pipen1976
Goto Top

PfSense Site2Site sporadisch kein Zugriff von A nach B

Hallo,
ich habe mit 2 pfSense Firewalls eine Site2Site Verbindung erstellt. Momentan steht die Hardware noch im Labor und ist an den WAN Schnittstellen mit einem Patchkabel verbunden.
Mir ist jetzt aufgefallen, das nach einer gewissen Zeit, nicht mehr von Standort A nach Standort B zugegriffen werden kann. In Standort A war aber der Tunnel aktiv. Im Status -> IPSec war ebenfalls Established. Aufgefallen war mir da allerdings, dass 26 child sa Einträge aufgelistet waren. Ich habe dann IPSec getrennt und neu verbunden. Der Status ist dann auch gleich wieder verbunden und es ist ein child sa Eintrag aufgelistet. Auch auf dem Dashboard steht der Tunnel auf aktiv. Aber ich kann immer noch nicht von A nach B. Darauf habe ich auf der Seite B den Client gestartet und auf die Seite A einen Ping ausgelöst. Das funktionierte auf Anhieb und sofort konnte ich auch wieder von A nach B zugreifen. Die Einstellungen sind auf beiden Seiten komplett identisch. An was könnte das liegen?
Gruß Christian

Content-ID: 578122

Url: https://administrator.de/forum/pfsense-site2site-sporadisch-kein-zugriff-von-a-nach-b-578122.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

ChriBo
ChriBo 10.06.2020 um 14:44:49 Uhr
Goto Top
Hi,
Hast du auf beiden Firewalls auf der WAN Seite ESP und UDP/500 eingehend erlaubt ?
ggf. mal auf dem WAN Interface von auto negotiation auf einen manuellen Wert ändern.
poste mal die Einstellungen P1 und P2 beiden Seiten.
"Eigentlich" ist IPsec Site 2 Site zwischen zwei pfSensen sehr stabil.

CH
pipen1976
pipen1976 10.06.2020 um 15:29:32 Uhr
Goto Top
WAN Seitig sollte das passen. So sieht es auf der Seite A aus.
seite a wan

Seite A Phase 1:
seite a phase 1

Seite A Phase 2:
seite a phase 2

Seite B Phase 1:
seite b phase 1

Seite B Phase 2:
seite b phase 2
aqui
Lösung aqui 10.06.2020 aktualisiert um 15:42:15 Uhr
Goto Top
An den Crypto Credentials solltest du mal etwas schrauben. Es macht ja sehr wenig Sinn mit schwacher 128 Bit Verschlüsselung zu arbeiten und dann die DH Gruppen unendlich hoch zu setzen.
Nimm da mal einen moderaten Mittelwert und die DH Gruppen immer gleich in P1 und P2 also:
  • AES 256
  • Hash: SHA256
  • DH Gruppe 14
Das durchgehend für P1 und P2
Hast du den Crypto Support in den Advanced Settings aktiviert ?
pfs

Kannst du einen Link Loss auf der derzeit direkten Verbindung ausschliessen ?
Wenn ja solltest du testweise mal statt IKEv2 auf IKEv1 (Main Mode) gehen und checken ob das Tunnel Verhalten da anders bzw. stabiler ist.
Nutzt du die aktuelle Version 2.4.5. ?
pipen1976
pipen1976 10.06.2020 um 15:45:47 Uhr
Goto Top
Ich wollte nur nochmal nachfolgendes erwähnen.

Wenn ich egal von Seite A oder B einen Client im Dauerping auf die andere Seite laufen lasse, dann bleibt die Verbindung 3, 4, 5, 6, 7......... Tage stabil. Erst wenn ich dann den Dauerping raus nehme, ist in unterschiedlichen Abständen von A nach B nichts mehr zu machen. B nach A geht immer.
pipen1976
pipen1976 10.06.2020 um 15:50:25 Uhr
Goto Top
Crypto Support war nur in Standort B aktiv.
Link Loss kann ich ausschließen. Dauerping über mehrere Tage hat keine Verluste.
Version ist auf beiden 2.4.5.
aqui
aqui 10.06.2020 aktualisiert um 16:03:08 Uhr
Goto Top
Crypto Support war nur in Standort B aktiv.
Böses Faul ! Das sollte natürlich nicht sein, denn dann rennt alles in Software mit entsprechenden Verlusten. Letztlich merkst du das aber erst wenn wirklich Traffic auf den Tunnel kommt und das wird es im Testsetup nicht sich nicht sein.
Setze also die Crypto Credentials mal auf sinnvolle Werte und teste die IKEv1 Version mal zum Vergleich im Main Mode.
ChriBo
Lösung ChriBo 10.06.2020 um 16:14:37 Uhr
Goto Top
Hi,
4erlei:
1. Wie @aqui schrieb: nimm seine Vorschläge bzgl. Crypto Credentials.
2. Hast du "Block RFC networks" auf dem WAN interface enabled ? muß disabled sein
3. Gib mir mal nen Tip: Was bedeuten die Symbole vor der Beschreibung in den Regeln (Häckchen bzw. zwei gekreuzte Pfeile)
4. in Phase 1: anstelle von "Meine Identifizierungsart" und "Gegenstellen Identifizierungsart" nimm mal "IP Adresse" und setzte die IP Adresse der Gegenstelle ein, muß nicht helfen, kann aber helfen.
CH
aqui
Lösung aqui 10.06.2020 aktualisiert um 18:53:01 Uhr
Goto Top
Etwas Kosmetik... face-wink
ad 2.
Das aber nur für den Test und auch nur wenn du RFC 1918 IPs für die WAN Testadressierung genommen hast. Mit "quasi realen" IPs muss das nicht sein bzw. ist später auch gefährlich wenn die Firewalls direkt (ohne Kaskade) im Internet hängen.
ad 3.
Die WAN Rule ist definitiv FALSCH und auch Quatsch. Hatte ich fast übersehen. Dort fehlen die RFC 1918 und Bogus Blocks. Für IPsec muss UDP 500, 4500 und ESP auf die WAN IP erlaubt sein und die "VLAN" Regel da ist völlig falsch. VLANs haben am WAN nix zu suchen. Es sei denn man hat ein altes xDSL Modem was kein Tagging kann. Und auch nur dann.
An den Default WAN Regeln muss man niemals was rumfummeln außer eben Zugang rein auf die WAN IP erlauben.
ad 4.
Das ist eher kosmetisch. Ggf. muss er das nachher so oder so ändern auf FQDN wenn er Anschlüsse mit wechselnden IPs hat.
Spirit-of-Eli
Spirit-of-Eli 10.06.2020 um 18:54:22 Uhr
Goto Top
Dann schaltet den Hearth beat für die Verbindung ein und pinge jeweils das andere Gateway durch den Tunnel.
Wäre zumindest eine Option.
pipen1976
pipen1976 15.06.2020 aktualisiert um 15:05:07 Uhr
Goto Top
Zitat von @ChriBo:

Hi,
4erlei:
1. Wie @aqui schrieb: nimm seine Vorschläge bzgl. Crypto Credentials.
2. Hast du "Block RFC networks" auf dem WAN interface enabled ? muß disabled sein
3. Gib mir mal nen Tip: Was bedeuten die Symbole vor der Beschreibung in den Regeln (Häckchen bzw. zwei gekreuzte Pfeile)
4. in Phase 1: anstelle von "Meine Identifizierungsart" und "Gegenstellen Identifizierungsart" nimm mal "IP Adresse" und setzte die IP Adresse der Gegenstelle ein, muß nicht helfen, kann aber helfen.
CH

Der Haken bedeutet Keep Source Port Static und die Pfeile Randomize Source Port. Die Regel ist im NAT/Ausgehend eingetragen.


Ich habe folgende Umstellung gemacht:
- Standort A Power D aktiviert und Crypto auf AES_NI CPU-basierte Beschleunigung mit AMD Sensor
- Standort A + B IKEv1 Modus Main
- Standort A + B AES 256, Hash: SHA256, DH Gruppe 14

Zitat von @aqui:

Etwas Kosmetik... face-wink
ad 2.
Das aber nur für den Test und auch nur wenn du RFC 1918 IPs für die WAN Testadressierung genommen hast. Mit "quasi realen" IPs muss das nicht sein bzw. ist später auch gefährlich wenn die Firewalls direkt (ohne Kaskade) im Internet hängen.
ad 3.
Die WAN Rule ist definitiv FALSCH und auch Quatsch. Hatte ich fast übersehen. Dort fehlen die RFC 1918 und Bogus Blocks. Für IPsec muss UDP 500, 4500 und ESP auf die WAN IP erlaubt sein und die "VLAN" Regel da ist völlig falsch. VLANs haben am WAN nix zu suchen. Es sei denn man hat ein altes xDSL Modem was kein Tagging kann. Und auch nur dann.
An den Default WAN Regeln muss man niemals was rumfummeln außer eben Zugang rein auf die WAN IP erlauben.
ad 4.
Das ist eher kosmetisch. Ggf. muss er das nachher so oder so ändern auf FQDN wenn er Anschlüsse mit wechselnden IPs hat.

Die Rule ist nicht im WAN. Das habe ich falsch dargestellt. Die Rule ist im NAT/Ausgehend eingetragen.

IPSec ist derzeit noch offen mit der Scheunentor Regelface-smile

Die Verbindung läuft jetzt seit Vormittag mit den oben genannten Änderungen stabil.
aqui
aqui 15.06.2020 um 14:33:44 Uhr
Goto Top
Der Hacken bedeutet
Hacken ??
Sowas benutzt man aber nicht in der IT sondern nur im Garten oder hat es unten am Fuß:
https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
https://de.wikipedia.org/wiki/Ferse
Oder meintest du einen Haken ?!:
https://www.duden.de/rechtschreibung/Haken
Die Verbindung läuft jetzt seit Vormittag mit den oben genannten Änderungen stabil.
👍
pipen1976
pipen1976 15.06.2020 um 14:54:42 Uhr
Goto Top
Eieiei, der "Haken" daran war mein Finger. Der war zu schnellface-wink
aqui
aqui 15.06.2020 um 15:03:37 Uhr
Goto Top
Dafür gibts ja immer den "Bearbeiten" Knopf !!
Tip: Der liegt rechts unten unter "Mehr" und kaschiert auch nachträglich noch ! face-wink
pipen1976
pipen1976 15.06.2020 um 15:05:42 Uhr
Goto Top
Erledigt. Vielen Dank für die Hilfe.