Likes Likes:  0
Resultaten 1 tot 6 van de 6
Geen
  1. #1
    IPSec SRX <> PFsense - Tunnel UP geen traffic
    www.xenius.be
    1.554 Berichten
    Ingeschreven
    26/11/11

    Locatie
    Oud-Turnhout

    Post Thanks / Like
    Mentioned
    42 Post(s)
    Tagged
    0 Thread(s)
    73 Berichten zijn liked


    Naam: Steve Vos
    Bedrijf: Xenius
    Functie: Zaakvoerder
    URL: www.xenius.be
    Ondernemingsnummer: 0505928838

    Thread Starter

    IPSec SRX <> PFsense - Tunnel UP geen traffic

    Voor een klein project zou ik graag een permanente tunnel opbouwen tussen een Juniper SRX en een PFSense box, met deze laatste (PFSense) heb ik 0 ervaring en heb gisteren daar mijn eerste installatie van gedaan... Mijn vermoeden is dan ook sterk dat daar het probleem zit..

    ik ga vooral uit van logging aan de SRX kant want in de PFSense weet ik niet goed hoe deftig te debuggen..

    > Policy based VPN,
    > Aan de SRX kant kan ik zien dat de tunnel up is (show security ike security-associations && show security ipsec security-associations)
    > PFSense kant zegt ook dat de tunnel up is, nu heb daar wel gemerkt dat ook al klopt de phase 2 niet hij al zegt 'connected' terwijl de SRX foutens spuwt
    > show log kmd-logs geeft geen fouten, enkel dat de tunnel up is zoals de overige tunnels
    > Security policies zowel inbound als outbound zijn gemaakt
    > Source nat is op off gezet voor het verkeer dat naar de tunnel moet ..
    > Op de PFSense is een any-any-any rule aangemaakt in de firewal > IPSec en LAN om dat al uit te sluiten ..

    Probleem:
    Als ik een ping start van site A naar site B of omgekeerd dan komt deze niet aan.. Start ik een ping naar de SRX site toe en ik zet een packettrace op (flow traceoptions) dan wordt dat pakket niet gedetecteerd).
    Stuur ik een ping vanaf SRX naar PFSense met flow traceoptions aan dan zie je dat:

    > Source natting afstaan,
    > Hij de juiste policy hit
    > Hij de tunnel ingaat

    ... Maar nergens uitkomt

    Je vind vrij weinig van configs tussen SRX <> PFSense, wel had ik daarstraks een topic gevonden van iemand die een zelfde probleem had met een pfSense <> Palo Alto en dat daar het probleem lag in de Phase 2 settings.. ipv SHA1 te gebruiken moest MD5 gebruikt worden en dan was het bij deze persoon verholpen. Heb dit bij mij ook al eens gewijzigd maar zonder resultaat.

    Aan de SRX kant heb ik ook de ipsec-daemon al een aantal keren herstart zonder resultaat, heel de PFSense box is ook al eens herstart.


    Iemand tips / Ideeen hoe dit te troubleshooten aan de PFSense kant? Kom daar niet veel verder dan de GUI log en dat is niet handig..
    Xenius.be | Our solutions, our products, your success !

  2. #2
    IPSec SRX &lt;&gt; PFsense - Tunnel UP geen traffic
    geregistreerd gebruiker
    270 Berichten
    Ingeschreven
    19/05/09

    Locatie
    Zoetermeer

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    15 Berichten zijn liked


    Naam: appie
    Registrar SIDN: Nee
    Ondernemingsnummer: NVT

    Je kan in PfSense debugging aanzetten voor ipsec en dan zie je wat er fout gaat. Waarschijnlijk een mismatch van encryptie protocollen. Probeer beide nog even te controleren en stel ze precies hetzelfde in aan beide kanten.

