90948
Goto Top

Probleme beim Outbound NAT Routing mit pfSense

Hallo,

erstmal zu meiner Konfiguration:
Ich verwende pfSense in der Version 2.0.1 auf einem Router mit insgesamt 3 Netzwerkkarten.

1. NIC (Office) sind die Clients angeschlossen
2. NIC (PLS) wird in ein 2. Subnetz geroutet
3. NIC (WAN) ist der Internet-Anschluss

Wenn ich jetzt Automatic Outbound NAT aktiviere funktioniert das Routing in das 2. Subnetz nicht mehr. Ich nehme an weil pfSense nur ein Outbound zur WAN-Schnittstelle automatisch erstellt. Nun habe ich manuelle Outbound NAT's erstellt mit denen ich einfach alles in alles Route.
Outbound-Regeln:

Interface Source Destination NAT Static Port
Office any * * NO
PLS any * * NO
WAN any * * NO
WAN any 162.170.200.99 * YES 500
PLS 162.170.200.99 * * YES 500


Jetzt zu meinem Problem:
Wir haben von externen Zugang der mittels isakmp-Protokoll. Dieses kommt von der WAN-Schnittstelle und wird zu einem Cisco-Router (162.170.200.99) weitergeleitet. Dementsprechendes Port-Forwarding und Firewall-Regeln wurden zwar gesetzt, aber der IPSEC-passthrough funktioniert nicht da der Cisco dann eine Verbindung mit der pfSense aufbauen will.
Ich hab auch mal eine Regel aufgestellt die den Port 500 weiterleitet und diesen als Statisch deklariert (letzten 2 Outbound-Regeln). Hat jedoch nicht funktioniert. Stell ich den Outbound wieder auf automatisch funktioniert der externe Zugang.

Ich weiß dass ich was falsch mache nur was face-smile
Danke schon mal für jede Hilfe

Content-Key: 185340

Url: https://administrator.de/contentid/185340

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
aqui 23.05.2012 um 13:38:53 Uhr
Goto Top
WAS willst du denn genau erreichen ?? Das das "PLS" Segment mit dem LAN kommunizieren kann ??
Normalerweise geht das nicht weil die FW per default alles verbietet (keine FW Regel) auf dem PLS Interface !
Du musst also ein ALLOW Regel anlegen die den Traffic nach any (Internet) und LAN Interface erlaugt !
Dann klappt das auch !!
Mitglied: 90948
90948 23.05.2012 um 14:06:40 Uhr
Goto Top
Ok dass was ich will hab ich nich richtig geschrieben sorry.

Office soll ins PLS kommunizieren dürfen (Firewall-Regeln sind dementsprechend angepasst)
Office soll ins Internet kommunizieren dürfen
WAN soll alle ISAKMP-Anfragen auf Cisco Router weiterleiten (IPSec passthrough)

Das funktioniert nur mit Manuellen Outbound NAT-Regeln mit Ausnahme der ISAKMP. Mit Automatischen Outbound-NAT werden alle Anfrage vom Office-Netz für das PLS-Netz ins Internet weitergeleitet. Beispiel:

Client 162.170.210.10 will Verbindung zu 162.170.200.99 dann sieht der State in der pfSense so aus:

162.170.210.10 -> Router -> WAN
Mitglied: aqui
aqui 23.05.2012 aktualisiert um 14:38:49 Uhr
Goto Top
OK, das bringt ein klein wenig Licht ins Dunkel....
1.) Office soll ins PLS kommunizieren dürfen..., Office soll ins Internet kommunizieren dürfen
OK dann kannst du in den Firewall Regeln am "Office" Interface Source=Office Subnet, Port=any auf Destination=any , Port=any erlauben ! Office Clients kommen so ins Internet und auch ins PLS Netz.

