT
Sep 16 13:12:12 charon 12[ENC] <351> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sep 16 13:12:12 charon 12[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:16 charon 12[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:16 charon 12[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:16 charon 12[IKE] <351> received retransmit of request with ID 0, retransmitting response
Sep 16 13:12:16 charon 12[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:19 charon 08[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.167/32|/0 with reqid {1}
Sep 16 13:12:19 charon 14[IKE] <con1|352> initiating IKE_SA con1[352] to 213.200.229.167
Sep 16 13:12:19 charon 14[ENC] <con1|352> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:19 charon 14[NET] <con1|352> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:23 charon 14[IKE] <con1|352> retransmit 1 of request with message ID 0
Sep 16 13:12:23 charon 14[NET] <con1|352> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:23 charon 14[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:23 charon 14[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:23 charon 14[IKE] <351> received retransmit of request with ID 0, retransmitting response
Sep 16 13:12:23 charon 14[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:30 charon 14[IKE] <con1|352> retransmit 2 of request with message ID 0
Sep 16 13:12:30 charon 14[NET] <con1|352> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:32 charon 14[IKE] <351> sending keep alive to 213.200.229.167[500]
Sep 16 13:12:36 charon 11[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:36 charon 11[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:36 charon 11[IKE] <351> received retransmit of request with ID 0, retransmitting response
Sep 16 13:12:36 charon 11[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Danke schon einmal für jegliche Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315651
Url: https://administrator.de/forum/pfsense-2-3-site-to-site-problem-315651.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
5 Kommentare
Neuester Kommentar
In den Logs ist soweit nichts Böses zu sehen. Mit einer Ausnahme allerdings:
peer not responding, trying again (3/3)
Was bedeutet das das Gegenüber nicht antwortet innerhalb der Timeout Zeit.
Die UDP Timer zu verdrehen ist nicht trivial. Wenn dann müsstest du das auch auf beiden Seiten machen. Generell solltest du es lassen, denn bei externen Clients kannst du es ja nicht beeinflussen. Das führt dann zu inkonsitenten Timern auf beiden Seiten. Will heissen für einen ist ein Timeout abgelaufen weil die andere Seite noch wartet.
Das kann problematisch werden in bestimmten Fällen wenn es zu solchen Timeouts kommt.
Testweise solltest du das mal wieder auf den Default setzen und nichmal checken.
peer not responding, trying again (3/3)
Was bedeutet das das Gegenüber nicht antwortet innerhalb der Timeout Zeit.
Die UDP Timer zu verdrehen ist nicht trivial. Wenn dann müsstest du das auch auf beiden Seiten machen. Generell solltest du es lassen, denn bei externen Clients kannst du es ja nicht beeinflussen. Das führt dann zu inkonsitenten Timern auf beiden Seiten. Will heissen für einen ist ein Timeout abgelaufen weil die andere Seite noch wartet.
Das kann problematisch werden in bestimmten Fällen wenn es zu solchen Timeouts kommt.
Testweise solltest du das mal wieder auf den Default setzen und nichmal checken.
120s (Sekunden) ??? Das ist doch eigentlich Unsinn, denn sowohl bei SIP oder auch bei RTP kommt es auf Millisekunden an !!
120s ist doch ein völlig unsinniger Wert. Voice Daten werden immer mit RTP in einem UDP Frame übertragen.
Wo sollte es dann dort Timeouts geben die 2 Minuten dauern. Das ist doch m.E. Quatsch.
Oder...du meinst einen ganz anderen Timer ?!
120s ist doch ein völlig unsinniger Wert. Voice Daten werden immer mit RTP in einem UDP Frame übertragen.
Wo sollte es dann dort Timeouts geben die 2 Minuten dauern. Das ist doch m.E. Quatsch.
Oder...du meinst einen ganz anderen Timer ?!
Hallo,
im Logfile des Routers A steht nur, dass er versucht eine Verbindung aufzubauen. Router B antwortet, aber laut Logfile von A kommt die Antwort nicht an. Beide Router stehen hinter einem NAT-Gerät. Mehr steht da nicht.
UDP Timer haben für den Verbindungsaufbau in IPSec gar keine Bedeutung. Wenn, dann nach dem Verbindungsaufbau und zwar auf dem NAT-Gerät, was vor der pfSense steht. Setz die Einstellung mal zurück und teste erneut. Wenn es dann auch nicht geht, ist irgendwas defekt. Bisher lief es und du hast ja nichts geändert.
Du brauchst keine Diskussionen über die Telefonie führen oder gar über FW-Regeln nachdenken. Geh schrittweise vor.
BB
im Logfile des Routers A steht nur, dass er versucht eine Verbindung aufzubauen. Router B antwortet, aber laut Logfile von A kommt die Antwort nicht an. Beide Router stehen hinter einem NAT-Gerät. Mehr steht da nicht.
UDP Timer haben für den Verbindungsaufbau in IPSec gar keine Bedeutung. Wenn, dann nach dem Verbindungsaufbau und zwar auf dem NAT-Gerät, was vor der pfSense steht. Setz die Einstellung mal zurück und teste erneut. Wenn es dann auch nicht geht, ist irgendwas defekt. Bisher lief es und du hast ja nichts geändert.
Du brauchst keine Diskussionen über die Telefonie führen oder gar über FW-Regeln nachdenken. Geh schrittweise vor.
BB