    Sent from my GT-I9505 using webhostingtalk mobile app

  3. #3
    IPSec SRX &lt;&gt; PFsense - Tunnel UP geen traffic
    www.xenius.be
    1.554 Berichten
    Ingeschreven
    26/11/11

    Locatie
    Oud-Turnhout

    Post Thanks / Like
    Mentioned
    42 Post(s)
    Tagged
    0 Thread(s)
    73 Berichten zijn liked


    Naam: Steve Vos
    Bedrijf: Xenius
    Functie: Zaakvoerder
    URL: www.xenius.be
    Ondernemingsnummer: 0505928838

    Thread Starter
    Misschien dat iemand ziet wat ik mis, aan de SRX kant:

    Code:
    [edit security ike]
    SRX01# show 
    proposal prop_DR-VPN-p1 {
        authentication-method pre-shared-keys;
        dh-group group2;
        authentication-algorithm md5;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 28800;
    }
    policy pol_ike_DR-VPN {                 
        mode main;
        proposals prop_DR-VPN-p1;
        pre-shared-key ascii-text "$9$0X1DOhrW87Vs4xNjH.mTQhSy"; ## SECRET-DATA
    }
    gateway gw_DR-VPN {
        ike-policy pol_ike_DR-VPN;
        address 1.2.3.4;
        external-interface ge-0/0/0.0;
    }
    
    [edit security ipsec]
    SRX01# show 
    proposal prop_DR-VPN-p2 {
        authentication-algorithm hmac-md5-96;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 14400;
    }
    policy pol_ipsec_DR-VPN {
        perfect-forward-secrecy {
            keys group2;
        }
        proposals prop_DR-VPN-p2;           
    }
    vpn vpn_DR-VPN {
        ike {
            gateway gw_DR-VPN;
            ipsec-policy pol_ipsec_DR-VPN;
        }
        establish-tunnels immediately;
    }
    Aan de PFSense kant:

    -> Phase 1 Proposal (authentication)
    Auth method: Mutual PSK
    Negotiation mode: Main
    My Identifier: My IP Address
    Peer identifier: Peer IP address

    -> Phase 1 proposal (Algorithms)
    Enc Algorithm: AES- 256
    Hash Algo: MD5
    DH Key Groep: 2 (1024 bit)
    lifetime: 28800

    Phase 2 - Tunnel IPv4
    -> Local network: LAN subnet
    -> Remote network: 192.168.100.0/24 (het subnet aan de andere kant)
    -> Phase 2 Proposal
    Protocol: ESP
    Enc algo: AES - 256
    Hash Algo: MD5
    PFS Key group: 2 (1024)
    Lifetime: 14400
    Xenius.be | Our solutions, our products, your success !

  4. #4
    IPSec SRX &lt;&gt; PFsense - Tunnel UP geen traffic
    geregistreerd gebruiker
    270 Berichten
    Ingeschreven
    19/05/09

    Locatie
    Zoetermeer

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    15 Berichten zijn liked


    Naam: appie
    Registrar SIDN: Nee
    Ondernemingsnummer: NVT

    Wat zegt de PfSense log? Ik wil eventeel ook wel even mee kijken.

    Sent from my GT-I9505 using webhostingtalk mobile app

  5. #5
    IPSec SRX &lt;&gt; PFsense - Tunnel UP geen traffic
    www.xenius.be
    1.554 Berichten
    Ingeschreven
    26/11/11

    Locatie
    Oud-Turnhout

    Post Thanks / Like
    Mentioned
    42 Post(s)
    Tagged
    0 Thread(s)
    73 Berichten zijn liked


    Naam: Steve Vos
    Bedrijf: Xenius
    Functie: Zaakvoerder
    URL: www.xenius.be
    Ondernemingsnummer: 0505928838

    Thread Starter
    PFsense log ziet er goed uit, op de SRX zie ik nu wel

    "Tunnel Down Reason: More than two SA PAIRS" wanneer ik het detail opvraag van de ipsec tunnel..

    En als ik op de PFSense ga zien naar de status van de SAs dan zie ik er daar 7 staan
    Xenius.be | Our solutions, our products, your success !

  6. #6
    IPSec SRX &lt;&gt; PFsense - Tunnel UP geen traffic
    www.xenius.be
    1.554 Berichten
    Ingeschreven
    26/11/11

    Locatie
    Oud-Turnhout

    Post Thanks / Like
    Mentioned
    42 Post(s)
    Tagged
    0 Thread(s)
    73 Berichten zijn liked


    Naam: Steve Vos
    Bedrijf: Xenius
    Functie: Zaakvoerder
    URL: www.xenius.be
    Ondernemingsnummer: 0505928838

    Thread Starter
    @24x7hosting : mocht je skype hebben je mag me altijd toevoegen: xeniushosting
    Xenius.be | Our solutions, our products, your success !



Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics