Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense

Ich möchte mich in dieser Frage nochmals auf den Wissensartikel IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten] hier im Forum beziehen, bei dem es um die Konfiguration eines Mobile Client (iPhone und iPad sowie über ein Macbook) gehen soll.

Ziel soll es sein, eine Verbindung ins LAN Netz der Pfsense Firewall aufzubauen, damit mit diversen Apps auf Daten bzw. Server und Computer zugegriffen werden kann. Das Ganze soll über die Mobile Einwahl meines Providers T-Mobile erfolgen.

Infrastruktur Bei meinem Provider Unity Media (BW) habe ich einen Business Tarif mit 5 festen IP Adressen gebucht. Welche ich in meinem eingenen Subnetz, welches mir zur Nutzung zur Verfügung gestellt wurde frei nutzen kann.

Was wurde bereits vorab geklärt? Zunächst habe ich mich bei der Telekom erkundigt, ob von Ihrer Seite irgendwelche Ports blockiert werden und ob mein gebuchter Tarif eine solche Möglichkeit bietet oder ob seitens der Telekom irgendwas mein Vorhaben verhindert. Nach 3 Telefonaten sicherten mir 2 Mitarbeiter zu, dass dies problemlos möglich sei und hier nichts blockiert werde. Auch in der Community Telekom Hilft war man sich einig. Das Funktioniert und einige betreiben ein ähnliches Setting mit der Mobilen Einwahl über VPN.

Was wurde bisher eingerichtet? Zunächst wurde and der Fritzbox Cable 6490 nur Portfreigaben eingerichtet. UDP 4500, 500 und ESP. Der Bridgemode wurde auf LAN 2 der Fritzbox aktiviert. Das Gateway meines Subnetzes wurde von UM automatisch der FB zugewiesen. Die Pfsene hat die erste (XX.XX.XX.42) der 5 IP Adressen erhalten und wurde statisch am WAN Port vergeben. Das Lan Interface hat die 192.168.10.0/24 erhalten.

hier die Screenshots dazu:

fritzbox_ohne

if-wan

if-lan

Nun habe ich mich mal an die Einrichtung der VPN Einwahl gemacht. Wie oben genannt, und Aquis Anleitung 1:1 veruscht umzusetzten.

cas

certificates

phase1

tunnels

phase2

pre-shared keys

mobile clients

firewall rules

nat

Leider funktioniert die Einwahl immer noch nicht.

Anbei mal der IPSec Log der Pfsense:


Content-Key: 349971

Url: https://administrator.de/contentid/349971

Ausgedruckt am: 06.12.2021 um 17:12 Uhr

Mitglied: Spitzbube
Spitzbube 24.09.2017 um 11:42:57 Uhr
Goto Top
Ich möchte nochmals auf die relevanten Aussagen zum eigentlichen Thema eingehen IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten:

Mal nachdenken.... Der VPN Client nutzt NAT Traversal (UDP 4500). Dadurch erkennt der Server das NAT im Spiel ist auch wenn es das nicht ist. Kann ja aber mal sein das der Client hinter einem NAT Router ist wie im Hotel, Hotspot usw. oder einen Provider nutzt der Carrier Grade NAT macht. Das machen meist die Billig Provider mit einfachen nur Surf Accounts weil sie keine freien IPv4 Adressen mehr haben....

Das hab ich oben näher erleutert. Billig ist dieser Provider bestimmt nicht :) face-smile Ich kanns dir echt nicht sagen, ob die alle lügen, jedoch wenns ein anderer User auch schon im einsatz hat wirds ja wohl gehen Link zu Thema bei T-Mobile

Habe dann meinen Bekannten gebeten, die Konfig mal mit O2 zu testen. Download der Strongswan App. Dann die vpnca.crt geladen und schwup lies sich das Samsung Galaxy S7 Problemlos verbinden!

erfolgreich mod

Siehe IPSec Log



aktuelle Portfreigaben der Fritzbox

Wäre ja wenn du NICHT in einer Kaskade arbeitest absolut sinnfrei und auch kontraproduktiv !
Erschwerend kommt dazu das die FB selber VPN Router ist und "denkt" das eingehende IPsec ist für sie selber. Hier muss man also in der FB IPsec deaktivieren bzw. es darf keinerlei VPN Konfig vorhanden sein. Ansonsten forwardet die FB die IPsec Frames nicht und blockt sie !
Das bekommst du übrigens ganz einfach raus indem du mal einen Laptop statt der pfSense anschliesst am gleichen Port. Laptop mit gleicher IP wie die pfSense und pfSense abgezogen.
Dann startest du einen Wireshark Sniffer auf dem Laptop
Jetzt aktivierst du den VPN Client und checkst ob dort eingehende IPsec Pakete (IKE, ESP) ankommen !
Ist das der Fall klappt das Forwarding. Kommen sie nicht blockt die FB.
Ohne Wioreshark geht das auch sehr einfach mit der Paket Sniffer Funktion direkt in der pfSense unter "Diagnostics" !!
Wie gesagt...eigentlich alles sinnfrei denn du arbeitest ja eben NICHT in einer NAT Kaskade wie du selber sagst. Folglich ist dann auch Port Forwarding im Router davor sinnlos. Deine FB arbeizet dann vermutlich nur als reines Modem.

Ein anderer Freund meinte auch, dass die Fritzbox keine Ports für die Pfsense aufmachen müsste. Nach einem Test über die Pfsense und das Tool Packet Capture konnte ich ohne Portfreigabe an der Fritzbox von 4500, 500 und ESP keine ankommenden Paktete IKE, ESP feststellen, sondern nur mit dieser Freigabe. Auch meine er, dass ein gesondertes Aktivieren des Bridge Modes nicht nötig sei, da dieser schon von Werk aus aktiviert ist. Auch das habe ich getestet und konnte keinen Unterschied zwischen deaktiviertem und aktiviertem Bridge Modus feststellen.
Mitglied: transocean
transocean 24.09.2017 um 12:40:56 Uhr
Goto Top
Moin,

wer hat die Fritte bei Dir installiert und in Betrieb genommen? Du selbst oder ein von UM beauftragtes Serviceunternehmen?

Gruß

Uwe
Mitglied: Spitzbube
Spitzbube 24.09.2017 um 14:36:09 Uhr
Goto Top
Das Serviceunternehmen. Die FB muss ja provisioniert werden. Also rufen die dort an und geben die Mac durch und die Fritzbox erhält dann ein Config file von UM.

Aber worauf willst du hinaus?

Gruß
Philipp
Mitglied: aqui
aqui 24.09.2017 aktualisiert um 15:55:20 Uhr
Goto Top
eines Mobile Client (iPhone und iPad sowie über ein Macbook) gehen soll.
Auch Windows 10 und Android !! Soviel Zeit muss sein ;-) face-wink
Zurück zum Thema...

Was etwas unklar ist wie deine Infrastruktur aufgebaut ist.
  • Du redest von der Telekom, schreibst aber oben das du einen Unity media Vertrag hast. 2 Provider geht ja schlecht oder wie ist das zu verstehen ?
  • Dann schreibst du das du einen Business Tarif mit 5 festen IP Adressen gebucht hast. Wie ist das zu verstehen ?? Normalerweise wäre das ein kleines öffentliches Subnetz was der Provider dir routet. Das erfordert dann aber 2 Router was bei dir aber nicht gegeben ist.
  • Möglich wäre auch das diese festen IPs im Kabel Subnetz reserviert sind. Dann müsstest du diese IPs aber mit Alias IPs auf die kaskadierte pfSense bringen, was die FritzBox aber nicht supportet.
Mit der FB hast du also keinerlei Möglichkeit eine der 5 öffentlichen IPs auf die pfSense zu legen.
Das geht nur wenn du ein reines NUR Modem an der pfSense hast.

Ohne all das kannst du nur mit der FB ein Kaskaden Design machen mit 2 mal NAT und Port Forwarding.
Unity Media lässt zudem befürchten das du einen DS-Lite Anschluss bekommen hast, dann ist VPN so oder so nicht möglich jedenfalls nicht auf IPv4 Basis. Das ginge dann nur mit IPv6.
Wenn die 5 IPs aber öffentliche IPv4 Adressen sind und dabei keine RFC 1918 IPs, dann spricht das wieder gegen DS-Lite.
Fazit: Deine Provider Infrastruktur ist höchst undurchsichtig und man weiss nicht wirklich in welchem Modus die FB läuft. :-( face-sad Daraus resultieren vermutlich aiuch alle Folgeprobleme.
Vor allen Dingen welche Infrastruktur. Telekom hat kein Kabelnetz nur xDSL usw. Unity Media Kabel ist aber nicht Telekom ?!
Wie werden die IP Adressen aus dem 5er Pool zugewiesen ? PPPoE ? DHCP ?
Mitglied: transocean
transocean 24.09.2017 um 15:11:37 Uhr
Goto Top
Mir kommt das mit dem Aktivieren des Bridge Modus und den Portfreigaben merkwürdig vor. Hier habe ich eine VPN Verbindung eingerichtet, die auch funktioniert. L2TP over IPSec. Dafür braucht es keine Freigaben in der Fritte. Die macht hier nur Telefonie und arbeitet als Modem.
Mitglied: transocean
transocean 24.09.2017 um 15:38:34 Uhr
Goto Top
unbenannt


Gruß

Uwe
Mitglied: aqui
aqui 24.09.2017 aktualisiert um 16:00:47 Uhr
Goto Top
Das würde bedeuten sie routet das öffentliche IP Netz transparent durch ohne FW und NAT.
Dafür spricht dann auch die öffentliche IP.

So oder so wäre es sinnvoll den VPN Client erstmal in das WAN Port Netz der pfSense zu bringen und mal wasserdicht auszutesten ob das VPN überhaupt funktioniert und ob nicht dort schon Konfig Fehler gemacht wurden.
Das sollte der erste Step sein beim Troubleshooting.
Bekommt man das VPN dort sauber und fehlerfrei zum Laufen kann man sicher sein das es wenigstens an der VPN Einrichtung NICHT mehr liegt sollten dann noch wider Erwarten Fehler auftreten.

