Haben an einem Standort eine USG, am anderen eine Dreammachine. VPN über IPSec lief bis vor ca. einer Woche ohne Probleme, jetzt nicht mehr. An einem dritten Standort haben wir ebenfalls eine USG, bei der das VPN zur Dreammachine mit derselben Konfiguration weiterhin funktioniert. Augenscheinlichster Unterschied ist der Firmware-Stand. AUf der USG wo es nicht klappt:
6.0.45 (Build: atag_6.0.45_14358)
Auf der USG auf der es klappt:
5.13.32 (Build: atag_5.13.32_13646)
Auf der Dreammachine:
6.2.26 (Build: atag_6.2.26_15319)
Merkwürdig ist, dass laut logs eine Verbindung wohl durchaus zustande kommt:
admin@USG-KTTP-ET:~$ show vpn ipsec sa
peer-37.72.XXX.YYY-tunnel-vti: #2, ESTABLISHED, IKEv2, 265752118a74f929:1b3a399950ff44a7
local '185.223.XXX.YYY' @ 185.223.XXX.YYY
remote '37.72.XXX.YYY' @ 37.72.XXX.YYY
AES_CBC-256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
established 727s ago, rekeying in 27315s, reauth in 26663s
peer-37.72.XXX.YYY-tunnel-vti: #1, INSTALLED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA1_96
installed 727 ago, rekeying in 1834s, expires in 2873s
in cb296b83, 912 bytes, 18 packets, 276s ago out c4fd8142,
0 bytes, 0 packets
local 0.0.0.0/0 remote 0.0.0.0/0
admin@USG-KTTP-ET:~$ sudo swanctl --log
09[NET] received packet: from 37.72.XXX.YYY[4500] to 185.223.XXX.YYY[4500] (76 bytes)
09[ENC] parsed INFORMATIONAL request 24 [ ]
09[ENC] generating INFORMATIONAL response 24 [ ]
09[NET] sending packet: from 185.223.XXX.YYY[4500] to 37.72.XXX.YYY[4500] (76 bytes)
06[NET] received packet: from 37.72.XXX.YYY[4500] to 185.223.XXX.YYY[4500] (76 bytes)
06[ENC] parsed INFORMATIONAL request 25 [ ]
06[ENC] generating INFORMATIONAL response 25 [ ]
06[NET] sending packet: from 185.223.XXX.YYY[4500] to 37.72.XXX.YYY[4500] (76 bytes)
Alles anzeigen
Soll ich die Firmware auf der USG wo es nicht klappt zurücksetzen auf die 5.13.32 (Build: atag_5.13.32_13646)? Oder gibt es eventuell einen anderen Weg, das VPN wieder ans Laufen zu bekommen