ketanest112
Goto Top

PfSense IPSec scheint Config nicht zu übernehmen

Hallo zusammen,

nachdem viele Experimente und Recherchen keinen gewünschten Erfolg brachten, frag ich auch noch mal euch.

Ich versuche, mit meiner pfSense (2.4.4p3) ein SIte-to-Site VPN zu einer Fritte aufzubauen.
Funktioniert aber nicht so richtig.
Was ich bisher herausgefunden habe, was mir recht komisch vorkommt:
Ich habe andere proposals konfiguriert als letztlich im Log stehen.
Auszug ausm Log:
Dec 6 19:39:21	charon		12[CFG] <4> received proposals: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Dec 6 19:39:21	charon		12[CFG] <4> configured proposals: IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048

Dabei hab ich für P1 nur AES256, SHA512 und DH1024 und für P2 AES256, SHA512 und PFS 1024 (bzw auch mal ohne) konfiguriert.
Neustarts des ipsec Dienstes (mit der Restart-Funktion als auch mittels Stop -> Start manuell) brachten nichts. Auch die Sense selbst hab ich schon neu gestartet.
Scheint irgendwie so, als würde die Sense die Config nicht richtig übernhemen.
Und: JA, ich habe auf "Apply Settings" geklickt nach Änderung bzw. Eintragung der Phasen.

Hoffe, ihr könnt mir ggf. weiterhelfen.

Danke
Grüße
Ketanest

Content-Key: 522757

Url: https://administrator.de/contentid/522757

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: ketanest112
ketanest112 07.12.2019 um 18:34:03 Uhr
Goto Top
Lösung gefunden:

Mein Kumpel hatte mir die falsche DynDNS Adresse gegeben...
Interessant finde ich nur, dass es im Log so aussah, als würde der dennoch versuchen, den Tunnel mit einer Standardconfig aufzubauen.
Er sagt irgendwas in Richtung: using %any config oder so. Hab leider grad keinen Zugriff auf die Logs, daher kann ichs nicht genau sagen.

Ist das normal?

Danke
Ketanest
Mitglied: aqui
aqui 08.12.2019 aktualisiert um 16:05:44 Uhr
Goto Top
Mein Kumpel hatte mir die falsche DynDNS Adresse gegeben...
OK, gegen solchen Fehler hilft natürlich auch das allerbeste Forum nix ! face-wink
Ansonsten hätte dir auch, wie immer, das hiesige IPsec Tutorial zu dem Thema weitergeholfen:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a