Also am WAN Port mal einen Switch mit einem AP anschliessen und dort dann mal Mac, Windows und kabel basierte VPN Clients anschliessen. Über den AP dann Smartphone, iPad, Tablet etc.
Quasi im Proinzig den Testaufbau machen wie im Tutorial beschrieben.
Mitglied: transocean
transocean 24.09.2017 um 16:36:34 Uhr
Goto Top
Moin aqui,

Das würde bedeuten sie routet das öffentliche IP Netz transparent durch ohne FW und NAT.
Dafür spricht dann auch die öffentliche IP.


So ist es. Und um alles andere kümmert sich die Zyxel FW.

Gruß

Uwe
Mitglied: Spitzbube
Spitzbube 24.09.2017 um 16:45:56 Uhr
Goto Top
Zitat von @aqui:

eines Mobile Client (iPhone und iPad sowie über ein Macbook) gehen soll.
Auch Windows 10 und Android !! Soviel Zeit muss sein ;-) face-wink
Zurück zum Thema...

Was etwas unklar ist wie deine Infrastruktur aufgebaut ist.
  • Du redest von der Telekom, schreibst aber oben das du einen Unity media Vertrag hast. 2 Provider geht ja schlecht oder wie ist das zu verstehen ?
  • Dann schreibst du das du einen Business Tarif mit 5 festen IP Adressen gebucht hast. Wie ist das zu verstehen ?? Normalerweise wäre das ein kleines öffentliches Subnetz was der Provider dir routet. Das erfordert dann aber 2 Router was bei dir aber nicht gegeben ist.
  • Möglich wäre auch das diese festen IPs im Kabel Subnetz reserviert sind. Dann müsstest du diese IPs aber mit Alias IPs auf die kaskadierte pfSense bringen, was die FritzBox aber nicht supportet.
Mit der FB hast du also keinerlei Möglichkeit eine der 5 öffentlichen IPs auf die pfSense zu legen.
Das geht nur wenn du ein reines NUR Modem an der pfSense hast.

Ohne all das kannst du nur mit der FB ein Kaskaden Design machen mit 2 mal NAT und Port Forwarding.
Unity Media lässt zudem befürchten das du einen DS-Lite Anschluss bekommen hast, dann ist VPN so oder so nicht möglich jedenfalls nicht auf IPv4 Basis. Das ginge dann nur mit IPv6.
Wenn die 5 IPs aber öffentliche IPv4 Adressen sind und dabei keine RFC 1918 IPs, dann spricht das wieder gegen DS-Lite.
Fazit: Deine Provider Infrastruktur ist höchst undurchsichtig und man weiss nicht wirklich in welchem Modus die FB läuft. :-( face-sad Daraus resultieren vermutlich aiuch alle Folgeprobleme.
Vor allen Dingen welche Infrastruktur. Telekom hat kein Kabelnetz nur xDSL usw. Unity Media Kabel ist aber nicht Telekom ?!
Wie werden die IP Adressen aus dem 5er Pool zugewiesen ? PPPoE ? DHCP ?

Also die Telekom nutze ich nur für Mobilfunk nicht für mehr. Da ich oft unterwegs bin, möchte ich auf meine Daten zuhause zugreifen. Unity Media ist mein Internet Provider privat, bei dem ich einen Business Tarif gebucht habe. Dazu gabs die 5 feste IP Adressen auf IPv4 Basis und ja, es ist ein kleines Subnet, welches mir der Provider stellt und nein dafür brauche ich keine 2 Router, wie jetzt klar sein dürfte, da es nur ein Internet Provider ist.

Wie schon oben geschrieben, wurde das Modem von einer Subfirma angeschlossen. Der Techniker erkläre mir das so. Sie bekommen hier die Fritzbox Cable 6490 das werde ich nun provisionieren. Er hat dann die Mac Adresse abgelesen bei Unity Media angerufen und diese dort durchgegeben. Nach dem die Fritzbox neu gebootet hat, hatte sie dann die IP XX.XX.XX.41 in der Verbindungsübersicht eingetragen. Mehr kann ich dazu nicht sagen. Nach einigen Tagen erhielt ich dann den Brief in dem meine IP Adressdaten für das Subnetz drin standen. Von den 5 zugewiesenen Mac Adressen hab ich dann die erste der Pfsense genauer dem WAN Port zugeteilt, wie man auch oben in den Screenshots sehen kann. Wenn ich hier die Fritzbox Config hochladen könnte, dann würde ich das tun, aber die is ja ewig lang. Die 5 Adressen kann ich frei vergeben. D. h. wie bereits genannt kann ich diese einem Gerät meiner Wahl frei zuordnen.
Mitglied: Pjordorf
Pjordorf 24.09.2017 um 17:12:37 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Wie schon oben geschrieben, wurde das Modem von einer Subfirma angeschlossen.
Diesmal hat dir also eine Firma ein Modem angestöpselt. Das ist doch deine 6490 im Bridgemodus da du sonst keine Feste IP nutzen kannst, oder? Du bastelst also immer noch an dein https://www.administrator.de/forum/richtige-grundeinstellungen-pfsense-n ... oder?

Gruß,
Peter
Mitglied: Spitzbube
Spitzbube 24.09.2017 um 19:31:07 Uhr
Goto Top
Zitat von @aqui:

Das würde bedeuten sie routet das öffentliche IP Netz transparent durch ohne FW und NAT.
Dafür spricht dann auch die öffentliche IP.

So oder so wäre es sinnvoll den VPN Client erstmal in das WAN Port Netz der pfSense zu bringen und mal wasserdicht auszutesten ob das VPN überhaupt funktioniert und ob nicht dort schon Konfig Fehler gemacht wurden.
Das sollte der erste Step sein beim Troubleshooting.
Bekommt man das VPN dort sauber und fehlerfrei zum Laufen kann man sicher sein das es wenigstens an der VPN Einrichtung NICHT mehr liegt sollten dann noch wider Erwarten Fehler auftreten.

Also am WAN Port mal einen Switch mit einem AP anschliessen und dort dann mal Mac, Windows und kabel basierte VPN Clients anschliessen. Über den AP dann Smartphone, iPad, Tablet etc.
Quasi im Proinzig den Testaufbau machen wie im Tutorial beschrieben.

Aber Aqui du hast schon gelesen, dass das vom Android und mit O2 über LTE heute morgen erfolgreich geklappt hat?! :) face-smile Also kann nach meinem Verständins nur was am Client nicht stimmen oder am Provider. Wenn irgendwas nicht an der Fritzbox oder an der Pfsense stimmt, hätte sich doch das Galaxy S7 meines Kumpels heute morgen garnicht erfolgreich verbinden können.


Zitat von @Pjordorf:

Hallo,

Zitat von @Spitzbube:
Wie schon oben geschrieben, wurde das Modem von einer Subfirma angeschlossen.
Diesmal hat dir also eine Firma ein Modem angestöpselt. Das ist doch deine 6490 im Bridgemodus da du sonst keine Feste IP nutzen kannst, oder? Du bastelst also immer noch an dein https://www.administrator.de/forum/richtige-grundeinstellungen-pfsense-n ... oder?

Gruß,
Peter

Zitat von @Pjordorf:

Hallo,

Zitat von @Spitzbube:
Wie schon oben geschrieben, wurde das Modem von einer Subfirma angeschlossen.
Diesmal hat dir also eine Firma ein Modem angestöpselt. Das ist doch deine 6490 im Bridgemodus da du sonst keine Feste IP nutzen kannst, oder? Du bastelst also immer noch an dein https://www.administrator.de/forum/richtige-grundeinstellungen-pfsense-n ... oder?

Gruß,
Peter

Hallo Peter. Also Provisionieren kann ich das Modem schlecht selber. Abgesehen von der Authorisierung gegenüber Unity Media in BW wüsste ich noch nicht mal was zutun ist. Aber die Portfreigaben UDP 4500 500 und ESP hab ich selber eingerichtet.
Mitglied: Pjordorf
Pjordorf 25.09.2017 um 00:33:30 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Also Provisionieren kann ich das Modem schlecht selber.
Sagt wer?

Abgesehen von der Authorisierung gegenüber Unity Media in BW wüsste ich noch nicht mal was zutun ist.
Du brauchst nur fehlerfrei zu lesen und dies auch artikulieren können. Lies die CM MAC und die Seriennummer deiner Fritte ab und gib die an UM fehlerfrei weiter. mehr ist es nicht :-) face-smile
Lies dies hier mal und du wirst feststellen das manch einer dazu immer noch Konfigurieren sagt :-) face-smile https://www.heise.de/forum/heise-online/News-Kommentare/Routerzwang-Hers ...

Gruß,
Peter

PS. Da hat das Marketing von UM geklappt - dir unbekannte Fremdwörter nutzen um an dein Geld zu kommen :-) face-smile
Mitglied: Spitzbube
Spitzbube 25.09.2017 um 05:31:35 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Spitzbube:
Also Provisionieren kann ich das Modem schlecht selber.
Sagt wer?

Abgesehen von der Authorisierung gegenüber Unity Media in BW wüsste ich noch nicht mal was zutun ist.
Du brauchst nur fehlerfrei zu lesen und dies auch artikulieren können. Lies die CM MAC und die Seriennummer deiner Fritte ab und gib die an UM fehlerfrei weiter. mehr ist es nicht :-) face-smile
Lies dies hier mal und du wirst feststellen das manch einer dazu immer noch Konfigurieren sagt :-) face-smile https://www.heise.de/forum/heise-online/News-Kommentare/Routerzwang-Hers ...

Gruß,
Peter

PS. Da hat das Marketing von UM geklappt - dir unbekannte Fremdwörter nutzen um an dein Geld zu kommen :-) face-smile

Zitat von @Pjordorf:

Hallo,

Zitat von @Spitzbube:
Also Provisionieren kann ich das Modem schlecht selber.
Sagt wer?

Abgesehen von der Authorisierung gegenüber Unity Media in BW wüsste ich noch nicht mal was zutun ist.
Du brauchst nur fehlerfrei zu lesen und dies auch artikulieren können. Lies die CM MAC und die Seriennummer deiner Fritte ab und gib die an UM fehlerfrei weiter. mehr ist es nicht :-) face-smile
Lies dies hier mal und du wirst feststellen das manch einer dazu immer noch Konfigurieren sagt :-) face-smile https://www.heise.de/forum/heise-online/News-Kommentare/Routerzwang-Hers ...

Gruß,
Peter

PS. Da hat das Marketing von UM geklappt - dir unbekannte Fremdwörter nutzen um an dein Geld zu kommen :-) face-smile

Peter, es geht nicht darum, welche Marketinginstrumente nun funktionieren oder nicht sondern darum, dass ich mich vor einiger Zeit für ein Produkt entschieden habe, von welchem ich glaubte, es würde mir A einen besseren Service als Business Kunde bieten und B mit den IP Adressen eine besserere Adressierung des Anschlusses bringen. In dem Netzwerk soll ja noch ein bisschen was gehostet werden und da verspreche ich mir zumindest von einer statischen IP mehr wie von irgend einem DS Lite IPv6 Anschluss. Das hatte auch bautechnische Grüne, da zum einen im Hause schon viele nen Kabelanschluss hatten und zum anderen die bautechnischen Maßnahmen erheblich größer wären und die Telekom der Hausverwaltung und den Eigentümern hier nicht entgegen gekommen ist. Und zu guter letzt C war hier am Standort nur DSL 16000 maximal möglich und dass auch nur wenn keiner dazwischen funkt. Daher war es für mich leichter mit einem bestehenden Vertrag hier einzuziehen, die Unity Media gratis Sanierung fürs komplette Haus mitzunehmen und einen schnellen Anschluss zu haben. Also was hätte ich machen sollen. Sonderkündigungsrecht gabs nicht, da der Anschluss durch modernisierung raslisierbar war und auch noch Restlaufzeit des Vertrages, dann die Eigentümer eh nur einer Kabel BW modernisierung zugestimmt haben weil die für die Wohnungswirtschaft besonders preiswert war und die Telekom nichts geeignetes im Angebot hat!? Wenn man Eigentum hat kann man trotzdem nicht immer so wie man will, ausser du kaufst dir ein Haus legst deine eigene Leitung hin und bist dein eigener Herr, aber mal ehrlich, das geht sowas von am Thema vorbei hier.
Mitglied: Pjordorf
Pjordorf 25.09.2017 um 09:04:25 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Peter, es geht nicht darum, welche Marketinginstrumente
Richtig, weswegen es auch nur ein PS war. Falls du noch immer nicht weisst was mit Provisioning in der IT gemeint ist dann besorg dir ein neues Google, deins ist kaputt.

Warum, wieso, weshalb usw. du dort einen UM Anschluss hast ist uns wumpe. Das sich dein UM Anschluss nicht ändert nur weil ein Subunternehmer dort rum fummelt ist auch klar. Und wenn der Fachmann dir nicht erklären konnte was ein Provisioning dort bedeutet und macht, sorry, aber du hättest ihn ja fragen können.

Und wenn du immer noch deinen UM in BW in betrieb am nehmen bist, dir sind die Technischen Unterschiede zwischen NRW un BW bekannt und kannst auch erkennen wie die umgesetzt wurden bzw. sind. Ich hab bisher nur Fritten an UM in NRW angepappt, mit fester Öffentliche IP und Telefonie, und dazu braucht es einen 2tem Router der das Kundennetz sauber trennt. Da ist also dann immer die UM eigene Fritte dran und den Kundeneigenen Router für sein Heimspiel.

Den Link von hier https://www.administrator.de/content/detail.php?id=349971#comment-123254 ... hast du schon gelesen und Verstanden, oder? Und auch dein https://www.administrator.de/forum/richtige-grundeinstellungen-pfsense-n ... hast du wohl noch nicht vergessen?

Vielleicht solltest du das lassen und jemand holen der es kann bzw. auch versteht was er/sie dort tut...

Gruß,
Peter
Mitglied: Dobby
Dobby 25.09.2017 um 16:48:04 Uhr
Goto Top
Hallo,

die meisten Anwender, benutzen leider recht oft OpenVPN und deswegen ist bei der aktuellen pfSense 2.3.x & 2.4.0
etwas deaktiviert (AES-NI) was IPSec natürlich so richtig beschleunigt also bitte einmal nachschauen und aktivieren
wenn noch nicht geschehen, oder sogar IPSec selber ist nicht aktiviert, da sollte man aber auch noch einmal direkt
bei pfSense im Forum oder hier den @aqui nachfragen bzw. ansprechen.

So ist es zumindest sehr oft in dem pfSense Forum (engl. Teil) seitens der Entwickler beschrieben wurden, ich versuche
noch einmal heraus zu finden ob ich eine dieser Aussagen wiederfinde und verlinke sie dann einfach hier.

Also wenn Unitimedia Dir 5 IP Adressen zur Verfügung stellt sind in der Regel nur 3 oder 4 davon nutzbar, für solche
und andere Zwecke, denn eine ist das Gateway und die andere die Broadcast oder DHCP Adresse. Einfach mal eine
andere IP Adresse ausprobieren und gut ist es.

T-Mobile kann bei seinem LTE Vertrag und Netz auch solche Träger und Transfernetze dazwischen schalten, also
einfach mal versuchen heraus zu finden ob dem so ist, die AVM FB hat auch Apps mit denen man sich einwählen
kann, einfach mal damit einen Versuch machen und dann sieht man sehr schnell bzw. sehr viel schneller ob es
überhaupt eine VPN Verbindung erlaubt bzw. ermöglicht!

Und zu guter Letzt sollte man auch einmal versuchen zu klären was da eigentlich mit der AVM FB los ist, also in
welchem Zustand sie sich nun wirklich befindet!!!! Denn einige Aussagen hier sind so richtig fälschlich zu verstehen
oder zu deuten, mal ein paar Beispiele dazu;
  • Entweder die AVM FB ist im "Bridged Modus" und die Telefonie und WLAN funktionieren nicht mehr wegen der
fehlenden Routerfunktion. Oder aber,....
  • Man hat die AVM FB nicht in den so genannten "Bridge Modus" versetzt und nicht alle Port und Protokolle
weitergeleitet! Kommt auch immer mal wieder gerne vor.

Gruß
Dobby

Mitglied: Spitzbube
Spitzbube 25.09.2017 um 22:22:09 Uhr
Goto Top
Zitat von @Dobby:

Hallo,

die meisten Anwender, benutzen leider recht oft OpenVPN und deswegen ist bei der aktuellen pfSense 2.3.x & 2.4.0
etwas deaktiviert (AES-NI) was IPSec natürlich so richtig beschleunigt also bitte einmal nachschauen und aktivieren
wenn noch nicht geschehen, oder sogar IPSec selber ist nicht aktiviert, da sollte man aber auch noch einmal direkt
bei pfSense im Forum oder hier den @aqui nachfragen bzw. ansprechen.

Also AES-NI ist ausgewählt.

aes-ni

So ist es zumindest sehr oft in dem pfSense Forum (engl. Teil) seitens der Entwickler beschrieben wurden, ich versuche
noch einmal heraus zu finden ob ich eine dieser Aussagen wiederfinde und verlinke sie dann einfach hier.

Also wenn Unitimedia Dir 5 IP Adressen zur Verfügung stellt sind in der Regel nur 3 oder 4 davon nutzbar, für solche
und andere Zwecke, denn eine ist das Gateway und die andere die Broadcast oder DHCP Adresse. Einfach mal eine
andere IP Adresse ausprobieren und gut ist es.

Das mit der anderen IP hab ich auch schon versucht. Leider klappte das auch nicht. Aber wie gesagt, dass sind wirklich 5 zur freien Nutzung

XX.XX.XXX.41 = Gateway

XX.XX.XXX.42 = Pfsense

XX.XX.XXX.43 = frei

XX.XX.XXX.44 = frei

XX.XX.XXX.45 = frei

XX.XX.XXX.46 = frei


T-Mobile kann bei seinem LTE Vertrag und Netz auch solche Träger und Transfernetze dazwischen schalten, also
einfach mal versuchen heraus zu finden ob dem so ist, die AVM FB hat auch Apps mit denen man sich einwählen
kann, einfach mal damit einen Versuch machen und dann sieht man sehr schnell bzw. sehr viel schneller ob es
überhaupt eine VPN Verbindung erlaubt bzw. ermöglicht!

Ja, das ist mir durchaus klar. Hab heute nochmals auf Arbeit mit ner anderen O2 Karte eines Kollegen getestet. Also in das iPhone eingelegt und VPN aktiviert. Merkwürdig dabei war, dass er der Aktivierungsschalter des VPN sofort zurückgeschnappt ist und sich nie komplett einschalten ließ und auch eingeschaltet blieb, jedoch am Sa. war ja das Galaxy S7 meines Kumpels mit O2 erfolgreich verbunden. Auch wie im Tutorial von @aqui super beschrieben: Strongswan drauf installiert. VPNCA.crt geladen, verbunden. Dazu hab ich dann ja auch Logs und Screenshots gepostet, die hat aber wohl niemand beachtet oder kommentiert.

Bei Gelegenheit teste ich das noch mit nem Businessvertrag der Telekom gegen.

Ich denke halt nach dem Ausschlussprinzip: Wenn das S7 mit O2 verbinden kann, liegt es wohl eher an der Telekom und oder am iPhone als am Samsung Smartphone oder an O2, die möglicherweise eine andere Infrastruktur haben / nutzen, mit anderen Ports / Settings.
Sonst wäre ja die Verbindung mit O2 sicherlich auch bei ner falschen Konfig irgenwo abgebrochen oder nicht zustande gekommen.

Leider habe ich die Strongswan App nicht im iOS Appstore gefunden, obwohl auf der Herstellerseite eine Verfügbarkeit angegeben wird. Vllt. wurden die Features auch in die iOS Versionen 10 und 11 implementiert, dass somit keine gesonderte App mehr erforderlich ist.

Den einzigen Unterschied, den ich erkennen kann ist, dass Android / Strongswan die VPN.ca nutzt und iOS auf den Pre Shared Key geht.

Und zu guter Letzt sollte man auch einmal versuchen zu klären was da eigentlich mit der AVM FB los ist, also in
welchem Zustand sie sich nun wirklich befindet!!!!

So sieht das Bridge Interface nach der expliziten Aktivierung durch mich aus. Werksseitug sind alle 3 Haken gesetzt, aber da ich nicht wusste, ob die Bridge nun aktiviert ist oder nicht (wie soll man es nur durch das Interface auch erkennen, wenn alle 3 Haken gesetzt sind?) habe ich das mal auf den LAN 2 reduziert und mit einem Klick auf OK übernommen. Daher behaupte ich mal vorsichtig, dass der Bridge Mode nun somit aktiviert wurde.

fritzbox bridge option

Anbei mal der Export Datei nach dem aktivieren des Bridge Modes der Fritzbox:


Denn einige Aussagen hier sind so richtig fälschlich zu verstehen
oder zu deuten, mal ein paar Beispiele dazu;
  • Entweder die AVM FB ist im "Bridged Modus" und die Telefonie und WLAN funktionieren nicht mehr wegen der
fehlenden Routerfunktion. Oder aber,....
  • Man hat die AVM FB nicht in den so genannten "Bridge Modus" versetzt und nicht alle Port und Protokolle
weitergeleitet! Kommt auch immer mal wieder gerne vor.

Das kann ich mir gut vorstellen. Ich möchte mich dafür auch entschuldigen. Sicher war es nicht meine Absicht, hier leute zu verwirren, jedoch versuche ich das so wiederzugeben, wie ich es mit meinem geringen technischen Verstand wiedergeben kann. Ich versteh, dass ihr das nicht immer gleich nachvollziehen könnt, und mir würde das sicherlich genauso gehen, jedoch fühle ich mich in den den Punkten echt falsch verstanden und muss mich über den Ton bzw. die Art und Weise echt wundern :) face-smile

Da kommt wieder von irgend einem User wieder ein total unqualifizierter Komentar, dann fragt man nach der Provisionierung und nach irgendwelchen Subfirmen, wo ich mich echt frage: Arbeitet der wirklich als IT-Berater? Geht der in diesem Ton auch so mit seinen Kunden um? Dann gibst Ihm ne ehrliche Antwort so wie du es mit deinen Möglichkeiten kannst und dann kommt noch mehr bla blub dein google is kaputt ;) dabei raus und eigentlich war er ja raus aus dem Thema wie er mal schrieb, aber eigentlich ist ja ein Widerspruch und dann denkst dir gut, mich ärgert nur, dass ich so ehrlich war und ihm das mitgeteilt habe, wie es gelaufen ist und dann kommt wieder nur ein Rumgekacke auf irgend nem Müll wo ihn doch keiner gefragt hat. Grundsätzlich bin ich sehr dankbar für jede Hilfe und das weiß ich sehr zu schätzen, dass Ihr eure Zeit opfert.

Ja bitte wie wie soll ich das ohne Know How denn nennen :) face-smile Ihr praktiziert das Teilweise täglich und habt hier schon euer Standing. Ich muss mir das noch erst aneignen. Aber ich will versuchen, dass nochmals zu klären.

Wie oben geschrieben, du siehst es über die Gui schlicht weg einfach nicht, ob Bridge aktiv ist oder nicht, wenn die 3 Haken LAN2, LAN3, LAN4 ab Werk gesetzt sind oder ob das nur angezeigt wird. Deshalb hab ich die Haken bei LAN3 und LAN4 entfernt und und nur den LAN2 gesetzt gelassen, dann nochmals explizit mit OK bestätigt, um das unterscheiden zu können, da die Pfsense nur an LAN2 angeschlossen ist. Das ist meine Auffassung.

Das was du meintest war meine Aussage zur Portfreigabe UDP 4500 und 500 sowie ESP. Das hab ich mit dem Packet Caputure der Pfsense nachgeprüft. Waren die Portfreigaben aktiviert kammen auch Pakete UDP 4500 und 500 an und ohne diese von mir freigegebenen Ports eben nicht. Dafür habe ich Logs, welche das belegen. Dort seh ich doch die Einträge beim VPN Aufbau vom iPhone ankommen.

Hier der Wireshark Mitschnitt mit geöffneten Ports UDP 4500 und 500 sowie ESP an der Fritzbox und allow all auf dem IPSec Interface der Pfsense.



Was ich nicht ganz verstehe:

ist Aquis Test:

So oder so wäre es sinnvoll den VPN Client erstmal in das WAN Port Netz der pfSense zu bringen und mal wasserdicht auszutesten ob das VPN überhaupt funktioniert und ob nicht dort schon Konfig Fehler gemacht wurden.

Wie sieht das dann in der Praxis aus?

Auf dem Mac konfiguriere ich einfach die VPN wie in deiner Anleitung beschrieben und vergebe dann am Thunderbold Ethernet die XX.XX.XXX.41 Teilnetzmaske 255.255.255.254 Router XX.XX.XXX.41 ?

Also am WAN Port mal einen Switch mit einem AP anschliessen und dort dann mal Mac, Windows und kabel basierte VPN Clients anschliessen. Über den AP dann Smartphone, iPad, Tablet etc.

Würde das ausreichen, eine alte Fritzbox auf LAN1 mit dem WAN Port der Pfsense zu verbinden, die Portfreigaben UDP 4500 500 und ESP zu machen und mich dann ins WLAN der alten Fritzbox hängen um dann auf welche IP? (XX.XX.XXX.42 der Pfsense) zu zugreifen oder muss die IP des WAN Interfaces der Pfsense und die VPN Config auf die IP 192.168.178.XY der alten angeschlossenen Fritzbox angepasst werden? Kannst du mir das genau erklären? Gibts hinsichtlich der Fritzbox spezielle Einstellungen die noch zu treffen sind?

Zur verfügung hab ich:

- Diverse Switche

- Nen Fritz Repeater 1750E mit LAN Anschluss.

- Ne Fritzbox 7270 und ne Fritbox 7490

- Diverse Lan Kabel

Grüße
Und nochmals danke für alles bis dahin!!!
wireshark mod
Mitglied: aqui
aqui 26.09.2017 aktualisiert um 12:05:52 Uhr
Goto Top
Aber wie gesagt, dass sind wirklich 5 zur freien Nutzung
Ist ja auch klar ! In der Regel bekommt man dann einen /29er Prefiix und hat dann 6 nutzbare IP Adressen in dem Subnetz. Beispiel:
Netzadresse:192.168.1.0
Broadcast:192.168.1.7
Host-IPs von:192.168.1.1 bis:192.168.1.6

Bei deiner Adressierung dann:
Netzadresse:192.168.1.40
Broadcast:192.168.1.47
Host-IPs von:192.168.1.41 bis:192.168.1.46

Entspricht dann also deiner Angabe von oben und ist soweit richtig.
dass er der Aktivierungsschalter des VPN sofort zurückgeschnappt ist und sich nie komplett einschalten ließ
Zeigt das die VPN Konfig des iPhones fehlerhaft ist. Vermutlich statt IKEv2 dann "Cisco IPsec" genommen was dann natürlich in die Hose geht.
Die pfSense Konfig ist immer IKEv2 basierend !! Folglich dann auch der Client.
Leider habe ich die Strongswan App nicht im iOS Appstore gefunden
Wäre ja auch völliger Schwachsinn (sorry) bei iPhone und iPad da die ja von sich aus einen IKEv2 Client schon an Bord haben. Wer wäre dann also so blöd und würde noch ein sinnlose zusätzliche App dafür rausbringen. Macht ja logischerweise keinen Sinn !
iOS Versionen 10 und 11 implementiert, dass somit keine gesonderte App mehr erforderlich ist.
Genau so ist es !! Mann muss eben nur aufs "richtige" IPsec klicken und "IKEv2" auswählen ! Steht aber auch so ganz groß im Tutorial ;-) face-wink
Daher behaupte ich mal vorsichtig, dass der Bridge Mode nun somit aktiviert wurde.
Kannst du ja mal wasserdicht testen indem du auf der pfSense dahinter an der WAN Port Regel ICMP auf das WAN Interface erlaubst.
Damit ist dann das Firewall Interface pingbar von außen ! (Solltest du später wieder deaktivieren die Regel)
Mit den entsprechenden kostenlosen Hurricane Tools aus dem App Store:
https://itunes.apple.com/de/app/he-net-network-tools/id858241710?mt=8
kannst du dann das WAN Interface, oder auch alle anderen IPs deines 5er Kontingents anpingen.
Das ist wenigstens ein wasserdichter Test das die IP Connectivity dann sauber funktioniert von iPhone und iPad.
Später kann man damit dann auch Endgeräte im VPN pingen. Die HE Tools sind also sehr hilfreich beim Troubleshooting mit Apple Mobilgeräten.
Waren die Portfreigaben aktiviert kammen auch Pakete UDP 4500 und 500 an
Das sieht doch dann sehr gut aus !!
und allow all auf dem IPSec Interface der Pfsense.
Auf dem internen IPsec Interface meinst du, oder ? Nicht etwa das WAN Interface da wäre "allow all" tödlich.

