1
VPN mit FritzBox und PfSense scheitert plötzlich mit Fehler "Found x matching configs, but none allows pre-shared key authentication using Aggressive Mode"
Moinsen!
Weil ich mir nen Wolf gesucht habe um die (völlig triviale) Fehlerursache zu finden...
Was tun, wenn eine über Monate stabil funktionierende VPN-Verbindung zwischen einer PfSense und einer Fritzbox plötzlich und ohne jegliche Änderung beim Verbindungsaufbau in der Phase 1 den Fehler: "found 2 matching configs, but none allows pre-shared key authentication using Aggressive Mode" bringt?
Eine weitere VPN zu einer anderen FB mit Aggressive Mode funktionierte nachwievor fehlerfrei.
Neustarten. Nope.
Logs prüfen. Proposals werden ausgetauscht. Ein passendes wird ausgewählt. Danach der Fehler.
Konfigurationen auf beiden Seiten gelöscht und neu angelegt.
Immer wieder geprüft. Definitiv ALLES richtig. Der PSK stimmt und der Aggressive Mode ist aktiviert.
In den Logs der PfSense ist sichtbar, dass die Fritzbox mit ihrer aktuellen IP eine Verbindung initiiert. Alle Einstellungen sind korrekt gesetzt.
Was tun??? Ich war mit meinem Latein erstmal am Ende.
Zwar hatte ich den Fehler schonmal, da lag aber die Ursache in den Einstellungen der Verschlüsselung, was hier auszuschliessen war.
Verzweiflungstaten wie "Werkseinstellungen" und die Büchsen komplett neu aufsetzen wollte ich mir sparen.
Also am nächsten Tag wieder ans Werk.
Irgendwann dämmerte es mir, dass eigentlich der einzige Unterschied zu der noch funktionierenden Konfiguration in der dynamischen IP-Adresse liegt. Und siehe da:
Das Update über SPDyn auf der Fritzboxseite funktionierte nicht mehr. Die Adresse löste zu einer alten IP auf. Das sieht man aber auf der Fritzbox nicht in den Logs und auch nicht auf der Übersichtsseite.
Man muss das "Internet" Menü anwählen um den Fehler zu sehen.
Die PfSense ("WeakSwan"
) gibt auch keinerlei Hinweis, dass die Auflösung des Hosts auf der Gegenseite nicht möglich ist. Sie sagt nur einfach "found x matching configs, but none allows pre-shared key authentication using Aggressive Mode" *grmpffff*
Als die FB wieder über DNS erreichbar war, ging es natürlich sofort wieder.
Merke: Auch wenn die Gegenseite die Verbindung initiiert muss der Name des gesetzten Identifiers für den Schwan auflösbar sein, denn sonst erlaubt diese Konfiguration die PSK-Authentifizierung mit dem Aggressive Mode nicht. Irgendwie auch logisch, wenn man es sorum angeht.
Fragt nicht, was mich diese schnöde Erkenntnis an Nerven und Kaffee gekostet hat...
Doof auch, dass das Netz bei der Suche nach dem Fehler diese Ursache nicht kennt. Auch Netgate weist nicht darauf hin. Wahrscheinlich ist ausser mir bisher keiner so doof gewesen?
Vielleicht hilfts ja mal noch wem und auch mir, wenn ich in ein paar Monaten mal wieder damit konfrontiert bin. Jaaa, das Gedächtnis...
Mast und Schotbruch
Buc
Weil ich mir nen Wolf gesucht habe um die (völlig triviale) Fehlerursache zu finden...
Was tun, wenn eine über Monate stabil funktionierende VPN-Verbindung zwischen einer PfSense und einer Fritzbox plötzlich und ohne jegliche Änderung beim Verbindungsaufbau in der Phase 1 den Fehler: "found 2 matching configs, but none allows pre-shared key authentication using Aggressive Mode" bringt?
Eine weitere VPN zu einer anderen FB mit Aggressive Mode funktionierte nachwievor fehlerfrei.
Neustarten. Nope.
Logs prüfen. Proposals werden ausgetauscht. Ein passendes wird ausgewählt. Danach der Fehler.
Konfigurationen auf beiden Seiten gelöscht und neu angelegt.
Immer wieder geprüft. Definitiv ALLES richtig. Der PSK stimmt und der Aggressive Mode ist aktiviert.
In den Logs der PfSense ist sichtbar, dass die Fritzbox mit ihrer aktuellen IP eine Verbindung initiiert. Alle Einstellungen sind korrekt gesetzt.
Was tun??? Ich war mit meinem Latein erstmal am Ende.
Zwar hatte ich den Fehler schonmal, da lag aber die Ursache in den Einstellungen der Verschlüsselung, was hier auszuschliessen war.
Verzweiflungstaten wie "Werkseinstellungen" und die Büchsen komplett neu aufsetzen wollte ich mir sparen.
Also am nächsten Tag wieder ans Werk.
Irgendwann dämmerte es mir, dass eigentlich der einzige Unterschied zu der noch funktionierenden Konfiguration in der dynamischen IP-Adresse liegt. Und siehe da:
Das Update über SPDyn auf der Fritzboxseite funktionierte nicht mehr. Die Adresse löste zu einer alten IP auf. Das sieht man aber auf der Fritzbox nicht in den Logs und auch nicht auf der Übersichtsseite.
Man muss das "Internet" Menü anwählen um den Fehler zu sehen.
Die PfSense ("WeakSwan"
) gibt auch keinerlei Hinweis, dass die Auflösung des Hosts auf der Gegenseite nicht möglich ist. Sie sagt nur einfach "found x matching configs, but none allows pre-shared key authentication using Aggressive Mode" *grmpffff*Als die FB wieder über DNS erreichbar war, ging es natürlich sofort wieder.
Merke: Auch wenn die Gegenseite die Verbindung initiiert muss der Name des gesetzten Identifiers für den Schwan auflösbar sein, denn sonst erlaubt diese Konfiguration die PSK-Authentifizierung mit dem Aggressive Mode nicht. Irgendwie auch logisch, wenn man es sorum angeht.
Fragt nicht, was mich diese schnöde Erkenntnis an Nerven und Kaffee gekostet hat...
Doof auch, dass das Netz bei der Suche nach dem Fehler diese Ursache nicht kennt. Auch Netgate weist nicht darauf hin. Wahrscheinlich ist ausser mir bisher keiner so doof gewesen?
Vielleicht hilfts ja mal noch wem und auch mir, wenn ich in ein paar Monaten mal wieder damit konfrontiert bin. Jaaa, das Gedächtnis...
Mast und Schotbruch
Buc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618585
Url: https://administrator.de/contentid/618585
Printed on: April 19, 2024 at 00:04 o'clock
1 Comment
Der Fehler tritt übrigens in neueren PfSensen (ab 2.4.5?) auch auf, wenn in der Phase 1 für den Identifier "Key ID Tag" gesetzt ist. Das war vorher m.E. zwingend notwendig wenn die Fritte hinter einer dyn. IP werkelt.
Nun muss das auf "Distinguished Name" gesetzt sein und den Hostnamen der FB beinhalten. (Also z.B. MyFritz-Adresse oder andere DynDNS-Adresse der Fritzbox.)
e mare libertas
Buc
Nun muss das auf "Distinguished Name" gesetzt sein und den Hostnamen der FB beinhalten. (Also z.B. MyFritz-Adresse oder andere DynDNS-Adresse der Fritzbox.)
e mare libertas
Buc
