UDM/Pro Site to Site VPN Verbinding

[GodZZila]

Hallo Medeforummers,

Ik heb een vraag ik ben bezig om mijn Site2Site vpn tunnel weer in de lucht te krijgen alleen ik krijg hem niet up.

Voorheen heeft het altijd gewerkt.
Situatie was voorheen Fortigate 101E (KPN) -- Fortigate 50E (Ziggo)
Alles zit rechtstreeks aangesloten zonder modems ervoor.

Echter in de nieuwe situatie
Unifi Dream Machine SE (KPN) -- Fortigate 50E (Ziggo) krijg ik het niet werkend.
Ik probeer te kijken waarom het niet werkt. Ik probeer het te debuggen via SSH maar alle commando's die ik probeer werken niet.

Wat doe ik fout ?

show vpn ipsec sa (komt met de melding bash: show: No such file or directory)
en ook show vpn log wil niks tonen.

Kan iemand mij in de juiste richting op wijzen hoe ik dit toch kan debuggen?

Heb er ook 3 plaatjes bij gedaan met wat er ingesteld staat.

alvast bedankt voor het meedenken.

 

[gewoon in de kroeg]

Dit is iets waar ik (nog) geen kennis van heb.
Echter zie ik bij Local Adress en Remote Adress beiden beginnen met 172.
Staan beide dan op hetzelfde Pubic (WAN) adres?

 

[rogibo]

Unifi console draait op Linux. Voor Site 2 Site VPN ipsec wordt gebruik gemaakt van het pakket strongswan:

strongSwan - IPsec VPN for Linux, Android, FreeBSD, macOS, Windows

strongSwan is an open-source, modular and portable IPsec-based VPN solution

www.strongswan.org

Hoe debug je nu een en ander?

Ok, je logt in via ssh op de UDMP.
Het commando om de VPN IPSEC te debuggen is < swanctl >
(Het commando staat tussen de < > , die tekens dus niet ook intypen. Gewoon swanctl intypen.
Als je intypt < swanctl > zonder verdere opties krijg je alle opties van dat commando te zien:

swanctl

swanctl --counters (-C) list or reset IKE event counters
swanctl --initiate (-i) initiate a connection
swanctl --terminate (-t) terminate a connection
swanctl --rekey (-R) rekey an SA
swanctl --redirect (-d) redirect an IKE_SA
swanctl --uninstall (-u) uninstall a trap or shunt policy
swanctl --install (-p) install a trap or shunt policy
swanctl --list-sas (-l) list currently active IKE_SAs
swanctl --monitor-sa (-m) monitor for IKE_SA and CHILD_SA changes
swanctl --list-pols (-P) list currently installed policies
swanctl --list-authorities (-B) list loaded authority configurations
swanctl --list-conns (-L) list loaded configurations
swanctl --list-certs (-x) list stored certificates
swanctl --list-pools (-A) list loaded pool configurations
swanctl --list-algs (-g) show loaded algorithms
swanctl --flush-certs (-f) flush cached certificates
swanctl --load-all (-q) load credentials, authorities, pools and connections
swanctl --load-authorities (-b) (re-)load authority configuration
swanctl --load-conns (-c) (re-)load connection configuration
swanctl --load-creds (-s) (re-)load credentials
swanctl --load-pools (-a) (re-)load pool configuration
swanctl --log (-T) trace logging output
swanctl --version (-v) show version information
swanctl --stats (-S) show daemon stats information
swanctl --reload-settings (-r) reload daemon strongswan.conf
swanctl --help (-h) show usage information


Het commando de service te beïnvloeden is ipsec ...
Een herstart van de tunnel is dus alsvolgt te doen

< ipsec restart >

In de directory /run/strongswan/ipsec.d/tunnels staat een lang nummer met de extensie .config
Daar kun je de configuratie van je strongswan ipsec VPN vinden
Die is weer te openen en editen met vi (linux text edit tool, ook een wereld an sich om je in te verdiepen)
( https://staff.washington.edu/rells/R110/ )

Voorbeelden

Op de console van je UDMP (ingelogged via ssh dus) kun je

swanctl --list-sas

Laat je de status zien van de huidige ipsec tunnels

swanctl --log houdt de logfiles live in de gaten. Als je dan de VPN service start of stopt via de GUI kun je zien wat er mis gaat.

