ketanest112
06.12.2019
view1826
view2
0
Goto Top

PfSense IPSec scheint Config nicht zu übernehmen

gelöstFrageSicherheitFirewall
Hallo zusammen,

nachdem viele Experimente und Recherchen keinen gewünschten Erfolg brachten, frag ich auch noch mal euch.

Ich versuche, mit meiner pfSense (2.4.4p3) ein SIte-to-Site VPN zu einer Fritte aufzubauen.
Funktioniert aber nicht so richtig.
Was ich bisher herausgefunden habe, was mir recht komisch vorkommt:
Ich habe andere proposals konfiguriert als letztlich im Log stehen.
Auszug ausm Log:
Dec 6 19:39:21	charon		12[CFG] <4> received proposals: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Dec 6 19:39:21	charon		12[CFG] <4> configured proposals: IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048

Dabei hab ich für P1 nur AES256, SHA512 und DH1024 und für P2 AES256, SHA512 und PFS 1024 (bzw auch mal ohne) konfiguriert.
Neustarts des ipsec Dienstes (mit der Restart-Funktion als auch mittels Stop -> Start manuell) brachten nichts. Auch die Sense selbst hab ich schon neu gestartet.
Scheint irgendwie so, als würde die Sense die Config nicht richtig übernhemen.
Und: JA, ich habe auf "Apply Settings" geklickt nach Änderung bzw. Eintragung der Phasen.

Hoffe, ihr könnt mir ggf. weiterhelfen.

Danke
Grüße
Ketanest
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 522757

Url: https://administrator.de/contentid/522757

Ausgedruckt am: 19.11.2024 um 05:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
ketanest112
ketanest112 07.12.2019 um 18:34:03 Uhr
Goto Top
Lösung gefunden:

Mein Kumpel hatte mir die falsche DynDNS Adresse gegeben...
Interessant finde ich nur, dass es im Log so aussah, als würde der dennoch versuchen, den Tunnel mit einer Standardconfig aufzubauen.
Er sagt irgendwas in Richtung: using %any config oder so. Hab leider grad keinen Zugriff auf die Logs, daher kann ichs nicht genau sagen.

Ist das normal?

Danke
Ketanest
aqui
aqui 08.12.2019 aktualisiert um 16:05:44 Uhr
Goto Top
Mein Kumpel hatte mir die falsche DynDNS Adresse gegeben...
OK, gegen solchen Fehler hilft natürlich auch das allerbeste Forum nix ! face-wink
Ansonsten hätte dir auch, wie immer, das hiesige IPsec Tutorial zu dem Thema weitergeholfen:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
gelöstFrageSicherheitFirewall
Mehr von ketanest112ketanest112Zertifikatsvorlagen teilweise nicht sichtbarketanest112 - 20 Kommentareketanest112Pakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)ketanest112 - 27 Kommentareketanest112Route-based IPSec with multiple initators on same IDketanest112 - 13 Kommentareketanest112Route-based Strongswan IPSec zu Fortigate: Antwort kommt nicht anketanest112 - 22 Kommentare
Heiß diskutiert
FohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 Kommentareseppo1Switche KMUseppo1 - 28 KommentarecseLaufwege erfassen in großer Hallecse - 20 KommentaredenfinHeimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)denfin - 18 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 12 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 12 KommentareDSchmolkePasswort ändern in der Domäne geht nichtDSchmolke - 12 KommentarelucarusAdminrechte eines Servers auf VM in Domänelucarus - 12 KommentareMatthias182Bestehendes Heimnetz auf 2.5G oder 10G erweiternMatthias182 - 12 Kommentare