letstryandfindout
Sep 19, 2016
view5951
view5
0
Goto Top

PFsense 2.3 site-to-site Problem

GermanQuestionFirewallSecurity
Hallo zusammen,

ich habe ein für mich unerklärliches Problem. Ich habe eine site-to-site ipsec Verbindung mit 2 PFSense (aktuelle Version) auf jeweils einem APU Board laufen. Diese Verbindung lief soweit ohne Probleme. Bisher kamm es einmal vor, dass die Verbindung ausgestiegen war und nach einem Reboot der Firewall von Standort A auch alles wieder lief. Nun habe ich wieder einen Abbruch der Verbindung und bekomme keinen Tunnel mehr zu Stande. Es wurde nichts an der Firewall verändert. Ein Neustart beider Geräte hat ebenfalls nichts gebracht. Ich habe unter Status -> IPsec einfach connecting stehen. Leider ist VPN nicht wirklich mein Fachgebiet und ich bin recht viel am Googeln bzgl. der Logfiles. Vielleicht bzw. ziemlich sicher kennt sich jemand damit um Welten besser aus und hätte eventuell einen Anhaltspunkt für mich. Das einzige was ich geändert hatte unter System -> Advanced -> Firewall & NAT sind die UDP Timeouts, da ich auf der Telefonanlage immer wieder Probleme hatte mit den Gesprächen. Danach lief der Tunnel jedoch noch.

Logfile A

Sep 16 13:09:27 	charon 		09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:09:31 	charon 		09[IKE] <con1|48> retransmit 1 of request with message ID 0
Sep 16 13:09:31 	charon 		09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:09:36 	charon 		09[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:09:36 	charon 		03[CFG] ignoring acquire, connection attempt pending
Sep 16 13:09:38 	charon 		03[IKE] <con1|48> retransmit 2 of request with message ID 0
Sep 16 13:09:38 	charon 		03[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:09:51 	charon 		03[IKE] <con1|48> retransmit 3 of request with message ID 0
Sep 16 13:09:51 	charon 		03[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:10:01 	charon 		03[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:10:01 	charon 		09[CFG] ignoring acquire, connection attempt pending
Sep 16 13:10:14 	charon 		09[IKE] <con1|48> retransmit 4 of request with message ID 0
Sep 16 13:10:14 	charon 		09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:10:26 	charon 		09[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:10:26 	charon 		07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:10:51 	charon 		07[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:10:51 	charon 		09[CFG] ignoring acquire, connection attempt pending
Sep 16 13:10:56 	charon 		09[IKE] <con1|48> retransmit 5 of request with message ID 0
Sep 16 13:10:56 	charon 		09[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:11:16 	charon 		09[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:11:16 	charon 		07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:11:41 	charon 		07[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:11:41 	charon 		05[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:06 	charon 		05[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:12:06 	charon 		07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:12 	charon 		07[IKE] <con1|48> giving up after 5 retransmits
Sep 16 13:12:12 	charon 		07[IKE] <con1|48> peer not responding, trying again (3/3)
Sep 16 13:12:12 	charon 		07[IKE] <con1|48> initiating IKE_SA con1[48] to 213.200.229.244
Sep 16 13:12:12 	charon 		07[ENC] <con1|48> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:12 	charon 		07[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:16 	charon 		07[IKE] <con1|48> retransmit 1 of request with message ID 0
Sep 16 13:12:16 	charon 		07[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:23 	charon 		07[IKE] <con1|48> retransmit 2 of request with message ID 0
Sep 16 13:12:23 	charon 		07[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:31 	charon 		07[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:12:31 	charon 		14[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:36 	charon 		14[IKE] <con1|48> retransmit 3 of request with message ID 0
Sep 16 13:12:36 	charon 		14[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:12:56 	charon 		14[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:12:56 	charon 		07[CFG] ignoring acquire, connection attempt pending
Sep 16 13:12:59 	charon 		14[IKE] <con1|48> retransmit 4 of request with message ID 0
Sep 16 13:12:59 	charon 		14[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:13:21 	charon 		14[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:13:21 	charon 		13[CFG] ignoring acquire, connection attempt pending
Sep 16 13:13:41 	charon 		13[IKE] <con1|48> retransmit 5 of request with message ID 0
Sep 16 13:13:41 	charon 		13[NET] <con1|48> sending packet: from 172.31.255.6[500] to 213.200.229.244[500] (464 bytes)
Sep 16 13:13:46 	charon 		13[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:13:46 	charon 		14[CFG] ignoring acquire, connection attempt pending
Sep 16 13:14:11 	charon 		14[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.244/32|/0 with reqid {1}
Sep 16 13:14:11 	charon 		13[CFG] ignoring acquire, connection attempt pending

