Voor een klein project zou ik graag een permanente tunnel opbouwen tussen een Juniper SRX en een PFSense box, met deze laatste (PFSense) heb ik 0 ervaring en heb gisteren daar mijn eerste installatie van gedaan... Mijn vermoeden is dan ook sterk dat daar het probleem zit..
ik ga vooral uit van logging aan de SRX kant want in de PFSense weet ik niet goed hoe deftig te debuggen..
> Policy based VPN,
> Aan de SRX kant kan ik zien dat de tunnel up is (show security ike security-associations && show security ipsec security-associations)
> PFSense kant zegt ook dat de tunnel up is, nu heb daar wel gemerkt dat ook al klopt de phase 2 niet hij al zegt 'connected' terwijl de SRX foutens spuwt
> show log kmd-logs geeft geen fouten, enkel dat de tunnel up is zoals de overige tunnels
> Security policies zowel inbound als outbound zijn gemaakt
> Source nat is op off gezet voor het verkeer dat naar de tunnel moet ..
> Op de PFSense is een any-any-any rule aangemaakt in de firewal > IPSec en LAN om dat al uit te sluiten ..
Probleem:
Als ik een ping start van site A naar site B of omgekeerd dan komt deze niet aan.. Start ik een ping naar de SRX site toe en ik zet een packettrace op (flow traceoptions) dan wordt dat pakket niet gedetecteerd).
Stuur ik een ping vanaf SRX naar PFSense met flow traceoptions aan dan zie je dat:
> Source natting afstaan,
> Hij de juiste policy hit
> Hij de tunnel ingaat
... Maar nergens uitkomt
Je vind vrij weinig van configs tussen SRX <> PFSense, wel had ik daarstraks een topic gevonden van iemand die een zelfde probleem had met een pfSense <> Palo Alto en dat daar het probleem lag in de Phase 2 settings.. ipv SHA1 te gebruiken moest MD5 gebruikt worden en dan was het bij deze persoon verholpen. Heb dit bij mij ook al eens gewijzigd maar zonder resultaat.
Aan de SRX kant heb ik ook de ipsec-daemon al een aantal keren herstart zonder resultaat, heel de PFSense box is ook al eens herstart.
Iemand tips / Ideeen hoe dit te troubleshooten aan de PFSense kant? Kom daar niet veel verder dan de GUI log en dat is niet handig..