Zu deiner Frage wie ein Testaufbau aussieht:
Das ist ganz einfach und schnell gemacht !!
Du klemmst an den WAN Port der pfSense einen kleinen Switch aus der Bastelkiste und wenn du hast einen WLAN Accesspoint damit die die Mobilgeräte via WLAN testen kannst.
Der pfSense gibst du am WAN Port testweise die statische IP 10.1.1.1 /24
Mit der WAN Regel erlaubst du dann
  • RFC 1918 Netze (Haken entfernen)
  • UDP 500, 4500 und ESP von "ANY" auf die WAN IP
  • Testweise erlaubst du noch ICMP von "ANY" auf die WAN IP um pingen zu können
Jetzt steckst du z.B. einen Kupferclient auf den Switch und buchst ein iPhone, Android etc. ins WLAN ein.
Dann pingst du testweise von allen Cliewnts mal das WAN Interface 10.1.1.1 was sauber klappen sollte wenn die Regel stimmt.
Den Clients musst du testweise dann statische IPs aus dem 10.1.1.0er netz geben oder wenn der AP es supportet schlatest du da einen DHCP Server aktiv der IP Adressen verteilt oder nutzt eine Software auf dem PC den du am Switch hast wie z.B.:
http://www.dhcpserver.de/cms/
Das erspart dir dann die manuelles IP Vergabe und macht das testszenario noch realistischer.
Gut, damit sind dann alle Clients quasi im "Internet" mit der pfSense IP seitig verbunden.
Nun startest du den Client, konfigurierst den auf die 10.1.1.1 als Ziel mit allen im Tutorial beschrieben Settings (die du ja schon gemacht hast).
Und nun muss sich fehlerlos eine sauberer VPN Verbindung herstellen lassen.
Klar, denn du hast erstmal ja nichts was zwischen VPN Client und Firewall ist. Hier kommt also die VPN Verbindung fehlerfrei zustande und für dich ist das dann ein ganz sicheres Indiz das die VPN Verbindung mit User/Pass usw. komplett richtig ist und die sauber funktioniert.
Etwaige Fehler können dann also ausschliesslich nur durch die Netzwerk Infrastruktur kommen wenn du wieder ans "heiße" Internet geht. Dadurch engst du deine Troubleshooting Option schon mal erheblich ein und musst nicht überall suchen.
So sähe das dann aus was das Testsetup aus Layer 3 Sicht anbetrifft:

testvpn
Eigentlich doch ganz einfach und logisch ;-) face-wink
Mitglied: Spitzbube
Spitzbube 26.09.2017 um 21:01:42 Uhr
Goto Top
Bitte beachten! Ich habe da keine falschen iOS VPN Settings eingestellt. Der Verbindungsschalter is lediglich bei der eingelegten O2 Karte meines Kollegen sofort zurückgeschnappt. Es war schon immer wie du in deinem Tutorial angibst die IKEv2 eingestellt und nichts anderes. Bei meinem Kumpel am Sa. gings ja über LTE. Anderer Vertrag andere Funktzelle keine Ahnung und ist nur Spekulation. Fakt ist: Wenn ich meine T-Mobile Simkarte eingelegt habe, dann versucht er ne ganze Weile, die Verbindung aufzubauen und erst nach dieser Weile / Zeit wird der Versuch unterbrochen oder getrennt und der Schalter im VPN am iPhone geht aus genauso wie auf dem iPad. Was ich ja auch in den Logs gepostet habe.

--> Zum Firtbox Eport kann keiner was sagen? Dachte erst, das wäre soo eine große unbekannte Variable gewesen. Stimmt jetzt mit der Fritte alles ?

Nun zu dem Testaufbau:

Wie gennant ich den WAN Port der Pfsense auf 10.1.1.1/ 24 statisch umgestellt. IPv4 Upstream Gateway auf None. Den Haken bei Block private networks and loopback addresses hab ich entfernt.

wan interface

Die Firewall Regeln hab ich auch gesetzt:

firewall rules ipsec

firewall rules wan

Anschließend hab ich den WAN Port mit einem Switch verbunden. Am Macbook dann Manuell die IP 10.1.1.3 zugewiesen. ein erster Ping auf die IP 10.1.1.1 war erfolgreich.

mac netzwerk

Dann eine alte Fritzbox 7270 genommen und unter dem Punkt Zugangsdaten -> Internet über LAN 1 aktiviert sowie die Betriebsart auf IP-Client und die IP Adresse der Fritzbox auf manuell 10.1.1.2

Die Mobilen Clients wollten dann nicht mit dem WLAN verbinden. Zwar hab ich diese angezeigt bekommen, jedoch wurde am iPhone keine automatische IP gezogen. Dann hab ich versucht, diese auf manuell umzustellen und zu Verbinden. Hier schnappte der Schalter sofort zurück.

iphone

Danach habe ich die ganze VPN Konfiguration an der Pfsense nochmals gelöscht und sie der 10.1.1.1 angepasst und mich an deinem Tutorial gehalten.

cas
certificates
phase 1
phase 2


Dabei dann beim ServerZert -> Common Name: die 10.1.1.1 eigetragen

FQDN: pfsense

und nochmals geadded -> IP Adresse -> 10.1.1.1

Bei Mobile Clients hab ich den Adresspool so gelassen wie in der Anleitung

In der Phase 1 hab ich unter My Identifier: 10.1.1.1 eingetragen was ja dem Disinguished Name später bei der VPN Konfig am Mac und bei iOS der Entferte ID entspricht, wenn ich das richtig verstanden habe.

Die Firewall Rules für UDP 500, 4500 und ESP

Hab ich auf Source Any Destiantion WAN Net und unter IPSec war ja zunächst mal die Scheunentor Regel angegeben. Dann hab ich unter Cert Manager / CAs auf der Pfense das Zertifikat heruntergeladen und auf einem USB Stick auf den Mac übertragen und dort wie in deiner Anleitung importiert und vertraut.

In den Netzwerkeinstellungen dann das VPN hinzugefügt und versucht zu verbinden.

zertifikate
mac vpn 1
mac vpn 2

Leider hat das nicht funktioniert. Anbei das Log.

Sep 26 20:19:46 charon 07[NET] <bypasslan|17> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 20:19:46 charon 07[ENC] <bypasslan|17> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 20:19:46 charon 07[IKE] <bypasslan|17> peer supports MOBIKE
Sep 26 20:19:46 charon 07[IKE] <bypasslan|17> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 20:19:46 charon 07[CFG] <bypasslan|17> no alternative config found
Sep 26 20:19:46 charon 07[IKE] <bypasslan|17> peer requested EAP, config inacceptable
Sep 26 20:19:46 charon 07[CFG] <bypasslan|17> selected peer config 'bypasslan'
Sep 26 20:19:46 charon 07[CFG] <17> looking for peer configs matching 10.1.1.1[10.1.1.1]...10.1.1.3[10.1.1.3]
Sep 26 20:19:46 charon 07[ENC] <17> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 20:19:46 charon 07[ENC] <17> unknown attribute type (25)
Sep 26 20:19:46 charon 07[NET] <17> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 20:19:46 charon 07[NET] <17> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 20:19:46 charon 07[ENC] <17> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 20:19:46 charon 07[IKE] <17> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 20:19:46 charon 07[IKE] <17> 10.1.1.3 is initiating an IKE_SA
Sep 26 20:19:46 charon 07[ENC] <17> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 20:19:46 charon 07[NET] <17> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 20:19:45 charon 09[NET] <bypasslan|16> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 20:19:45 charon 09[ENC] <bypasslan|16> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 20:19:45 charon 09[IKE] <bypasslan|16> peer supports MOBIKE
Sep 26 20:19:45 charon 09[IKE] <bypasslan|16> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 20:19:45 charon 09[CFG] <bypasslan|16> no alternative config found
Sep 26 20:19:45 charon 09[IKE] <bypasslan|16> peer requested EAP, config inacceptable
Sep 26 20:19:45 charon 09[CFG] <bypasslan|16> selected peer config 'bypasslan'
Sep 26 20:19:45 charon 09[CFG] <16> looking for peer configs matching 10.1.1.1[10.1.1.1]...10.1.1.3[10.1.1.3]
Sep 26 20:19:45 charon 09[ENC] <16> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 20:19:45 charon 09[ENC] <16> unknown attribute type (25)
Sep 26 20:19:45 charon 09[NET] <16> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 20:19:45 charon 09[NET] <16> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 20:19:45 charon 09[ENC] <16> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 20:19:45 charon 09[IKE] <16> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 20:19:45 charon 09[IKE] <16> 10.1.1.3 is initiating an IKE_SA
Sep 26 20:19:45 charon 09[ENC] <16> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 20:19:45 charon 09[NET] <16> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 20:19:44 charon 09[NET] <bypasslan|15> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 20:19:44 charon 09[ENC] <bypasslan|15> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 20:19:44 charon 09[IKE] <bypasslan|15> peer supports MOBIKE
Sep 26 20:19:44 charon 09[IKE] <bypasslan|15> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 20:19:44 charon 09[CFG] <bypasslan|15> no alternative config found
Sep 26 20:19:44 charon 09[IKE] <bypasslan|15> peer requested EAP, config inacceptable
Sep 26 20:19:44 charon 09[CFG] <bypasslan|15> selected peer config 'bypasslan'
Sep 26 20:19:44 charon 09[CFG] <15> looking for peer configs matching 10.1.1.1[10.1.1.1]...10.1.1.3[10.1.1.3]
Sep 26 20:19:44 charon 09[ENC] <15> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 20:19:44 charon 09[ENC] <15> unknown attribute type (25)
Sep 26 20:19:44 charon 09[NET] <15> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 20:19:44 charon 09[NET] <15> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 20:19:44 charon 09[ENC] <15> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 20:19:44 charon 09[IKE] <15> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 20:19:44 charon 09[IKE] <15> 10.1.1.3 is initiating an IKE_SA
Sep 26 20:19:44 charon 09[ENC] <15> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 20:19:44 charon 09[NET] <15> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 20:19:43 charon 09[NET] <bypasslan|14> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 20:19:43 charon 09[ENC] <bypasslan|14> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 20:19:43 charon 09[IKE] <bypasslan|14> peer supports MOBIKE
Sep 26 20:19:43 charon 09[IKE] <bypasslan|14> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 20:19:43 charon 09[CFG] <bypasslan|14> no alternative config found
Sep 26 20:19:43 charon 09[IKE] <bypasslan|14> peer requested EAP, config inacceptable
Sep 26 20:19:43 charon 09[CFG] <bypasslan|14> selected peer config 'bypasslan'
Sep 26 20:19:43 charon 09[CFG] <14> looking for peer configs matching 10.1.1.1[10.1.1.1]...10.1.1.3[10.1.1.3]
Sep 26 20:19:43 charon 09[ENC] <14> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 20:19:43 charon 09[ENC] <14> unknown attribute type (25)
Sep 26 20:19:43 charon 09[NET] <14> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 20:19:43 charon 09[NET] <14> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 20:19:43 charon 09[ENC] <14> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 20:19:43 charon 09[IKE] <14> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 20:19:43 charon 09[IKE] <14> 10.1.1.3 is initiating an IKE_SA
Sep 26 20:19:43 charon 09[ENC] <14> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 20:19:43 charon 09[NET] <14> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 20:19:42 charon 14[NET] <bypasslan|13> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 20:19:42 charon 14[ENC] <bypasslan|13> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 20:19:42 charon 14[IKE] <bypasslan|13> peer supports MOBIKE
Sep 26 20:19:42 charon 14[IKE] <bypasslan|13> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 20:19:42 charon 14[CFG] <bypasslan|13> no alternative config found
Sep 26 20:19:42 charon 14[IKE] <bypasslan|13> peer requested EAP, config inacceptable
Sep 26 20:19:42 charon 14[CFG] <bypasslan|13> selected peer config 'bypasslan'
Sep 26 20:19:42 charon 14[CFG] <13> looking for peer configs matching 10.1.1.1[10.1.1.1]...10.1.1.3[10.1.1.3]
Sep 26 20:19:42 charon 14[ENC] <13> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 20:19:42 charon 14[ENC] <13> unknown attribute type (25)
Sep 26 20:19:42 charon 14[NET] <13> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 20:19:42 charon 14[NET] <13> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 20:19:42 charon 14[ENC] <13> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 20:19:42 charon 14[IKE] <13> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 20:19:42 charon 14[IKE] <13> 10.1.1.3 is initiating an IKE_SA
Sep 26 20:19:42 charon 14[ENC] <13> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 20:19:42 charon 14[NET] <13> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:44:13 charon 12[NET] <bypasslan|12> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:44:13 charon 12[ENC] <bypasslan|12> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:44:13 charon 12[IKE] <bypasslan|12> peer supports MOBIKE
Sep 26 19:44:13 charon 12[IKE] <bypasslan|12> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:44:13 charon 12[CFG] <bypasslan|12> no alternative config found
Sep 26 19:44:13 charon 12[IKE] <bypasslan|12> peer requested EAP, config inacceptable
Sep 26 19:44:13 charon 12[CFG] <bypasslan|12> selected peer config 'bypasslan'
Sep 26 19:44:13 charon 12[CFG] <12> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:44:13 charon 12[ENC] <12> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:44:13 charon 12[ENC] <12> unknown attribute type (25)
Sep 26 19:44:13 charon 12[NET] <12> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:44:13 charon 12[NET] <12> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:44:13 charon 12[ENC] <12> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:44:13 charon 12[IKE] <12> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:44:13 charon 12[IKE] <12> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:44:13 charon 12[ENC] <12> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:44:13 charon 12[NET] <12> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:56 charon 10[NET] <bypasslan|11> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:56 charon 10[ENC] <bypasslan|11> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:56 charon 10[IKE] <bypasslan|11> peer supports MOBIKE
Sep 26 19:33:56 charon 10[IKE] <bypasslan|11> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:56 charon 10[CFG] <bypasslan|11> no alternative config found
Sep 26 19:33:56 charon 10[IKE] <bypasslan|11> peer requested EAP, config inacceptable
Sep 26 19:33:56 charon 10[CFG] <bypasslan|11> selected peer config 'bypasslan'
Sep 26 19:33:56 charon 10[CFG] <11> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:33:56 charon 10[ENC] <11> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:56 charon 10[ENC] <11> unknown attribute type (25)
Sep 26 19:33:56 charon 10[NET] <11> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:56 charon 14[NET] <11> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:56 charon 14[ENC] <11> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:56 charon 14[IKE] <11> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:56 charon 14[IKE] <11> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:56 charon 14[ENC] <11> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:56 charon 14[NET] <11> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:56 charon 14[NET] <bypasslan|10> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:56 charon 14[ENC] <bypasslan|10> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:56 charon 14[IKE] <bypasslan|10> peer supports MOBIKE
Sep 26 19:33:56 charon 14[IKE] <bypasslan|10> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:56 charon 14[CFG] <bypasslan|10> no alternative config found
Sep 26 19:33:56 charon 14[IKE] <bypasslan|10> peer requested EAP, config inacceptable
Sep 26 19:33:56 charon 14[CFG] <bypasslan|10> selected peer config 'bypasslan'
Sep 26 19:33:56 charon 14[CFG] <10> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:33:56 charon 14[ENC] <10> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:56 charon 14[ENC] <10> unknown attribute type (25)
Sep 26 19:33:56 charon 14[NET] <10> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:56 charon 14[NET] <10> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:56 charon 14[ENC] <10> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:56 charon 14[IKE] <10> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:56 charon 14[IKE] <10> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:56 charon 14[ENC] <10> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:56 charon 14[NET] <10> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:55 charon 14[NET] <bypasslan|9> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:55 charon 14[ENC] <bypasslan|9> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:55 charon 14[IKE] <bypasslan|9> peer supports MOBIKE
Sep 26 19:33:55 charon 14[IKE] <bypasslan|9> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:55 charon 14[CFG] <bypasslan|9> no alternative config found
Sep 26 19:33:55 charon 14[IKE] <bypasslan|9> peer requested EAP, config inacceptable
Sep 26 19:33:55 charon 14[CFG] <bypasslan|9> selected peer config 'bypasslan'
Sep 26 19:33:55 charon 14[CFG] <9> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:33:55 charon 14[ENC] <9> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:55 charon 14[ENC] <9> unknown attribute type (25)
Sep 26 19:33:55 charon 14[NET] <9> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:55 charon 14[NET] <9> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:55 charon 14[ENC] <9> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:55 charon 14[IKE] <9> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:55 charon 14[IKE] <9> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:55 charon 14[ENC] <9> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:55 charon 14[NET] <9> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:54 charon 06[NET] <bypasslan|8> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:54 charon 06[ENC] <bypasslan|8> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:54 charon 06[IKE] <bypasslan|8> peer supports MOBIKE
Sep 26 19:33:54 charon 06[IKE] <bypasslan|8> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:54 charon 06[CFG] <bypasslan|8> no alternative config found
Sep 26 19:33:54 charon 06[IKE] <bypasslan|8> peer requested EAP, config inacceptable
Sep 26 19:33:54 charon 06[CFG] <bypasslan|8> selected peer config 'bypasslan'
Sep 26 19:33:54 charon 06[CFG] <8> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:33:54 charon 06[ENC] <8> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:54 charon 06[ENC] <8> unknown attribute type (25)
Sep 26 19:33:54 charon 06[NET] <8> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:54 charon 06[NET] <8> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:54 charon 06[ENC] <8> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:54 charon 06[IKE] <8> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:54 charon 06[IKE] <8> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:54 charon 06[ENC] <8> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:54 charon 06[NET] <8> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:53 charon 06[NET] <bypasslan|7> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:53 charon 06[ENC] <bypasslan|7> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:53 charon 06[IKE] <bypasslan|7> peer supports MOBIKE
Sep 26 19:33:53 charon 06[IKE] <bypasslan|7> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:53 charon 06[CFG] <bypasslan|7> no alternative config found
Sep 26 19:33:53 charon 06[IKE] <bypasslan|7> peer requested EAP, config inacceptable
Sep 26 19:33:53 charon 06[CFG] <bypasslan|7> selected peer config 'bypasslan'
Sep 26 19:33:53 charon 06[CFG] <7> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:33:53 charon 06[ENC] <7> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:53 charon 06[ENC] <7> unknown attribute type (25)
Sep 26 19:33:53 charon 06[NET] <7> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:53 charon 06[NET] <7> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:53 charon 06[ENC] <7> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:53 charon 06[IKE] <7> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:53 charon 06[IKE] <7> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:53 charon 06[ENC] <7> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:53 charon 06[NET] <7> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:52 charon 06[NET] <bypasslan|6> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:52 charon 06[ENC] <bypasslan|6> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:52 charon 06[IKE] <bypasslan|6> peer supports MOBIKE
Sep 26 19:33:52 charon 06[IKE] <bypasslan|6> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:52 charon 06[CFG] <bypasslan|6> no alternative config found
Sep 26 19:33:52 charon 06[IKE] <bypasslan|6> peer requested EAP, config inacceptable
Sep 26 19:33:52 charon 06[CFG] <bypasslan|6> selected peer config 'bypasslan'
Sep 26 19:33:52 charon 06[CFG] <6> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:33:52 charon 06[ENC] <6> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:52 charon 06[ENC] <6> unknown attribute type (25)
Sep 26 19:33:52 charon 06[NET] <6> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:52 charon 06[NET] <6> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:52 charon 06[ENC] <6> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:52 charon 06[IKE] <6> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:52 charon 06[IKE] <6> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:52 charon 06[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:52 charon 06[NET] <6> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:50 charon 07[NET] <bypasslan|5> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:50 charon 07[ENC] <bypasslan|5> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:50 charon 07[IKE] <bypasslan|5> peer supports MOBIKE
Sep 26 19:33:50 charon 07[IKE] <bypasslan|5> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:50 charon 07[CFG] <bypasslan|5> no alternative config found
Sep 26 19:33:50 charon 07[IKE] <bypasslan|5> peer requested EAP, config inacceptable
Sep 26 19:33:50 charon 07[CFG] <bypasslan|5> selected peer config 'bypasslan'
Sep 26 19:33:50 charon 07[CFG] <5> looking for peer configs matching 10.1.1.1[pfsense]...10.1.1.3[10.1.1.3]
Sep 26 19:33:50 charon 07[ENC] <5> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:50 charon 07[ENC] <5> unknown attribute type (25)
Sep 26 19:33:50 charon 07[NET] <5> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:50 charon 07[NET] <5> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:50 charon 07[ENC] <5> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:50 charon 07[IKE] <5> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:50 charon 07[IKE] <5> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:50 charon 07[ENC] <5> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:50 charon 07[NET] <5> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:33 charon 12[NET] <bypasslan|4> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:33 charon 12[ENC] <bypasslan|4> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:33 charon 12[IKE] <bypasslan|4> peer supports MOBIKE
Sep 26 19:33:33 charon 12[IKE] <bypasslan|4> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:33 charon 12[CFG] <bypasslan|4> no alternative config found
Sep 26 19:33:33 charon 12[IKE] <bypasslan|4> peer requested EAP, config inacceptable
Sep 26 19:33:33 charon 12[CFG] <bypasslan|4> selected peer config 'bypasslan'
Sep 26 19:33:33 charon 12[CFG] <4> looking for peer configs matching 10.1.1.1[10.1.1.1]...10.1.1.3[10.1.1.3]
Sep 26 19:33:33 charon 12[ENC] <4> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:33 charon 12[ENC] <4> unknown attribute type (25)
Sep 26 19:33:33 charon 12[NET] <4> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:33 charon 07[NET] <4> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
Sep 26 19:33:33 charon 07[ENC] <4> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 26 19:33:33 charon 07[IKE] <4> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=IPSeclokal, OU=Home"
Sep 26 19:33:33 charon 07[IKE] <4> 10.1.1.3 is initiating an IKE_SA
Sep 26 19:33:33 charon 07[ENC] <4> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 26 19:33:33 charon 07[NET] <4> received packet: from 10.1.1.3[500] to 10.1.1.1[500] (604 bytes)
Sep 26 19:33:32 charon 12[NET] <bypasslan|3> sending packet: from 10.1.1.1[4500] to 10.1.1.3[4500] (80 bytes)
Sep 26 19:33:32 charon 12[ENC] <bypasslan|3> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 26 19:33:32 charon 12[IKE] <bypasslan|3> peer supports MOBIKE
Sep 26 19:33:32 charon 12[IKE] <bypasslan|3> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 26 19:33:32 charon 12[CFG] <bypasslan|3> no alternative config found
Sep 26 19:33:32 charon 12[IKE] <bypasslan|3> peer requested EAP, config inacceptable
Sep 26 19:33:32 charon 12[CFG] <bypasslan|3> selected peer config 'bypasslan'
Sep 26 19:33:32 charon 12[CFG] <3> looking for peer configs matching 10.1.1.1[10.1.1.1]...10.1.1.3[10.1.1.3]
Sep 26 19:33:32 charon 12[ENC] <3> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 26 19:33:32 charon 12[ENC] <3> unknown attribute type (25)
Sep 26 19:33:32 charon 12[NET] <3> received packet: from 10.1.1.3[4500] to 10.1.1.1[4500] (496 bytes)
Sep 26 19:33:32 charon 12[NET] <3> sending packet: from 10.1.1.1[500] to 10.1.1.3[500] (473 bytes)
tunnels
Mitglied: aqui
aqui 27.09.2017 aktualisiert um 14:21:06 Uhr
Goto Top
Die Firewall Regeln hab ich auch gesetzt:
Hier hast du schon den ersten gravierenden Fehler gemacht !!!
Du hast dort WANnet als Ziel angegeben was natürlich falsch ist ! Das Ziel ist ja die WAN IP Adresse der Firewall selber !
Folglich muss dort also als Ziel (Destination) zwingend WAN_address stehen !!
Die Mobilen Clients wollten dann nicht mit dem WLAN verbinden.
Das ist auch klar wenn du die FritzBox FALSCH mit dem WAN Port (LAN1) verbindest !! Dort greift ja dann die NAT Firewall und verhindert eine WLAN Verbindung. Logisch ! Wenn man mal nur etwas nachdenkt...
Die FB soll bei dir ja als reiner Accesspoint laufen zum Test, oder ?? Dann verbindest du sie natürlich mit dem LAN Port und nicht mit dem WAN/LAN1 Port.
Der in der FB integrierte WLAN Accesspoint arbeitet dort als Bridge zw. LAN und WLAN wie bei allen Routern auch.
Siehe auch entsprechendes Tutorial dazu:
https://www.administrator.de/wissen/kopplung-2-routern-dsl-port-48713.ht ...
Fazit: 2 gravierende Fehler im Setup wovon jeder einztelen schon zur Fehlfunktion führt. Wenn du so oberflächlich und fehlerhaft auch im Produktiv Umfeld vorgehst muss man sich ja nicht groß wundern das nix rennt :-( face-sad
Danach habe ich die ganze VPN Konfiguration an der Pfsense nochmals gelöscht und sie der 10.1.1.1 angepasst
Auch das ist vollkommen unsinnig und falsch !! Der dritte Kinken :-( face-sad
Die IPsec Konfiguration der FW ist vollkommen unabhängig von der IP Adresse ! Diese kann sich sogar per DHCP ändern. Sinnfrei das neu zu machen...aber egal schadet auch nicht, zeigt aber auch das du wieder grundsätzliche Fehler in der FW Konfig machst...siehe oben.
Der Common Name ist niemals eine IP Adresse !!! Genau das soll ja mit einem Namen, also einem einfachen ASCII String ersetzt werden gerade um genau KEINE Abhängigkeit von der IP Adresse zu schaffen.
Logisch, denn bei vielen ist die IP variabel.
OK, bei dir nicht, du könntest auch mit der IP arbeiten aber deine Clients haben fast immer wechselnde IPs. In so fern sind einfache Namen erheblich sinnvoller und machen die IPsec Konfig weniger fehleranfällig.
IPs als Identifier zu verwenden macht einzig nur Sinn in einem LAN zu LAN Umfeld mit beidseitig festen IPs sonst nicht.
Auch das steht aus genau diesem Grund mehrfach explizit im Tutorial. Lesen hilft hier also !