Logfile B

Sep 16 13:09:51 	charon 		01[ENC] <348> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:09:51 	charon 		01[IKE] <348> received retransmit of request with ID 0, retransmitting response
Sep 16 13:09:51 	charon 		01[NET] <348> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:09:57 	charon 		01[JOB] <348> deleting half open IKE_SA after timeout
Sep 16 13:10:14 	charon 		01[NET] <349> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:10:14 	charon 		01[ENC] <349> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:10:14 	charon 		01[IKE] <349> 213.200.229.167 is initiating an IKE_SA
Sep 16 13:10:14 	charon 		01[IKE] <349> local host is behind NAT, sending keep alives
Sep 16 13:10:14 	charon 		01[IKE] <349> remote host is behind NAT
Sep 16 13:10:14 	charon 		01[ENC] <349> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sep 16 13:10:14 	charon 		01[NET] <349> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:10:34 	charon 		01[IKE] <349> sending keep alive to 213.200.229.167[500]
Sep 16 13:10:45 	charon 		01[JOB] <349> deleting half open IKE_SA after timeout
Sep 16 13:10:56 	charon 		01[NET] <350> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:10:56 	charon 		01[ENC] <350> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:10:56 	charon 		01[IKE] <350> 213.200.229.167 is initiating an IKE_SA
Sep 16 13:10:56 	charon 		01[IKE] <350> local host is behind NAT, sending keep alives
Sep 16 13:10:56 	charon 		01[IKE] <350> remote host is behind NAT
Sep 16 13:10:56 	charon 		01[ENC] <350> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sep 16 13:10:56 	charon 		01[NET] <350> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:11:16 	charon 		01[IKE] <350> sending keep alive to 213.200.229.167[500]
Sep 16 13:11:26 	charon 		12[JOB] <350> deleting half open IKE_SA after timeout
Sep 16 13:12:12 	charon 		12[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:12 	charon 		12[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:12 	charon 		12[IKE] <351> 213.200.229.167 is initiating an IKE_SA
Sep 16 13:12:12 	charon 		12[IKE] <351> local host is behind NAT, sending keep alives
Sep 16 13:12:12 	charon 		12[IKE] <351> remote host is behind NAT
Sep 16 13:12:12 	charon 		12[ENC] <351> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sep 16 13:12:12 	charon 		12[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:16 	charon 		12[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:16 	charon 		12[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:16 	charon 		12[IKE] <351> received retransmit of request with ID 0, retransmitting response
Sep 16 13:12:16 	charon 		12[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:19 	charon 		08[KNL] creating acquire job for policy 172.31.255.6/32|/0 === 213.200.229.167/32|/0 with reqid {1}
Sep 16 13:12:19 	charon 		14[IKE] <con1|352> initiating IKE_SA con1[352] to 213.200.229.167
Sep 16 13:12:19 	charon 		14[ENC] <con1|352> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:19 	charon 		14[NET] <con1|352> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:23 	charon 		14[IKE] <con1|352> retransmit 1 of request with message ID 0
Sep 16 13:12:23 	charon 		14[NET] <con1|352> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:23 	charon 		14[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:23 	charon 		14[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:23 	charon 		14[IKE] <351> received retransmit of request with ID 0, retransmitting response
Sep 16 13:12:23 	charon 		14[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:30 	charon 		14[IKE] <con1|352> retransmit 2 of request with message ID 0
Sep 16 13:12:30 	charon 		14[NET] <con1|352> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)
Sep 16 13:12:32 	charon 		14[IKE] <351> sending keep alive to 213.200.229.167[500]
Sep 16 13:12:36 	charon 		11[NET] <351> received packet: from 213.200.229.167[500] to 172.31.255.6[500] (464 bytes)
Sep 16 13:12:36 	charon 		11[ENC] <351> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 16 13:12:36 	charon 		11[IKE] <351> received retransmit of request with ID 0, retransmitting response
Sep 16 13:12:36 	charon 		11[NET] <351> sending packet: from 172.31.255.6[500] to 213.200.229.167[500] (464 bytes)

