IPSec V2 Verbindung mit 1:2 Subnetzen

Hi Karsten,

Thank you for reaching out to Sophos Community.

I recommend comparing both packets(routes/policy) from the working and non-working hosts. Also, check the PFsense allowed configuration.

Kindly try to do a packet capture and check the log viewer.

i´m not firm with packet captures for ipsec connections, but i copied a part of the IPSec Log.

IPSec_xx-1:  xxx.xxx.xxx.xxx...xxx.xxx.xxx.xxx  IKEv2, dpddelay=30s        
IPSec_xx-1:   local:  [xxx.xxx.xxx.xxx] uses pre-shared key authentication 
IPSec_xx-1:   remote: [xxx.xxx.xxx.xxx] uses pre-shared key authentication
IPSec_xx-1:   child:  192.168.1.0/24 === 192.168.28.0/24 TUNNEL, dpdaction
IPSec_xx-2:   child:  192.168.10.0/24 === 192.168.28.0/24 TUNNEL, dpdactio
n=clear                                                                         
Security Associations (4 up, 0 connecting):      

IPSec_xx-1[550787]: ESTABLISHED 23 minutes ago, xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]...xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx] 
IPSec_xx-1[550787]: IKEv2 SPIs: xxxxxxxxxxxxx1dcc_ixxxxxxxxxxxxxxxxx, re
keying in 7 hours 
IPSec_xx-1[550787]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_S
HA2_256/MODP_2048 
IPSec_xx-2{17297}: INSTALLED, TUNNEL, reqid 524, ESP SPIs: xxxxxxxxxxxxxxxx 
IPSec_xx-2{17297}: AES_CBC_256/HMAC_SHA2_256_128, 175819 bytes_i, 26430 b
ytes_o (297 pkts, 22s ago), rekeying in 7 hours 
IPSec_xx-2{17297}: 192.168.10.0/24 === 192.168.28.0/24 

Hi Karsten,

You may compare and verify traffic flow under MONITOR & ANALYZE>Diagnostics. You may use the following KB for reference 

• Packet Capture 
• drop packet 

 Sophos Firewall: Troubleshooting site to site IPsec VPN issues 

I found something that does not match:

2024-09-24 14:55:56Z 22[CFG] <xx-1|551032> config: 192.168.10.0/24, received: 192.168.10.0/24 => match: 192.168.10.0/24
2024-09-24 14:55:56Z 22[CFG] <xx-1|551032> config: 192.168.10.0/24, received: 192.168.1.0/24 => no match
2024-09-24 14:55:56Z 22[CFG] <xx-1|551032> config: 192.168.28.0/24, received: 192.168.28.0/24 => match: 192.168.28.0/24

Maybe you can explain it to me?

Most of the time, this issue is caused by a config error on either side. 

Please review both sides carefully and check for typos or other things. 

Maybe it´s a problem by design?
I tried a similar configuration in a test enviroment between a different pfsense and a brand new XGS. the result is the same!

Ein Design-Problem sollte es nicht sein.

Es ist absolut normal auf einer Seite mehrere Subnetze zu haben.

ich glaube, es mangelt an der Verständigung zwischen PFSense und XGS.

Verwendest du IKE1 oder IKE2? ... Egal was, das muss auf beiden Seiten gleich sein.

Antworten aus anderen Foren:
IPSec with multiple P2 tunnels - only one will connect at once 
Enable this to split connection entries with multiple phase 2 configurations

... seems you need "Two Phase 2 configs"

Auf der Sophos kann ich nicht 2x Phase 2 einrichten.
Oder habe ich da was übersehen?
Es ist eine IKE2-Verbindung

Auf der PFSense sollte das gemacht werden. 

"Enable this to split connection entries with multiple phase 2 configurations. Required for remote endpoints that support only a single traffic selector per child SA"

Ich glaube, die Sophos FW macht genau das. Ich sehe bei je 2 Subnetzen auf 2 Seiten insgesamt 4 Verbindungen, von denen eine einzelne auch mal nicht aufgebaut werden kann.

Hello Karsten,

if I understand your configuration correctly, then this error is by design:

in IPsec you have security associations (SA) between local and remote "subnets". These "subnets" can consist of a single host, having a subnet mask of /32. The definitions of the subnets have to match on BOTH sides of the tunnel.

So if you have 192.168.1.0 /24 as definition at the pfsense, but have 192.168.1.12 /32 (as example for a singel host) at the XGS side, this doesn't match and the SA stays red.

HTH

Hello Karsten,

if I understand your configuration correctly, then this error is by design:

in IPsec you have security associations (SA) between local and remote "subnets". These "subnets" can consist of a single host, having a subnet mask of /32. The definitions of the subnets have to match on BOTH sides of the tunnel.

So if you have 192.168.1.0 /24 as definition at the pfsense, but have 192.168.1.12 /32 (as example for a singel host) at the XGS side, this doesn't match and the SA stays red.

HTH

Hallo Philipp,

für mich sieht das so aus, als hätte er auf einer Seite ein /24er Subnetz und auf der anderen Seite zwei /24er Subnetze ... und diese auch als solche auf beiden Seiten bekanntgegeben. 
Nur scheint die PFSense das in eine SA zu packen und die Sophos FW erwartet 2 SA

Hallo Philipp,

die Subnetze sind richtig definiert mit 192.168.10.0/24, 192.168.20.0/24 auf der einen Seite und 192.168.11.0/24 auf der anderen Seite und natürlich auf der Gegenseite umgekehrt.

VG
Karsten

Hallo Karsten,

da war ich mir nicht sicher, weil ich nur "HS-LAN" und "HS-ALN10" gesehen habe. Oben bei den SAs hätte man es sehen können ...

OK, ich gehe dann mit der Beobachtung von Dirk mit und schlage vor, dass du auf der pfsense zwei Tunnel definierst: einen nach "HS-LAN" und einen nach "HS-LAN10". Dann sollte es gehen.

Ich baue morgen mal ein Konstellation auf, in der sich 2 PFsense untereinander austauschen sollen. Vielleicht klärt sich dann der Nebel langsam.

aber das habe ich ja getan:

Also, ich bin kein pfsense Experte, aber entweder du machst zwei Tunnel auf der einen wie auf der anderen Seite ODER du hast beide Subnetze in DERSELBEN Tunnel-Konfiguration auf BEIDEN Seiten. Sonst geht es schief..

Für mich sieht diese Konfiguration aus wie zwei SA-Definitionen in ein und demselben Tunnel. Das ist nicht das, was ich vorgeschlagen habe. Bitte nochmal lesen.

Moin,
ich habe jetzt auf der PFSense 2x Phase 1 mit jeweils einer Phase2 eingerichtet.
Auf der Sophos habe ich ebenfalls 2 Verbindungen mit jeweils nur einem Subnetz eingerichtet. 
Das scheint so zu funktionieren, auch wenn es auf der PFSense so aussieht, als wenn die zweite Phase 1 Verbindung (S2S_XGS_V2) nicht verbunden ist.

Vielen lieben Dank für Eure Unterstützung!

Karsten