7
PfSense IPSEC: unable to delete SAD
Hallo,
ich habe hier ein Problem mit einem IPSEC unter pfSense 2.4.2-p1... vor einigen Monaten hatte ich ein Update durchgeführt, da ich da ein ähnliches Problem hatte wie jetzt. Dann lief es 2 Monate ohne Probleme und jetzt stehe ich wieder beim gleichen Fehler und weiß nicht warum. Vorangegangen war letzte Woche ein Ausfall des Tunnels, danach sah mein Log unter anderem so aus:
Der Tunnel hat folgende Parameter:
Phase1
IKEv2
Mutual PSK
My Identifier - My IP Address
Peer Identifier - Peer IP Adress
AES128
SHA256
DH19
Lifetime 28800
Rekey Disabled
Reauth Disabled
DPD aktiviert (60/5)
2x Phase2
ESP
AES128
SHA256
PFS19
Lifetime 3600
Bei beiden Ping Host definiert
Make-Before-Break ist aktiviert
Es stellt sich so dar, dass die P1 auf Established steht, aber mindestens eine der P2 nicht funktioniert. Rekey und Reauth habe ich deaktiviert, weil es damals Erkenntnisse gab das dies bei der gegenüberliegenden Firewall nicht funktioniert. Die andere Firewall liegt leider außerhalb meiner Zuständigkeit.
Jetzt ist meine Vermutung das es irgendeinen Bug im Strongswan in Verbindung mit IKEv2 gibt und ich eventuell auf IKEv1 switchen muss... das kann doch aber auch keine Lösung sein? Leider findet man zudem Fehler nichts konkretes im Web.
Weiß da jemand Rat?
Gruß
ich habe hier ein Problem mit einem IPSEC unter pfSense 2.4.2-p1... vor einigen Monaten hatte ich ein Update durchgeführt, da ich da ein ähnliches Problem hatte wie jetzt. Dann lief es 2 Monate ohne Probleme und jetzt stehe ich wieder beim gleichen Fehler und weiß nicht warum. Vorangegangen war letzte Woche ein Ausfall des Tunnels, danach sah mein Log unter anderem so aus:
Apr 3 15:23:28 charon 10[IKE] <con1|420> closing CHILD_SA con1{5431} with SPIs xxxxxxx (3828 bytes) xxxxxxx (157080 bytes) and TS
Apr 3 15:16:40 charon 14[JOB] CHILD_SA ESP not found for delete
Apr 3 15:16:40 charon 07[KNL] <con2000|418> unable to delete SAD entry with SPI xxxxxx: No such process (3)
Apr 3 15:16:40 charon 07[KNL] <con2000|418> unable to delete SAD entry with SPI xxxxxx: No such process (3)
Apr 3 15:16:40 charon 07[IKE] <con2000|418> closing expired CHILD_SA con2000{5430} with SPIs
Apr 3 15:16:40 charon 05[KNL] creating delete job for CHILD_SA ESP
Apr 3 15:16:40 charon 05[KNL] creating delete job for CHILD_SA ESP
Apr 3 15:07:24 charon 05[KNL] creating rekey job for CHILD_SA ESP
Apr 3 15:05:03 charon 13[IKE] <con2000|418> CHILD_SA con2000{5432} established with SPIs
Apr 3 15:05:03 charon 16[KNL] creating rekey job for CHILD_SA ESPDer Tunnel hat folgende Parameter:
Phase1
IKEv2
Mutual PSK
My Identifier - My IP Address
Peer Identifier - Peer IP Adress
AES128
SHA256
DH19
Lifetime 28800
Rekey Disabled
Reauth Disabled
DPD aktiviert (60/5)
2x Phase2
ESP
AES128
SHA256
PFS19
Lifetime 3600
Bei beiden Ping Host definiert
Make-Before-Break ist aktiviert
Es stellt sich so dar, dass die P1 auf Established steht, aber mindestens eine der P2 nicht funktioniert. Rekey und Reauth habe ich deaktiviert, weil es damals Erkenntnisse gab das dies bei der gegenüberliegenden Firewall nicht funktioniert. Die andere Firewall liegt leider außerhalb meiner Zuständigkeit.
Jetzt ist meine Vermutung das es irgendeinen Bug im Strongswan in Verbindung mit IKEv2 gibt und ich eventuell auf IKEv1 switchen muss... das kann doch aber auch keine Lösung sein? Leider findet man zudem Fehler nichts konkretes im Web.
Weiß da jemand Rat?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 369895
Url: https://administrator.de/contentid/369895
Printed on: April 23, 2024 at 21:04 o'clock
7 Comments
Latest comment
Deine Lifetimes matchen nicht !!
Schnuffi
Schnuffi
Meinst du zwischen den beiden Firewalls oder der Phasen?
Deine IPSec IKE Lifetime die du oben gepostet hast stimmen nicht überein, das ist aber essentiell für das dauerhafte aufrechterhalten des Tunnels!
Ok, kann jetzt sein das ich da eine Wissenslücke habe: Die P1 Lifetime muss doch nur mit der Gegenstelle übereinstimmen? Bei beiden Gegenstellen ist die Phase mit 28800 Sekunden konfiguriert. So dachte ich zumindest. Bei der Phase 2 wäre es doch egal, ob die Lifetime kürzer ist, da es doch unabhängig davon ist.
Dann war dass ein Missverständnis ich dachte die beiden Abschnitte stehen für den jeweiligen Partner nicht die Phasen. Mach das mal in deinem Post oben klarer.
Ich habe P1 und P2 jeweils dick markiert... passt.
Könnte man aber fälschlicherweise auch als P1 = Partner1 und P2 = Partner 2 interpretieren, einfach Ausschreiben dann ist es auch für alle klar.