Als je daar verder mee komt hoor ik dat graag zo niet laat het ook even weten dan graaf ik verder met je mee.
nu slapen

 

[rogibo]

Ook handig:

https://help.ui.com/hc/en-us/articles/360002426234-UniFi-Network-Configuring-Site-to-Site-VPNs

Er was een nog betere help pagina die ik gebookmarked had maar die is dood zie ik nu..

 

[rogibo]

Nog 1 dingetje en dan ga ik echt slapen:

De log files van het ipsec proces komen net als veel andere logfiles in /var/log/messages
Met het commando < tail -f /var/log/messages kan je zien wat de logs zeggen als je via de web interface de tunnel probeert te starten
Dan kan je de logs debuggen en kom je er meestal wel uit.
Maar goed dat kan dus ook met < swanctl --log > en dan via de web GUI de VPN starten of pauzeren

 

[GodZZila]

Dit is iets waar ik (nog) geen kennis van heb.
Echter zie ik bij Local Adress en Remote Adress beiden beginnen met 172.
Staan beide dan op hetzelfde Pubic (WAN) adres?

snap de verwarring nee beiden een andere WAN. Maar zitten ook in andere subnetten. de ene is 172.16. en de andere 172.15.

 

[GodZZila]

Unifi console draait op Linux. Voor Site 2 Site VPN ipsec wordt gebruik gemaakt van het pakket strongswan:

strongSwan - IPsec VPN for Linux, Android, FreeBSD, macOS, Windows

strongSwan is an open-source, modular and portable IPsec-based VPN solution

www.strongswan.org

Hoe debug je nu een en ander?

Ok, je logt in via ssh op de UDMP.
Het commando om de VPN IPSEC te debuggen is < swanctl >
(Het commando staat tussen de < > , die tekens dus niet ook intypen. Gewoon swanctl intypen.
Als je intypt < swanctl > zonder verdere opties krijg je alle opties van dat commando te zien:

swanctl

swanctl --counters (-C) list or reset IKE event counters
swanctl --initiate (-i) initiate a connection
swanctl --terminate (-t) terminate a connection
swanctl --rekey (-R) rekey an SA
swanctl --redirect (-d) redirect an IKE_SA
swanctl --uninstall (-u) uninstall a trap or shunt policy
swanctl --install (-p) install a trap or shunt policy
swanctl --list-sas (-l) list currently active IKE_SAs
swanctl --monitor-sa (-m) monitor for IKE_SA and CHILD_SA changes
swanctl --list-pols (-P) list currently installed policies
swanctl --list-authorities (-B) list loaded authority configurations
swanctl --list-conns (-L) list loaded configurations
swanctl --list-certs (-x) list stored certificates
swanctl --list-pools (-A) list loaded pool configurations
swanctl --list-algs (-g) show loaded algorithms
swanctl --flush-certs (-f) flush cached certificates
swanctl --load-all (-q) load credentials, authorities, pools and connections
swanctl --load-authorities (-b) (re-)load authority configuration
swanctl --load-conns (-c) (re-)load connection configuration
swanctl --load-creds (-s) (re-)load credentials
swanctl --load-pools (-a) (re-)load pool configuration
swanctl --log (-T) trace logging output
swanctl --version (-v) show version information
swanctl --stats (-S) show daemon stats information
swanctl --reload-settings (-r) reload daemon strongswan.conf
swanctl --help (-h) show usage information


Het commando de service te beïnvloeden is ipsec ...
Een herstart van de tunnel is dus alsvolgt te doen

< ipsec restart >

In de directory /run/strongswan/ipsec.d/tunnels staat een lang nummer met de extensie .config
Daar kun je de configuratie van je strongswan ipsec VPN vinden
Die is weer te openen en editen met vi (linux text edit tool, ook een wereld an sich om je in te verdiepen)
( https://staff.washington.edu/rells/R110/ )

Voorbeelden

Op de console van je UDMP (ingelogged via ssh dus) kun je

swanctl --list-sas

Laat je de status zien van de huidige ipsec tunnels

swanctl --log houdt de logfiles live in de gaten. Als je dan de VPN service start of stopt via de GUI kun je zien wat er mis gaat.

