pfSense do Azure IPsec IKEv2 VPN se úplně nezačne připojovat

VPN
1

Vyměnil jsem UDM Pro za pfSense a pfSense se nemůže navázat spojení s Azure VPN, ke kterému se UDM Pro dříve připojovalo. Konfigurace na straně Azure byla ponechána beze změny, kromě změny PSK. Azure GW je služba Basic SKU, takže politika IPsec / IKE na připojení je ponechána výchozí.

Zdá se, že AES256/SHA1/DH2 má na straně pfSense nejlepší šanci na úspěch při kontrole logů IPsec pfSense. Tady je, co mi zůstalo:

Nov 3 13:18:06	charon	17277	05[KNL] vytvářím úlohu pro získání politiky <pfSenseWAN1_IP>/32|/0 === <AzureGW_IP>/32|/0 s reqid {1}
Nov 3 13:18:06	charon	17277	14[CFG] ignorování získání pro reqid 1, pokus o připojení se zdržuje
Nov 3 13:18:16	charon	17277	14[NET] <288> přijatý paket: od <AzureGW_IP>[500] k <pfSenseWAN1_IP>[500] (620 bajtů)
Nov 3 13:18:16	charon	17277	14[ENC] <288> analyzovaný požadavek IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Nov 3 13:18:16	charon	17277	14[CFG] <288> hledám IKE konfiguraci pro <pfSenseWAN1_IP>...<AzureGW_IP>
Nov 3 13:18:16	charon	17277	14[CFG] <288> kandidát: <pfSenseWAN1_IP>...<AzureGW_IP>, priorita 3100
Nov 3 13:18:16	charon	17277	14[CFG] <288> našla odpovídající ike konfiguraci: <pfSenseWAN1_IP>...<AzureGW_IP> s prioritou 3100
Nov 3 13:18:16	charon	17277	14[IKE] <288> místní bod konce změněn z 0.0.0.0[500] na <pfSenseWAN1_IP>[500]
Nov 3 13:18:16	charon	17277	14[IKE] <288> vzdálený bod konce změněn z 0.0.0.0 na <AzureGW_IP>[500]
Nov 3 13:18:16	charon	17277	14[IKE] <288> obdrženo ID vendor MS NT5 ISAKMPOAKLEY v9
Nov 3 13:18:16	charon	17277	14[IKE] <288> obdrženo ID vendor MS-Negotiation Discovery Capable
Nov 3 13:18:16	charon	17277	14[IKE] <288> obdržel ID vendor Vid-Initial-Contact
Nov 3 13:18:16	charon	17277	14[ENC] <288> obdržel neznámé ID vendor: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Nov 3 13:18:16	charon	17277	14[IKE] <288> <AzureGW_IP> zahajuje IKE_SA
Nov 3 13:18:16	charon	17277	14[IKE] <288> stav IKE_SA (nepojmenovaný)[288] změna: Vytvořen => Připojuji se
Nov 3 13:18:16	charon	17277	14[CFG] <288> výběr návrhu:
Nov 3 13:18:16	charon	17277	14[CFG] <288> návrh odpovídá
Nov 3 13:18:16	charon	17277	14[CFG] <288> obdržené návrhy: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
Nov 3 13:18:16	charon	17277	14[CFG] <288> nakonfigurované návrhy: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Nov 3 13:18:16	charon	17277	14[CFG] <288> vybrán návrh: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Nov 3 13:18:16	charon	17277	14[ENC] <288> generování odpovědi IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(CHDLESS_SUP) N(MULT_AUTH) ]
Nov 3 13:18:16	charon	17277	14[NET] <288> odeslání paketu: od <pfSenseWAN1_IP>[500] k <AzureGW_IP>[500] (320 bajtů)
Nov 3 13:18:17	charon	17277	14[NET] <288> přijat paket: od <AzureGW_IP>[500] k <pfSenseWAN1_IP>[500] (620 bajtů)
Nov 3 13:18:17	charon	17277	14[IKE] <288> obdržena retransmise žádosti s ID 0, opětovně odesílám odpověď
Nov 3 13:18:17	charon	17277	14[NET] <288> odeslání paketu: od <pfSenseWAN1_IP>[500] k <AzureGW_IP>[500] (320 bajtů)
Nov 3 13:18:18	charon	17277	14[NET] <288> přijat paket: od <AzureGW_IP>[500] k <pfSenseWAN1_IP>[500] (620 bajtů)
Nov 3 13:18:18	charon	17277	14[IKE] <288> obdržena retransmise žádosti s ID 0, opětovně odesílám odpověď
Nov 3 13:18:18	charon	17277	14[NET] <288> odeslání paketu: od <pfSenseWAN1_IP>[500] k <AzureGW_IP>[500] (320 bajtů)
Nov 3 13:18:21	charon	17277	05[JOB] <287> mazání neúplného IKE_SA s <AzureGW_IP> po timeoutu
Nov 3 13:18:21	charon	17277	05[IKE] <287> stav IKE_SA (nepojmenovaný)[287] změna: Připojení => Vymazání

Když jsem spustil “Troubleshoot VPN” v Azure na GW, je zde následující:

Suma
Připojení nelze navázat, protože druhé VPN zařízení není dosažitelné
Podrobnosti
Pokud je zařízení VPN na straně klienta nedostupné nebo neodpovídá na handshake Azure VPN gateway, nelze připojení VPN navázat
Poslední běh
11/3/2023, 13:15:01

Zdá se, že logy pfSense komunikují dobře (poté se stejně odpojují), tak proč Azure tvrdí, že pfSense neodpovídá?

2

Ukaž pravidla na wan rozhraní

3

Komunikují, protože si vyměňují návrhy.
Je vaše Azure strana založená na směrování nebo podle politiky?

V logech nevidím nic, co by naznačovalo, ale myslím si, že se možná snaží přejít do fáze 2 a zde se zasekne, pokud je strana pfSense založená na politice a Azure je založené na směrování a nemá politikou založené výběry provozu.

4

https://imgur.com/a/UvpVwDH

5

Dobrý tip, nepomyslel jsem na to, podívat se na to na straně pfSense. Azure je založené na směrování. Nechal jsem režim P2 pfSense ve výchozím nastavení Tunnel IPv4. Našel jsem několik návodů, které se zdají být podobné na obou stranách jako moje, a používají směrování v Azure a ponechávají pfSense Tunnel IPv4. Změnil jsem svůj pfSense P2 na Routed VTI jen tak pro zábavu a logy vypadají stejně. Zde je příklad průvodce, který jsem porovnával Create an Azure Virtual Network Gateway IPSec VPN to PFSense