2.) "PLS" darf dann vermutlich NUR mit dem Office kommunizieren, oder ?? Leider teilst du das in deinen Regel Beschreibungen mal wieder nicht mit face-sad
Wenn dem so ist dann muss am "PLS" Interface in den Firewall Regeln stehen: Source=PLS Subnet, Port=any auf Destination=Office Subnet , Port=any erlauben !
Mehr NICHT !
Damit kommen dann PLS Clients NICHT ins Internet was vermutlich so gewollt ist ?!
Fazit: Dir fehlen dann die korrekten Firewall regeln am PLS Interface. Da du einen Firewall bedienst gilt dort immer also oberster Firewall Grundsatz: "Es ist ALLES verboten was nicht ausdrücklich erlaubt ist !"
Das weiss jeder netzwerk Anfänger !
Wie gesagt es fehlen weiterhin die exakten Beschreibungen deiner Zugriffs Regeln für alle Segmente....
Völlig wirr ist deine Beschreibung wer wohin IPsec VPN Zugriff haben soll !
Es ist natürlich völliger Blödsinn das ein IPsec (ISAKMP ist Teil von IPsec !) Tunnel Endpunkt von sich aus was weiterreicht wie du oben beschreibst. Da hast du wohl den Sinn und die Technik von IPsec VPN garnicht oder nur halb verstanden.
Normalerweise gilt auf der was du in den Firewall Regeln zugelassen hast.
Hast du Zugangsregeln auf Port und Protokollbasis gemacht, dann musst du auch ESP Protokoll und IKE/ISAKMP UDP 500 zulassen um IPsec Clients hinter der Firewall eine Verbindung zu erlauben.
Wenn du Protocoll=any gesetzt hast wird es eh geforwardet.
Bedenke auch: Firewall Regeln gelten NUR für eingehenden Traffic und es gilt "First Match wins !"
Hier helfen also nur deine detailierten Regeln von dem Segment wo deine Clients sind. Dort hast du mit Sicherheit gravierende Fehler gemacht diesbezüglich !
Was du bei IPsec noch bedenken musst:
Wenn du einen transparenten Router vor dem WAN Interface mit öffentlichen IPs hast musst du lediglich am WAN Port der pfSense sicherstellen das du dort im NAT die IPsec Ports auf das Client Segment forwardest, da die sonst die NAT Firewall der pfSense nicht überwinden können !!
Das Firewall Log der pfSense ist hier wie immer dein Freund beim Troubleshooting.

Da die pfSense selber IPsec kann macht es ggf. Sinn die pfSense das IPsec VPN aufbauen zu lassen statt der Clients sofern das eine feste LAN zu LAN Kopplung ist !
Wäre ja sinnvoller hängt aber von der VPN Anwendung ab und kann man ohne Infos hier nur raten...
Mitglied: 90948
90948 23.05.2012 aktualisiert um 15:49:35 Uhr
Goto Top
Danke für die Erklärungen aber das ganze weiß ich bereits. PLS soll nirgends hin kommunzizieren dürfen (lediglich ein Port aber der ist in der Firewall bereits eingetragen).
Port Forwarding für die IPsec ist auch eingestellt und funktioniert auch. Einen IPSec-passthrough brauch ich da die Remote VPN sich mit dem Cisco und nicht mit der pfSense verbinden soll (Ist ein Service Zugang einer externen Firma). Deswegen soll diese lediglich weiterleiten.

Dann geh ich mal bißchen weiter ins Detail. Beim Versuch mit den Manuellen Outbounds hat die pfSense zwar die IPSec an den Cisco weitergeleitet aber dieser hat lediglich die IP-Adresse der pfSense erhalten und dachte somit dass diese einen Tunnel aufbauen will.
Stell ich auf Automatic Outbound wird ordentlich weitergeleitet und der Cisco baut den Tunnel korrekt mit dem externen Server auf.

704bd71ceaffcb0e38f1ad474b654c99
Mitglied: aqui
aqui 23.05.2012 aktualisiert um 16:00:53 Uhr
Goto Top
Ahem..nur mal dumm nachgefragt:
Was soll denn der Unsinn das sich ein VPN Client aus dem lokalen pfSense LAN per VPN Netz auf den Cisco am pfSense WAN Port verbindet ??
Dafür braucht man doch gar kein VPN sondern kann das mit normalem Routing so machen ??!
Oder muss der Datentraffic am pfSense WAN Port verschlüsselt sein ?
Es ist auch normal das am Cisco ESP und ISAKMP mit der pfSense WAN IP auftauschen, denn die pfSense macht NAT wie jeder Feld- Wald- und Wiesen DSL Router auch.
Er antwortet auch darauf und die pfSense leitet das dann an den Client weiter. Deshalb auch das zwingend Port Forwarding für ESP und UDP 500 (IKE). Zusätzlich sollte man immer noch UDP 4500 aktivieren (NAT Traversal)
Das ist ein IPsec Standardszenario was so auch mit jedem belibigen DSL NAT Router funktioniert.
Die pfSense funktioniert da nicht anders solange KEIN IPsec auf ihr selber aktiviert ist !