Weil das hier so ein Drama ist hab ich das eben mit dem aktuellsten 2.3.4p1 Patch in der pfSense (APU Hardware) nochmal verifiziert in genau dem beschriebenen Labor Setup und wie erwartet rennt es absolut fehlerfrei mit allen getestenen Clients, iPhone/iPad (iOS 10 und 11), Windows 10, Mac OS (Sierra) und Strong Swan.
pfSense hat die WAN IP 10.99.1.110.
Wenn du die 3 gravierenden Fehler von oben beseitigst ist das mit Sicherheit auch bei dir der Fall.
Sonst schickst du die FW rum und ich klicke für dich dann die richtigen Knöpfe im GUI.
ike1
ike2
ike3

Nur nochmal der Sicherheit halber nachgefragt:
Das Zertifikat bzw. die exportierte Zertifikatsdatei hast du auf ALLEN deiner Clients installiert ?? (Siehe Tutorial !)
Ein Clientzugriff ohne das Zertifikat scheitert.
Mitglied: Dobby
Dobby 27.09.2017 um 15:33:36 Uhr
Goto Top
Ein anderer Freund meinte auch, dass die Fritzbox keine Ports für die Pfsense aufmachen müsste.
Ports öffnen und Protokolle weiterleiten! Und vor allen anderen Dingen die VPN Funktion an der AVM
FB deaktivieren denn sonst nimmt die immer zuerst das VPN an und leitet es nicht zur pfSense weiter
weil sie "denkt" das VPN sei für sie gedacht!

Nach einem Test über die Pfsense und das Tool Packet Capture konnte ich ohne Portfreigabe an der Fritzbox von
4500, 500 und ESP keine ankommenden Paktete IKE, ESP feststellen, sondern nur mit dieser Freigabe.
Die müssen leider geöffnet sein und auch weitergeleitet werden. Die pfSense sollte am WAN eine feste statische IP
Adresse aus dem netz der AVM FB haben die nicht zum DHCP Kreis der AVM FB gehören sollte.

Auch meine er, dass ein gesondertes Aktivieren des Bridge Modes nicht nötig sei, da dieser schon von Werk aus aktiviert ist.
Der bridge modus macht aus dem Router AVM FB eine nur Modem AVM FB!!! Telefonie und WLAN sind dann dort nicht mehr
möglich und auch der DHCP Server funktioniert dann dort nicht mehr!

Auch das habe ich getestet und konnte keinen Unterschied zwischen deaktiviertem und aktiviertem Bridge Modus feststellen.
Das kann nicht sein, denn das ist wie der Unterschied zwischen einem reinen Modem und einem vollständigen Router.

Prüfe das doch bitte noch einmal bevor wir hier weiter machen.

Gruß
Dobby

Mitglied: aqui
aqui 28.09.2017 um 09:02:15 Uhr
Goto Top
Ports öffnen und Protokolle weiterleiten! Und vor allen anderen Dingen die VPN Funktion an der AVM
Muss aber in der Tat nur sein wenn die FB oder generell der davor kaskadierte Router auch als Router arbeitet, sprich er also aktiv am IP Forwarding (Layer 3) beteiligt ist UND zusätzlich eine NAT Firewall aktiv hat.
Einzig nur in diesem Fall ist ein Port Forwarding zwingend nötig.
Im Bridge Modus, also im reinen Layer 2 Modus als reines NUR Modem muss das in der Tat nicht sein und wäre auch kontraproduktiv !
Es ist also essentiell zu wissen wie ein vorgeschaltetes Gerät sich genau verhält bzw. in welchem Modus es genau arbeitet um es erfolgreich einbinden oder Troubleshooten zu können !!
Dem Kollegen Dobby kann man hier also nur zustimmen. Wenn der TO behauptet das es keinen Unterschied zwischen Bridge (Nur Modem) und Router Modus gibt dann hat er grundsätzlich etwas falsch gemacht im Setup.
Das wäre so als wenn man einen Diesel PKW mit Brennspiritus betankt und sagt es gäbe keinerlei Unterschied im Betrieb !
Mitglied: Spitzbube
Spitzbube 28.09.2017 um 12:07:47 Uhr
Goto Top
Deshalb hab ich ja den FB log angehängt, damit Ihr Einsicht bekommt, was den nun eingestellt ist. Den hat bisher noch keiner Kommentiert von euch beiden :) face-smile

Hab gestern die Pfsense nochmals auf Werkseinstellungen gesetzt und neu eingerichtet also mal die Grundkonfig wie LAN und WAN Interfaces. Zu mehr bin ich leider nicht gekommen. @aqui wie meinst du das mit der Firmware rüber schicken? Kannst net einfach die neuste Version von Pfsense nutzen und diese anpassen? Alternativ wären doch die Settings nur eine XML. Reicht das wenn du mir die erstellst und wiederherstellst?
Mitglied: aqui
aqui 28.09.2017 aktualisiert um 14:56:57 Uhr
Goto Top
Den hat bisher noch keiner Kommentiert von euch beiden
Es gibt immer ein ganz sicheres Indiz ob das Gerät davor im Router oder im Bridge Mode arbeitet:
Eine Bridge arbeitet immer auf dem Hardware Layer, sprich sie kennt keinerlei IP Adressen.
Eine Bridge reicht deshalb das Provider IP Netz einfach nur transparent durch.
Das sieht man dann immer eindeutig daran, das der WAN Port der dahinter kaskadierten Firewall eine öffentliche IP Adresse hat aus dem öffentlichen IP Adressbereich des jeweiligen Service Providers.
Ist dem so hat man eine Bridge oder ein Nur Modem davor.