Als je daar verder mee komt hoor ik dat graag zo niet laat het ook even weten dan graaf ik verder met je mee.
nu slapen

dat swanctl commando had ik ook al gevonden. Echter lukt het mij niet om deze uit te voeren in SSH. Waarschijnlijk doe ik iets verkeerd.

Hij geeft aan command nog found

 

[GodZZila]

Nog 1 dingetje en dan ga ik echt slapen:

De log files van het ipsec proces komen net als veel andere logfiles in /var/log/messages
Met het commando < tail -f /var/log/messages kan je zien wat de logs zeggen als je via de web interface de tunnel probeert te starten
Dan kan je de logs debuggen en kom je er meestal wel uit.
Maar goed dat kan dus ook met < swanctl --log > en dan via de web GUI de VPN starten of pauzeren

2022-08-31T14:39:08+02:00 UDM-TenVeldhuize syswrapper[1734]: [apply-config] using fast apply
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Trying to migrate config due to inconsistency (invalid config .versionDetail: must be between 2 and 2: .qos/ip) to resolve following issue: invalid config: configuration syntax is invalid: must be between 2 and 2: .versionDetail.qos/ip
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Starting config .versionFormat 'v2' migration for /tmp/udapi-fastapply-1916_2740_e622_53b1.cfg.tmp
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Migrating config .versionDetail.firewall/filter from 1 to 2
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Migrating config .versionDetail.firewall/mangle from 1 to 2
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Migrating config .versionDetail.firewall/mangle from 2 to 3
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Migrating config .versionDetail.firewall/nat from 1 to 2
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Migrating config .versionDetail.firewall/pbr from 1 to 2
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Migrating config .versionDetail.qos/ip from 1 to 2
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Finished config .versionFormat 'v2' migration of /tmp/udapi-fastapply-1916_2740_e622_53b1.cfg.tmp
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: config-migrate-helper: Migrated config is valid
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: vvv Apply new configuration
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [interfaces]: configuring
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [routes/static]: configuring
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [routes/ospf]: disabling
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [system]: configuring
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: *[services/radius-profiles]: configuring
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [firewall/sets]: configuring
2022-08-31T14:39:09+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [firewall/nat]: configuring
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [firewall/filter]: configuring
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [firewall/mangle]: configuring
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [qos]: disabling
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: * [vlans]: disabling
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: *[vpn/ipsec/site-to-site]: configuring
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: ^^^ Apply new configuration done
2022-08-31T14:39:11+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: svc-dpi-service: dpi stats update already in progress!
2022-08-31T14:39:11+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: process: Got process exit event for process ipsec_cmd_11


Krijg dit uit de tail van de messages. Enige fout die ik langs zie komen is dit.

config-migrate-helper: Trying to migrate config due to inconsistency (invalid config .versionDetail: must be between 2 and 2: .qos/ip) to resolve following issue: invalid config: configuration syntax is invalid: must be between 2 and 2: .versionDetail.qos/ip

Maar als ik dit google zie ik alleen doe maar een factory reset. Dat lijkt me niet echt de oplossing.

 

[rogibo]

Hmmm, ik zie dat de SE (heb zelf een gewone UDMP) toch wezenlijk anders werkt qua firmware (2.5.11) dan de standaard UDMP (1.12.22).

Als je swanctl niet als commando hebt dan wordt debuggen lastig.
Lijkt me overigens dat de enige relevante log-lines in je output deze zijn:
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: *[vpn/ipsec/site-to-site]: configuring
2022-08-31T14:39:10+02:00 UDM-TenVeldhuize ubios-udapi-server[2904]: service: ^^^ Apply new configuration done

Das... niet echt behulpzaam

Als je < ipsec --help > invoert krijg je dan output? Zo niet dan heeft Ubiquiti een hoop tooling in de 2.x firmware veranderd.
Ik vrees dat ik je dan ook niet verder kan helpen. Maar goed probeer:

Kijk hier anders even:

VPN met UDM SE - Netwerken - GoT

gathering.tweakers.net

Nog iemand met een SE en VPN issues

 

[Jambo]

Probeer eens een lagere Diffie-Hellman (DH)? 5 of zo? Ooit wel eens meegemaakt dat bepaalde combinaties encryptie/DH niet willen..