Ääähhh, ok sehe gerade das Bild. Vergiss das obige mit dem Routing....
Gut der Cisco ist in einem lokalen LAN Segment also NICHT am WAN Port, ist dem so ?
Dann musst du natürlich am PLS Port UDP 500, UDP 4500 und ESP sprich IPsec forwarden nach any. Ebenso muss ein statisches NAT Forwarding der pfSense IP auf die Cisco IP gemacht werden mit den relevanten IPsec Ports. Wer Wartungsrechner von außen "sieht" ja nur die pfSense WAN IP. Die Cisco IP kann er logischerweise nicht sehen durch die NAT Firewall.
Mitglied: 90948
90948 23.05.2012 um 16:12:22 Uhr
Goto Top
Jup er ist am lokalen LAN-Port.
Die obigen Port-Forwarding hab ich auch mal eingestellt und es hat nicht funktioniert.
Stelle ich automatischen Outbound ein dann reichen sogar die UDP-Ports aus um eine Verbindung aufzubauen.

Gut mit der WAN IP is auch klar deswegen is auch folgende Port-Forward eingerichtet:
UDP, Source-Adr. any, Source-Port any, Destination-Adr. WAN-Adress, Destination-Port 500-4500, NAT-IP 162.170.200.99, NAT-Port -4000.

Das statische NAT-Forwarding wie muss des dann genau aussehen? Die Cisco-IP als NAT-Adresse oder Destination-Adresse?
Mitglied: aqui
aqui 23.05.2012 aktualisiert um 17:59:10 Uhr
Goto Top
...und es hat nicht funktioniert.
Mmmhh, was sagen denn die Firewall Logs dazu und hast du mal mitgesniffert WAS denn nicht durchkommt ?!
...dann reichen sogar die UDP-Ports aus um eine Verbindung aufzubauen.
Klar, ist logisch, denn Cisco macht per Default IPsec NAT Traversal und der kommt auch ohne das NAT Port Forwarding aus sofern auf dem WAN Port eingehende UDP 500 und UDP 4500 sowie ESP erlaubt sind !
Übrigens:
"Destination-Port 500-4500" ist Blödsinn und auch kontraproduktiv im Hinblick auf die Sicherheit, denn dann machst du ein Riesengroßes Loch in der Firewall auf denn du öffnest alle Ports von 500 bis 4500. Sinnloss und überflüssig. Es reicht 500 und 4500 aufzumachen, das erreicht man mit dem Klick auf + und fügt einen Regel nur mit dem anderen Port hinzu.
Was soll auch "NAT Port 4000" sein ?? So einen Port gibt es in der gesamten VPN Protokollfamilie nirgendwo ?!
Wenn wäre er ja auch in deiner falschen Range oben von 500 bis 4500 so oder so inkludiert !
Cisco nutzt in älteren NAT-T Implementationen stat 4500 auch UDP 10000. Ggf. solltest du das testweise mal öffnen oder sniffern.
https://supportforums.cisco.com/docs/DOC-4119
Mitglied: 90948
90948 24.05.2012 um 08:08:58 Uhr
Goto Top
Der Port 4500 passt hab ich mal bei einer erfolgreichen Verbindung kontrolliert.
Bei der Nat-Regel des hat pfSense so automatisch eingetragen mit dem Port -4000 konnte damit selber noch nie was anfangen da in der Regel selber als Port any eingetragen ist. Hm evtl. liegt ja da dann auch mit mein Problem den Nat port hab ich nie eingetragen?

Die Firewall lässt den Port durch und auch bei den States sehe ich dass es zum Cisco weitergeleitet wird. Problem ist die Rückantwort vom Cisco die schickt er direkt an die Firewall und von da aus wird es nicht mehr zum Remoteserver sondern lediglich zur pfSense geschickt. Und da seh ich dann nichts
mehr in den Firewall logs (Hab auch schon alle Regeln mal mitprotokollieren lassen ohne erfolg)

Das hab ich gesehen als ich den isakmp debugged habe am Cisco. Die Anforderung kam und wurde auch korrekt verarbeitet. Hier das Protokoll dazu (162.127.210.251 ist hierbei die pfSense):

*May 22 13:50:17.111: ISAKMP (0): received packet from 162.127.210.251 dport 500 sport 50167 Global (N) NEW SA
*May 22 13:50:17.111: ISAKMP: Created a peer struct for 162.127.210.251, peer po rt 50167
*May 22 13:50:17.111: ISAKMP: New peer created peer = 0x2AFB6C44 peer_handle = 0 x8000005B
*May 22 13:50:17.111: ISAKMP: Locking peer struct 0x2AFB6C44, refcount 1 for cry pto_isakmp_process_block
*May 22 13:50:17.111: ISAKMP: local port 500, remote port 50167
*May 22 13:50:17.115: ISAKMPface-sad0):insert sa successfully sa = 2C082484
*May 22 13:50:17.115: ISAKMPface-sad0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*May 22 13:50:17.115: ISAKMPface-sad0):Old State = IKE_READY New State = IKE_R_MM1

*May 22 13:50:17.115: ISAKMPface-sad0): processing SA payload. message ID = 0
*May 22 13:50:17.115: ISAKMPface-sad0): processing vendor id payload
*May 22 13:50:17.115: ISAKMPface-sad0): vendor ID seems Unity/DPD but major 69 mismatc h
*May 22 13:50:17.115: ISAKMP (0): vendor ID is NAT-T RFC 3947
*May 22 13:50:17.115: ISAKMPface-sad0): processing vendor id payload
*May 22 13:50:17.115: ISAKMPface-sad0): vendor ID seems Unity/DPD but major 245 mismat ch
*May 22 13:50:17.115: ISAKMP (0): vendor ID is NAT-T v7
*May 22 13:50:17.115: ISAKMPface-sad0): processing vendor id payload
*May 22 13:50:17.115: ISAKMPface-sad0): vendor ID seems Unity/DPD but major 157 mismat ch
*May 22 13:50:17.115: ISAKMPface-sad0): vendor ID is NAT-T v3
*May 22 13:50:17.115: ISAKMPface-sad0): processing vendor id payload
*May 22 13:50:17.115: ISAKMPface-sad0): vendor ID seems Unity/DPD but major 123 mismat ch
*May 22 13:50:17.115: ISAKMPface-sad0): vendor ID is NAT-T v2
*May 22 13:50:17.115: ISAKMPface-sad0):No pre-shared key with 162.127.210.251!
*May 22 13:50:17.115: ISAKMP : Scanning profiles for xauth ...
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 1 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash SHA
*May 22 13:50:17.115: ISAKMP: default group 5
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Preshared authentication offered but does not m atch policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 2 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash SHA
*May 22 13:50:17.115: ISAKMP: default group 2
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Preshared authentication offered but does not m atch policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 3 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash MD5
*May 22 13:50:17.115: ISAKMP: default group 5
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Hash algorithm offered does not match policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 4 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash SHA
*May 22 13:50:17.115: ISAKMP: default group 2
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (basic) of 28800
*May 22 13:50:17.115: ISAKMPface-sad0):Preshared authentication offered but does not m atch policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 5 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash SHA
*May 22 13:50:17.115: ISAKMP: default group 2
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Preshared authentication offered but does not m atch policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 6 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash MD5
*May 22 13:50:17.115: ISAKMP: default group 2
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Hash algorithm offered does not match policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 7 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash SHA
*May 22 13:50:17.115: ISAKMP: default group 1
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Preshared authentication offered but does not m atch policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 8 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption 3DES-CBC
*May 22 13:50:17.115: ISAKMP: hash MD5
*May 22 13:50:17.115: ISAKMP: default group 1
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Hash algorithm offered does not match policy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 9 against priority 10 0 policy
*May 22 13:50:17.115: ISAKMP: encryption DES-CBC
*May 22 13:50:17.115: ISAKMP: hash SHA
*May 22 13:50:17.115: ISAKMP: default group 5
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 10 against priority 1 00 policy
*May 22 13:50:17.115: ISAKMP: encryption DES-CBC
*May 22 13:50:17.115: ISAKMP: hash MD5
*May 22 13:50:17.115: ISAKMP: default group 5
*May 22 13:50:17.115: ISAKMP: auth pre-share
*May 22 13:50:17.115: ISAKMP: life type in seconds
*May 22 13:50:17.115: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.115: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.115: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.115: ISAKMPface-sad0):Checking ISAKMP transform 11 against priority 1 00 policy
*May 22 13:50:17.115: ISAKMP: encryption DES-CBC
*May 22 13:50:17.115: ISAKMP: hash SHA
*May 22 13:50:17.119: ISAKMP: default group 2
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 12 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption DES-CBC
*May 22 13:50:17.119: ISAKMP: hash MD5
*May 22 13:50:17.119: ISAKMP: default group 2
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 13 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption DES-CBC
*May 22 13:50:17.119: ISAKMP: hash SHA
*May 22 13:50:17.119: ISAKMP: default group 1
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 14 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption DES-CBC
*May 22 13:50:17.119: ISAKMP: hash MD5
*May 22 13:50:17.119: ISAKMP: default group 1
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 15 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 256
*May 22 13:50:17.119: ISAKMP: hash SHA
*May 22 13:50:17.119: ISAKMP: default group 2
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 16 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 256
*May 22 13:50:17.119: ISAKMP: hash SHA
*May 22 13:50:17.119: ISAKMP: default group 2
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 17 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 256
*May 22 13:50:17.119: ISAKMP: hash MD5
*May 22 13:50:17.119: ISAKMP: default group 1
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 18 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 256
*May 22 13:50:17.119: ISAKMP: hash MD5
*May 22 13:50:17.119: ISAKMP: default group 2
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 19 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 256
*May 22 13:50:17.119: ISAKMP: hash SHA
*May 22 13:50:17.119: ISAKMP: default group 5
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 20 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 256
*May 22 13:50:17.119: ISAKMP: hash MD5
*May 22 13:50:17.119: ISAKMP: default group 5
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 21 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 128
*May 22 13:50:17.119: ISAKMP: hash SHA
*May 22 13:50:17.119: ISAKMP: default group 2
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 22 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 128
*May 22 13:50:17.119: ISAKMP: hash MD5
*May 22 13:50:17.119: ISAKMP: default group 2
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 3
*May 22 13:50:17.119: ISAKMPface-sad0):Checking ISAKMP transform 23 against priority 1 00 policy
*May 22 13:50:17.119: ISAKMP: encryption AES-CBC
*May 22 13:50:17.119: ISAKMP: keylength of 128
*May 22 13:50:17.119: ISAKMP: hash SHA
*May 22 13:50:17.119: ISAKMP: default group 5
*May 22 13:50:17.119: ISAKMP: auth pre-share
*May 22 13:50:17.119: ISAKMP: life type in seconds
*May 22 13:50:17.119: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*May 22 13:50:17.119: ISAKMPface-sad0):Encryption algorithm offered does not match pol icy!
*May 22 13:50:17.119: ISAKMPface-sad0):atts are not acceptable. Next payload is 0
*May 22 13:50:17.119: ISAKMPface-sad0):no offers accepted!
*May 22 13:50:17.119: ISAKMPface-sad0): phase 1 SA policy not acceptable! (local 162.1 27.210.99 remote 162.127.210.251)
*May 22 13:50:17.119: ISAKMP (0): incrementing error counter on sa, attempt 1 of 5: construct_fail_ag_init
*May 22 13:50:17.119: ISAKMPface-sad0): Failed to construct AG informational message.
*May 22 13:50:17.119: ISAKMPface-sad0): sending packet to 162.127.210.251 my_port 500 peer_port 50167 (R) MM_NO_STATE
*May 22 13:50:17.119: ISAKMPface-sad0):Sending an IKE IPv4 Packet.
*May 22 13:50:17.119: ISAKMPface-sad0):peer does not do paranoid keepalives.
Mitglied: aqui
aqui 25.05.2012 um 10:43:35 Uhr
Goto Top
Das wäre dann falsch ! In der Destination IP Adresse der ESP und IKE Pakete die vom Cisco zurückgehen muss die IP Adresse des remoten Rechners stehen !
Hier darf niemals die IP Adresse der pfSense als Ziel IP stehen. Das würde ja bedeuten das die pfSense selber aktiv als VPN Server auf die IPsec Paketet antwortet.
Stelle also absolut sicher das IPsec deaktiviert ist in der FW !!
Was sagen denn die eingehenden IPsec Pakete vom remoten Rechner die beim Cisco ankommen ?
Zeigen die als Absender IP die des remoten Systems ?
Der Cisco muss doch auch mit dieser IP als Ziel IP antworten. Alles andere wäre völlig undenkbar !
Mitglied: 90948
90948 29.05.2012 um 09:37:16 Uhr
Goto Top
Moin,

so jetzt sind wir eben bei meiner ersten Frage wegen dem korrekten Einstellungen der pfSense. Das Protokoll oben war bei manuellen Outbounds der pfSense und mit einem statischen Port für den UDP 500.
Hab jetzt auch mal den ESP und den UDP 4500 mit eingetragen lediglich die Destination hatte ich nicht drin evtl. lags auch daran kann ich momentan nicht sagen da die Remote Firma gerade den Zugang nicht verwendet.