Fehler bei Verbindungsaufbau mit IPSec

[asandner]

Hallo,

ich versuche gerade, eine Site-To-Site-Verbindung zu konfigurieren, zu einem bestehenden Ziel. Das Ziel ist eine OPNSense, zu der bisher schon eine Verbindung bestand. Das neue Gerät ist eine Black Dwarf. Leider kann ich beim alten Gerät die Einstellungen nicht nachschauen, weil keiner mehr weiß, wie man sich da einloggt.

Ich habe eine Konfiguration angelegt und sie "Test" genannt. Anfangs habe ich die Meldung bekommen "CHILD_SA config 'Test' not found". Ich habe nichts geändert, aber jetzt kommt stattdessen die Meldung "initiate failed: establishing CHILD_SA 'Test' failed.

Ich nehme an, ich habe mich da verkonfiguriert, weiß aber nicht, wo. Hier ist meine Einstellung:

Phase 1 - Allgemein
Name: Test
IKE Version ikev2
Local Gateway: 192.168.175.1
Local Gateway ID: 192.168.175.1
Gemote Host / Gateway: <public IP der OPNSense>
Remote Host / Gateway ID: <public IP der OPNSense>
Lokale Authentifizierungsmethode: Pre-Shared Key
Startverhalten: Outgoing
Dead Peer Detection: AN
DPD Intervall: 10 Sekunden
Compression: AUS
MOBIKE aktivieren: AN

Phase 2 - Subnetze
Lokales Netzwerk: 192.168.175.0/24
Remote-Netzwerk: 10.20.10.0/24 (das interne Netz hinter der OPNSense)

Die anderen Parameter habe ich gelassen, wie sie sind.


Gegenstück auf der OPNSense:

Anschlussart: Sofort starten
Schlüsselaustauschversion: V2
Internet Protokol: IPv4
Schnittstelle: WAN (hat die public IP wie oben konfiguriert)
Authentifizierungsmethode: Mutual PSK
Meine Kennung: Meine IP-Addresse
Peer-Identifizierer: Peer IP-Adresse

[jansc]

Der Eintrag "Local Gateway: 192.168.175.1" kommt mir komisch vor. Setzen Sie diesen doch bitte einmal auf "Beliebiges Interface".

Hier kann auch ein Blick ins Log helfen:
https://wiki.securepoint.de/UTM/VPN/IPS ... leshooting

[asandner]

Der Eintrag "Local Gateway: 192.168.175.1" kommt mir komisch vor. Setzen Sie diesen doch bitte einmal auf "Beliebiges Interface".

Hier kann auch ein Blick ins Log helfen:
<link removed>

Habe ich gemacht, keine Änderung.
Das Log ist leider nicht hilfreich: Da steht nur drin "ipsec_cmd: execution of swanctl returned: initiate failed: establishing CHILD_SA 'Test' failed"

[Bjoern]

Hallo,

haben Sie das Log schon mal erhöht? Wenn es eine aktuelle Firewall ist finden Sie es unter IPSec => Log. Wichtig ist hierbei CFG und IKE. Interessant kann auch das Log der Gegenstelle sein.

[asandner]

Hallo,

haben Sie das Log schon mal erhöht? Wenn es eine aktuelle Firewall ist finden Sie es unter IPSec => Log. Wichtig ist hierbei CFG und IKE. Interessant kann auch das Log der Gegenstelle sein.

Okay, also auf der Black Dwarf kriege ich eine Meldung.
[IKE] <Test|1> received NO_PROPOSAL_CHOSEN notify error

Auf der Gegenstelle wird gar nichts protokolliert, ich weiß aber nicht, ob das einfach nicht aktiviert ist, oder ob da nichts ankommt. Kenne mich mit OPNSense nicht sonderlich gut aus.

[joser19330]

Überprüfe nochmal die Crypto Einstellungen, da stimmt etwas nicht überein.

[Bjoern]

Hallo,

einen KB Eintrag bzgl. IPSec finden Sie hier. Achten Sie bitte darauf das IKEv1 Meldungen unterschiedlich zu IKEv2 Meldungen sind.

[asandner]

Hallo,

einen KB Eintrag bzgl. IPSec finden Sie hier. Achten Sie bitte darauf das IKEv1 Meldungen unterschiedlich zu IKEv2 Meldungen sind.

Das hilft leider auch nichts. In dem Dokument stehen zwei Möglichkeiten, warum NO_PROPOSAL_CHOSEN auftreten könnte. Falscher Remote-Gateway-Adresse und falsches Proposal. Aber ich sehe keine der entsprechenden Log-Einträge aus dem Dokument. Ich sehe weder einen "selecting proposal" Eintrag, noch einen "looking for an ike config" Eintrag.
Das Log sagt Folgendes:

IPSec 11[IKE] <TEST|5> initiating IKE_SA TEST[5] to {Remote Gateway IP}
IPSec 11[IKE] <TEST|5> IKE_SA TEST[5] state change: CREATED => CONNECTING
IPSec 11[CFG] <TEST|5> configured proposals: {lange Liste an Proposals}
IPSec 11[CFG] <TEST|5> sending supported signature hash algorithms: sha256 sha384 sha512 identity
IPSec 11[ENC] <TEST|5> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
IPSec 11[NET] <TEST|5> sending packet: from 10.10.10.99[500] to {Remote Gateway IP}[500] (1208 bytes)
IPSec 05[NET] <TEST|5> received packet: {Remote Gateway IP}[500] to 10.10.10.99[500] (36 bytes)
IPSec 05[ENC] <TEST|5> parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
IPSec 05[IKE] <TEST|5> received NO_PROPOSAL_CHOSEN notify error
IPSec 05[CFG] <TEST|5> configured proposals: {lange Liste an Proposals, identisch mit der vorherigen}
IPSec 05[IKE] <TEST|5> IKE_SA TEST[5] state change: CONNECTING => DESTROYING

[asandner]

UPDATE:
Dank eines sehr netten und kompetenten Supporttechniker von SecurePoint konnten wir die Verbindung herstellen.
Vier Schritte haben geholfen
1) durch meine absolute Unkenntnis der OPNSense war dort keine 2. Phase konfiguriert. Das kann schon mal nicht gehen. Die haben wir konfiguriert.
2) auf der OPNSense war die Anschlussart auf "standard", wir haben sie jetzt auf "nur antworten" umgestellt.
3) wir haben die Kennungen manuell eingetragen, statt sie per Dropdown auszuwählen.
4) wir haben das dynamische Gateway aktiviert (erlaubt jedem Remote Gateway, eine Verbindung aufzubauen).