Bei einem Router ist immer IP Forwarding im Layer 3 im Spiel. Das bedeutet das so ein Gerät routet und immer 2 unterschiedliche IP Netze auf beiden Seiten hat.
Außen am WAN Port dann wieder die Provider Internet IP wie oben. Am anderen Ende aber ein unterschiedliches IP Netz.
Da zum Großteil hier einfache NAT (IP Adresstranslation) Router zum Einsatz kommen haben die auf dieser Seite (lokales LAN wo die FW kaskadiert ist) so gut wie immer ein im Internet NICHT geroutetes IP Netz aus dem privaten RFC 1918 IP Adressbereich anliegen. Sprich einem 10.0.0.0 /8 einem 172.16.0.0 /12 oder einem 192.168.0.0 /16 Netz.
Ist letzteres der Fall muss man zwingend Port Forwarding machen. Technisch immer die zweitbeste Lösung.
Reicht das wenn du mir die erstellst und wiederherstellst?
Du hast recht, das wäre das Einfachste ;-) face-wink

Nochwas. was mir im Labortest aufgefallen ist:
Der Phase 2 Parameter PFS Group muss auf OFF gesetzt werden im pfSense Setup. Ist er das nicht bricht die VPN Verbindung nach ca. 1-2 Minuten automatisch ab. Dazu gibt es auch einen entsprechenden Thread im pfSense Forum.
Mit OFF bleibt die VPN Verbindung stabil.
(Das Tutorial ist schon angepasst an diese Erkenntnis.)
Mitglied: Spitzbube
Spitzbube 28.09.2017 um 16:44:19 Uhr
Goto Top
Okay, dann machen wirs so. hast du irgend weinen Dienst zum sharen der Files an der Hand?

Wird da nachher nur die .XML der backup wiederhergestellt oder wie läuft das ganze ab?

Bin heut abend wieder am testen.

Will jetzt zunächst mal schauen, dass ich nur das Macbook verbinden kann, bevor ich die Access Point Geschichte umsetzte. Denke des wäre der schnellste weg.
Mitglied: aqui
aqui 28.09.2017 um 18:47:19 Uhr
Goto Top
Mach man erstmal dein neues Setup und folge da ganz genau mit allen Steps dem Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Ich habe da heute noch ein paar Text Korrekturen gemacht damit es nun wirklich "laiensicher" ist.
Du bist jetzt das Versuchskaninchen ! Also streng dich an... ;-) face-wink
Will jetzt zunächst mal schauen, dass ich nur das Macbook verbinden kann
Gute Idee, denn der IKEv2 Client auf dem MBP ist erheblich toleranter als der Winblows Onboard Client. Der hat mich ne Menge graue Haare gekostet bevor ich rausbekommen habe das der zwangsweise den DNS Namen aus der Client Konfig der Zieladresse mit dem im Server Zertifikat verifiziert. Ein weiterer Grund Windows den Rücken zu kehren !!
Hier ist es also essentiell wichtig ins Server Zertifikat auf der pfSense wirklich alle 4 Optionen des Common Names einzutragen.
Wenns auf dem MBP rennt dann zu 100% auch auf allen iOS Geräten.
Mitglied: Spitzbube
Spitzbube 28.09.2017 um 22:55:10 Uhr
Goto Top
Test erfolgreich!

Also das mit dem Macbook Test habe ich mal so weiter verfolgt. Gleich vorneweg, das soll kein Vorwurf sein oder werden sondern lediglich nochmals zeigen, wo ich was wie verstanden habe :) face-smile Stolperstein war zunächst mal diese aussagen von dir: Der pfSense gibst du am WAN Port testweise die statische IP 10.1.1.1 /24 und hier pfSense hat die WAN IP 10.99.1.110 damit konnte ich zunächst hinsichtlich deiner Screenshots die du dann nachgeballert hast nichts anfangen. Da sagt man erst hüh und dann hott. Für mich sind das zwei unterschiedliche Netze!

Genauso wie deine Aussage die VPN Config zu löschen ist unsinnig. Für mich fehlt da der Bezug bei der VPN Config vom Netz 10.99.1.110 zu meiner festen IP von Unity Media. Daher hab ich es lieber, das auf einen Nenner zu bringen und vorallem für mich wars so selber am besten nachvollziehbar.

Der Knackpunkt an der Sache war 100 % der Common Name. Als ich mir deine geänderte Anleitung nochmals angeschaut habe, hab ich mich absichtlich entschieden, mich nicht dran zu halten! Nur wieso?!

Diesen Satz hab ich dann interpretiert -> Trage die Statische IP meiner Pfsense ein. Also die XX.XX.XXX.42

Common und Alternative Names: Einige nehmen hier den VPN Server Hostnamen im DNS. Andere nur die WAN IP (geht nur wenn die statisch ist)

Und das hab ich auch immer so praktiziert, warum auch ändern wenns so in der Anleitung steht?! Heute Abend hab ich das aber bewusst anderst gmacht.

Aber der Reihe nach!

Hier hätte der Hinweis, der Hostname unter System -> General Setup -> Punkt System sehr treffend zum Erfolg geführt, da ich den DNS Server auf der Pfsense mal garnicht konfiguriert habe. Dazu komme ich erst noch!

2017-09-28 21_45_18-pfsense.localdomain - system_ general setup

aber wenn hier schon der Hostname im Common Name Feld drin steht, brauch ich für meinen Fall jetzt keinen FQDN oder Hostname sondern nur noch Add -> IP Adress und hier trage ich dann die Pfsense WAN IP ein.

c28b5b43348149d661a0fb94603a60a4

Mir ist es aber trotzdem schleierhaft wieso der Common Name nicht auch ne IP sein kann wenn es so ja in deiner Anleitung als Möglichkeit drinstand. Vllt. will er hier zwangsweise erst mal einen Namen haben, wenn dieser jedoch nicht aufgelösst werden kann oder nicht stimmt, er dann zur IP greift und in einem 2ten Step diese abgleicht. Manchmal sind Dinge eben alles andere als logisch zumindest bis mir das einer logisch erklären kann :) face-smile

Ich gehe jetzt einfach mal davon aus, dass du bei dir den Hostnamen der Firewall als pfsense und nicht standardmäßig als pfSense angegeben hast. Das kann leicht und schnell verwirren. Ich musste dann auch mal nachschauen, wo da den explizit der Name pfsense herstammt, dass sollte dann schon einheitlich und absoult nachvollziehbar sein.

My Identifier”: ‘Distinguished name’, und hier jetzt den zuvor konfigurierten Common Name oder die (statische) WAN IP angeben. ACHTUNG: Der Name MUSS zwingend mit dem "Common Name" aus dem ersten Schritt oben zur Erstellung des Server Zertfikats übereinstimmen !! Da dort auch immer die WAN IP drin stand, hab ich die auch mal auf den Common Name pfSense angepasst.

Beim Macbook Scrennshot wars dann schon fast Richtig aber auch abweichend zu dem oben genannten ;) Hier stimmt der Distinguished name wieder mit dem Hostname ais dem Common Name über ein. Hier könnte man noch den Verweis auf den Hostname unter System -> General Setup -> System -> Hostname bzw. zusätzlich noch den DNS Name falls dieser konfiguriert ist reinschreiben

f9ffa0532ecfd434966e7abff0bf4005

Den Rest der Anleitung lief im durch wie geschnitten Brot. Kann die Settings jetzt auch schon auswendig ;) Super finde ich den Screenshot noch zum Profil ergänzt. Schade, dass Apple es hier nich zulässt, dieses Profil mit dem Apple Konfigurator oder iTunes zu übertragen, da ich zum Zeitpunkt des Tests ja nicht mit dem Internet verbunden war, um die vpnca.crt zu per E-Mail zu versenden :) face-smile

Die Access Point Geschichte hab ich mal gelassen und wollte mir das aufs Wochenende anzu schauen und hatte fest vor, mal heute früher ins Bett zu gehen. Hab dann wieder meine statische IP dem WAN zugewiesen und damit zumindest wieder Internet vorhanden ist, dann hat mich aber trotzdem der Ehrgeiz gepackt und ich wollte es unbedingt wissen, ob es mit neuem vpnca.crt die VPN Verbindung auch über LTE funktioniert.

Was soll ich sagen, ja es tut und die Freude ist riesengroß. Sicher könnt Ihr mir noch sagen, wie ich jetzt die Settings anpassen muss, damit ich bei bestehnder VPN Verbindung mit einer RDP App bzw. irgendwelchen Fileexplorern oder Synology DSFile auf meine NAS Server und andere Recourcen zugreifen kann.

Danke für die riesen Hilfe bis hier hin.

Grüße
Der Spitzbube
Mitglied: aqui
aqui 29.09.2017 um 09:23:38 Uhr
Goto Top
Test erfolgreich!
Klasse ! Hört sich gut an...
wo ich was wie verstanden habe
Bin immer für konstruktive Kritik offen und wenn wir das Tutorial dadurch klarer und verständlicher machen umso besser.... ;-) face-wink
Der pfSense gibst du am WAN Port testweise die statische IP 10.1.1.1 /24 und hier pfSense hat die WAN IP 10.99.1.110
Mmmhhh...ja klar das war einmal meine Labor Adressierung und einmal deine. Ich hatte jetzt keine Lust hier alles nur aus kosmetischen Gründen umzustellen.
Soviel Intelligenz sollte man doch aber als Netzwerker haben die IP Adressierung auf seine lokal vorhandenen Netzwerke anzupassen, oder ?!
Für mich fehlt da der Bezug bei der VPN Config vom Netz 10.99.1.110 zu meiner festen IP von Unity Media.
Sorry, aber damit kann ich jetzt gar nichts anfangen ??! Bahnhof ??
Was willst du uns damit sagen ?? Ob da nun am WAN Port eine IP aus dem oder irgendeinem Testnetz steht oder eine öffentliche von Unity Media ist doch vollkommen "Latte" !
Letztlich bezieht sich das dann nur auf das Server Zertifikat wo diese IP dr