• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

iked Probleme nach update von 6.6 --> 6.7

Themenstarter #1
Abend,

ich baue mir mittels iked Tunnel auf, welche vor dem sysupgrade funktioniert haben. Jetzt bekomme ich immer Probleme mit:

Code:
ikev2_pld_notify: protoid IKE spisize 0 type AUTHENTICATION_FAILED
spi=0x675902e94bb95304: send IKE_AUTH res 1 peer 192.168.1.1:500 local 192.168.2.1:500, 80 bytes
spi=0x675902e94bb95304: sa_state: AUTH_SUCCESS -> CLOSING
Hat noch jemand das Problem bzw. weiß woran es liegt? Auch ein Schlüsseltausch auf ecdsa256 hat auch nicht gebracht.
 
#2
Mit dem Versionswechsel auf 6.7 scheinen einige Aenderungen an iked(8) vorgenommen worden zu sein. Vermutlich liegt dein Authentication-Problem daran. Ohne die entsprechenden Configs beider Systeme ist eine Fehlersuche allerdings schwierig.

https://www.openbsd.org/faq/upgrade67.html

iked(8). iked(8) no longer automatically blocks unencrypted outbound IPv6 packets. This feature was intended to avoid accidental leakage, but in practice was found to mostly be a cause of misconfiguration. Instead, if you would like to explicitly block these packets, add the following line to /etc/ipsec.conf (not iked.conf):
Code:
flow esp out from ::/0 to ::/0 type deny
If you previously used iked(8)'s -6 flag to disable this feature, it is no longer needed and should be removed from /etc/rc.conf.local if used.

iked(8)/isakmpd(8). The type of incoming ipsec(4) flows installed by iked(8) or isakmpd(8) was changed from "use" to "require". This means unencrypted traffic matching the flows will no longer be accepted. Flows of type "use" can still be set up manually in ipsec.conf(5).
 
Themenstarter #3
Anbei mal die configs, welche vorher liefen.
Auf den entsprechenden Firewalls habe ich keine blocks.

Code:
System1# more /etc/iked.conf

local_gw        = "192.168.1.1"
remote_gw       = "192.168.2.1"
local_net       = "10.1.1.1/24"
remote_net      = "10.1.1.2/24"
state           = "active"

ikev2 "siteA-siteB" $state esp \
        from $local_gw to $remote_gw \
        from $local_gw to $remote_net \
        from $local_net to $remote_gw \
        from $local_net to $remote_net \
        local $local_gw peer $remote_gw
Code:
System2# more /etc/iked.conf

local_gw        = "192.168.2.1"
remote_gw       = "192.168.1.1"
local_net       = "10.1.1.2/24"
remote_net      = "10.1.1.1/24"
state           = "passive"

ikev2 "siteA-siteB" $state esp \
        from $local_gw to $remote_gw \
        from $local_gw to $remote_net \
        from $local_net to $remote_gw \
        from $local_net to $remote_net \
        local $local_gw peer $remote_gw
Code:
System1/2:# more /etc/rc.conf | grep iked
iked_flags=NO

System1/2: # more /etc/rc.conf.local  | grep iked                                              
iked_flags=
 

Columbo0815

Kaffeemann
Mitarbeiter
#6
Ich bin nicht übertrieben firm, was Subnetzmasken angeht. Wenn meine Frage also Nonsens ist: Sorry. :)

Ich finde merkwürdig, dass du /24 angibst, aber kein Netz (zB 10.1.1.0) sondern eine IP-Adresse (zB 10.1.1.1). Wäre dann nicht zB /32 korrekt?