Danke schon einmal für jegliche Hilfe.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 315651

Url: https://administrator.de/contentid/315651

Printed on: April 25, 2024 at 15:04 o'clock

5 Comments
Latest comment
Goto Top
Member: aqui
aqui Sep 19, 2016 at 12:12:08 (UTC)
Goto Top
In den Logs ist soweit nichts Böses zu sehen. Mit einer Ausnahme allerdings:
peer not responding, trying again (3/3)
Was bedeutet das das Gegenüber nicht antwortet innerhalb der Timeout Zeit.
Die UDP Timer zu verdrehen ist nicht trivial. Wenn dann müsstest du das auch auf beiden Seiten machen. Generell solltest du es lassen, denn bei externen Clients kannst du es ja nicht beeinflussen. Das führt dann zu inkonsitenten Timern auf beiden Seiten. Will heissen für einen ist ein Timeout abgelaufen weil die andere Seite noch wartet.
Das kann problematisch werden in bestimmten Fällen wenn es zu solchen Timeouts kommt.
Testweise solltest du das mal wieder auf den Default setzen und nichmal checken.
Member: letstryandfindout
letstryandfindout Sep 19, 2016 at 12:40:27 (UTC)
Goto Top
Wie kann ich jedoch dann den UDP Wert für die Telefonanlage setzen? Ich muss den auf 120s timeout haben. Habe den Wert momentan auf beiden Seiten so.
Member: aqui
aqui Sep 19, 2016 at 12:45:19 (UTC)
Goto Top
120s (Sekunden) ??? Das ist doch eigentlich Unsinn, denn sowohl bei SIP oder auch bei RTP kommt es auf Millisekunden an !!
120s ist doch ein völlig unsinniger Wert. Voice Daten werden immer mit RTP in einem UDP Frame übertragen.
Wo sollte es dann dort Timeouts geben die 2 Minuten dauern. Das ist doch m.E. Quatsch.
Oder...du meinst einen ganz anderen Timer ?!
Member: letstryandfindout
letstryandfindout Sep 19, 2016 at 13:21:16 (UTC)
Goto Top
Mit diesem Wert ist der gute Mensch von der Telefonie gekommen, dass er ihn gerne so von Seiten des Anbieters hätte. Daher habe ich ihn eingetragen. Gibt es denn eine Möglichkeit sonst bei der PFSense das ich unter System -> Advanced -> Firewall & NAT die Werte wieder auf Default stelle und irgendwie eine Firewall Regel erstelle dir mit bzgl. der Telefonie den UDP Wert ändert?
Member: BitBurg
BitBurg Sep 19, 2016, updated at Oct 20, 2016 at 20:49:50 (UTC)
Goto Top
Hallo,

im Logfile des Routers A steht nur, dass er versucht eine Verbindung aufzubauen. Router B antwortet, aber laut Logfile von A kommt die Antwort nicht an. Beide Router stehen hinter einem NAT-Gerät. Mehr steht da nicht.

UDP Timer haben für den Verbindungsaufbau in IPSec gar keine Bedeutung. Wenn, dann nach dem Verbindungsaufbau und zwar auf dem NAT-Gerät, was vor der pfSense steht. Setz die Einstellung mal zurück und teste erneut. Wenn es dann auch nicht geht, ist irgendwas defekt. Bisher lief es und du hast ja nichts geändert.

Du brauchst keine Diskussionen über die Telefonie führen oder gar über FW-Regeln nachdenken. Geh schrittweise vor.

BB
GermanQuestionFirewallSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments