vickyys
Goto Top

2921 Kaskadierung mit Fritzbox für IPSEC-Tunnel

Hallo zusammen,

ich möchte den Cisco 2921 Router an meine Fritzbox 6490(Vodafone/UM)) anschließen und einen ip-sec Tunnel zum Remote pfsense auf einem ESXi 6.5 Host konfigurieren. Momentan gibt es keine spezielle Konfiguration auf meiner fritzbox, außer dem dyndns.
Das Netzwerk auf meiner Seite sieht also wie folgt aus.

Gig 0/1 LAN---->2921 Router---->Gig 0/0 WAN(DHCP)---->Fritzbox--->Internet----->Fernes Ende DSL Router + Modem---->ESXi mit pfsense.
netzwerk

Ich habe auch die Übersicht des Netzwerkdiagramms beigefügt.

Ich habe ein sehr detailliertes Dokument in diesem Forum gelesen und es war wirklich hilfreich, aber es ist ein bisschen verwirrend, da ich nicht der Routing-Experte bin.
Es wäre also toll, wenn ich hier etwas Unterstützung bekommen könnte.
Vielleicht eine genaue Demo-Konfiguration, die auf dem Cisco 2921 Router und der fritzbox gemacht werden muss?


Vielen Dank

Vicky

Content-ID: 636683

Url: https://administrator.de/contentid/636683

Printed on: December 4, 2024 at 03:12 o'clock

aqui
aqui Dec 31, 2020, updated at Jan 01, 2021 at 12:21:40 (UTC)
Goto Top
Wenn du den Cisco ohne NAT als einfachen transparenten Router laufen lassen willst, dann musst du an der FritzBox lediglich eine statischen Route eingeben zur Standard Konfig, mehr nicht.
Nehmen wir einmal an dein FritzBox LAN ist das klassische 192.168.178.0 /24 mit der FritzBox als .1 als Hostadresse und dem Cisco mit der .254 am Gig0/0 Interface. Lokales LAN am Cisco ist die 142.100.64.0 /24.
Dann sieht deine einfache Cisco 2921 Konfig so aus:
!
service timestamps log datetime localtime
!
hostname Cisco_Router
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret Geheim123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp excluded-address 142.100.64.1 142.100.64.99
ip dhcp excluded-address 142.100.64.200 142.100.64.254
!
ip dhcp pool Lokal
network 142.100.64.0 255.255.255.0
default-router 142.100.64.254
dns-server 192.168.178.1
domain-name meinedomain.home.arpa
!
ip domain name meinedomain.home.arpa
!
username admin password Geheim123
!
interface Gigabit 0/0
description WAN Link zur FritzBox
ip address 192.168.178.254 255.255.255.0
!
interface Gigabit 0/1
description Lokales LAN
ip address 142.100.64.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!


Die statische Route auf der FB sieht so aus:
fbrou
Fertisch ! face-wink

ACHTUNG !!:
Dir ist hoffentlich klar das die IP Adresse 142.100.64.0 /24 keine private RFC 1918 IP Adresse für private lokale IP Netze ist !!
Sie ist weltweit auf eine kanadische Behörde registriert !!
NetRange: 142.100.0.0 - 142.100.255.255
CIDR: 142.100.0.0/16
NetName: CACSST01
NetType: Direct Assignment
RegDate: 1993-10-21
Updated: 2017-02-02
OrgName: Commission de Sante et de Securite au Travail
Address: 524, rue Bourdages
City: Quebec

Solche IP Adressen sollte man also tunlichst niemals als Privates Netzwerk nutzen ! Ganz besonders nicht wenn es eine öffentliche Behörde eines souveränen Landes ist !
Dafür sind die bekannten RFC 1918 IP Netze da:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche

Grundlagen zu so einem simplen Routing Design wie immer hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Weitere Infos zur Cisco Konfiguration inkl. VPN Setup usw. hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

VPN Standortkopplung pfSense <-> Cisco:
Mit IKEv1
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Mit IKEv2
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Mit VTI Interfaces und dynamischem Routing:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
vickyys
vickyys Dec 31, 2020 at 14:10:31 (UTC)
Goto Top
Vielen Dank! Ich werde jetzt loslegen und das Forum auf dem Laufenden halten.
aqui
aqui Dec 31, 2020 at 14:35:02 (UTC)
Goto Top
Wir sind gespannt...! 😉
vickyys
vickyys Dec 31, 2020 updated at 15:49:07 (UTC)
Goto Top
OK ich habe die Konfiguration mit IKEV1 mit dem folgenden Link versucht, aber es scheint, ich mache immer noch etwas falsch auf dem 2921 Router. irgendwelche Vorschläge? Ich hänge die Konfiguration von meinem 2921 Router und den IPSEC-Tunnelstatus von pfsense an.

pfsense

no ip source-route
no ip gratuitous-arps
!
!
!
!
!
ip dhcp excluded-address 142.100.64.1 142.100.64.99
ip dhcp excluded-address 142.100.64.200 142.100.64.254
!
ip dhcp pool Local
 network 142.100.64.0 255.255.255.0
 default-router 142.100.64.254
 dns-server 192.168.178.1
 domain-name my-internal-private-domain.com
!
!
!
ip domain name my-internal-private-domain.com
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw smtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
cts logging verbose
!
!
voice-card 0
!
!
!
!
!
!
!
!
hw-module pvdm 0/0
!
!
!
username admin password mypassword
!
redundancy
!
!
!
!
!
!
crypto keyring pfsenseaws
  pre-shared-key address <pfsense ipv4 ip address> key <mysharedkey>
!
crypto isakmp policy 10
 encr aes 256
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp policy 20
 encr aes
 authentication pre-share
 group 2
crypto isakmp profile pfSenseaws
   description IPsec VPN pfSense
   keyring pfsenseaws
   match identity address <pfsense ipv4 ip address> 255.255.255.255
!
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
 mode tunnel
!
!
crypto ipsec profile test-vti2
 set transform-set testset
!
!
crypto map vpntest 10 ipsec-isakmp
 description Tunnel Static IP pfSense
 set peer <pfsense ipv4 ip address>
 set transform-set testset
 set isakmp-profile pfSenseaws
 match address vpnpfsense
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description WAN zur FritzBox
 ip address 192.168.178.254 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description Lokales LAN
 ip address 142.100.64.254 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
ip access-list extended vpnpfsense
 permit ip 10.0.0.0 0.0.0.240 192.168.1.0 0.0.0.255
!
!
!
access-list 111 permit udp any host 192.168.178.254 eq isakmp
access-list 111 permit icmp any host 192.168.178.254 administratively-prohibited
access-list 111 permit icmp any host 192.168.178.254 echo-reply
access-list 111 permit icmp any host 192.168.178.254 packet-too-big
access-list 111 permit icmp any host 192.168.178.254 time-exceeded
access-list 111 permit icmp any host 192.168.178.254 unreachable
access-list 111 permit udp any host 192.168.178.254 eq non500-isakmp
access-list 111 permit esp any host 192.168.178.254
access-list 111 permit udp any eq ntp host 192.168.178.254
access-list 111 permit udp any eq domain host 192.168.178.254
access-list 111 permit tcp any eq domain host 192.168.178.254
access-list 111 deny   ip any any
!
!
!
control-plane
!
 !


cisco-router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status

IPv6 Crypto ISAKMP SA

cisco-router#

Eigentlich bin ich ein Cisco Voice Engineer und habe vor kurzem angefangen, mich mit pfsense und Security zu beschäftigen. Daher brauche ich etwas Unterstützung face-smile


Vielen Dank
aqui
aqui Dec 31, 2020 updated at 16:42:12 (UTC)
Goto Top
Nur mal doof nachgefragt:
Dir ist klar das der Cisco in einer Router Kaskade mit einem NAT Router davor rennt, oder ???
Ohne das du ein entsprechendes Port Forwarding auf der FritzBox für die IPsec VPN Ports:
  • UDP 500
  • UDP 4500
  • ESP Protokoll
gemacht hast, können an der FritzBox eingehende IPsec Pakete niemals deren NAT Firewall überwinden auf ein Gerät was dahinter liegt.
fppfw kopie
Da die FritzBox selber ein aktiver IPsec VPN Router ist dürfen auf ihr auch keinerlei VPN Konfigs, User usw. eingestellt sein sonst forwardet sie trotz Port Forwarding keine IPsec Pakete und blockt diese.

Idealerweise startest du auf dem Cisco einmal den IPsec Debugger mit debug crypto isakmp und debug crypto ipsec und siehst dir die von der pfSense eingehenden IPsec Pakete an. (Achtung: Wenn du per Telnet oder SSH auf dem Cisco bist vorher term mon aktivieren um die Konsol Messages zu sehen ! Weisst du ja als Cisco Profi selber..)
Wenn du keinerlei eingehende IPsec Pakete der pfSense auf dem Cisco siehst weisst du das die FritzBox davor kein IPsec forwardet und musst Hand an deren Konfig legen !
Wenn du mit dem Debuggen fertig bist unbedingt mit u all das Debugging auf dem Cisco wieder deaktivieren sonst rennt der im 3ten Gang !
Es sollte auch klar sein das die Peer IP Adresse auf der pfSense natürlich die des WAN Ports der FritzBox ist bzw. deren DynDNS Name !

Hier findest du alle Infos zu dem Thema Kaskaden und Port Forwarding:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
mich mit pfsense und Security zu beschäftigen. Daher brauche ich etwas Unterstützung.
Keine Sorge, wir bekommen das schon zum Fliegen. Das ist eine Konfig die ganz sicher und wasserdicht funktioniert... face-wink
aqui
Solution aqui Jan 01, 2021, updated at Jan 02, 2021 at 12:04:58 (UTC)
Goto Top
Deine Fehler kannst du oben in der Cisco Konfig auch schon selber sehen !!
  • Überflüssiges VTI Interface konfiguriert. (crypto ipsec profile test-vti2) Kannst du entfernen !
  • Crypto Map am WAN Interface GigabitEthernet0/0 nicht konfiguriert, dadurch kann der Cisco gar keinen VPN Tunnel aufbauen.
  • VPN Accesslitste vpnpfsense zum Klassifizieren des VPN Traffics vollkommen falsch mit einer 10er Netz IP konfiguriert die es gar nicht gibt
Diese 3 Fehler, wobei die 2 letzten die gravierensten sind, führen dazu das der Cisco niemals einen IPsec Tunnel zur pfSense aufbauen kann !
Richtig muss die Cisco Konfig so aussehen:
!
crypto keyring PFSENSEAWS
pre-shared-key address <pfsense_ipv4_ip> key <Passwort>
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
match identity address <pfsense_ipv4_ip>
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto map PFSENSE 10 ipsec-isakmp
description Static VPN Tunnel pfSense
set peer <pfsense_ipv4_ip>
set transform-set VPNSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
interface GigabitEthernet0/0
description WAN zur FritzBox
ip address 192.168.178.254 255.255.255.0
no ip proxy-arp
crypto map PFSENSE
!
ip access-list extended vpnpfsense
permit ip 142.100.64.0 0.0.0.255 192.168.1.0 0.0.0.255
!


Die Klassifizierungs ACL ist so strukturiert: permit ip <lokales_LAN> <wildcard_mask> <remotes_LAN> <wildcard_mask>
Wobei wir hier ausgehen das remote das Standard pfSense LAN 192.168.1.0 /24 vorhanden ist. Ggf. musst du das anpassen wenn du dort eine andere Adressierung nutzt !

Auf der pfSense sieht es dann ganz klassisch aus:
pfs
Hier solltest du noch die Phase 1 Lifetime an den Cisco Default 86400 anpassen !
pfs2

Die pfSense quittiert das dann mit einem funktionierenden Tunnel im IPsec Status oder Im IPsec Dashboard Widget
vpnstat-neu
pfs-db
Und auch der Cisco zeigt dir dann den laufenden Tunnel mit den 2 Befehlen:
  • show crypto ipsec sa
  • show crypto isakmp sa
an.

Fertisch ! 😉
Works as designed !!
vickyys
vickyys Jan 02, 2021 updated at 19:09:30 (UTC)
Goto Top
Ok, ich habe die Konfigurationen gemäß deinem vorschlag geändert.

Wenigstens sehe ich jetzt die Ausgabe von sh crypto ipsec sa
und auf der pfsense sehe ich, dass sie versucht, sich zu verbinden, aber die Verbindung schlägt fehl.
Ich habe auch das Netzwerk ein wenig veraendert, um es an die Standards anzupassen und das Problem zu isolieren. Ich habe mein lokales LAN auf dem Cisco-Router auf 192.168.188.0/24 anstelle von 142.100.64.0/24 geändert.
Auf der Remote Seite habe ich nun die pfsense direkt auf AWS, um eventuelle Modem/Router-Probleme zu unterscheiden.
Das WAN auf der pfsense hat ein WAN-Subnetz und dann die andere Seite ein LAN-Subnetz.

192.168.188.0/24<<-------Cisco--->>192.168.178.254/24--->Fritzbox--->Internet--->pfsense-AWS-WAN(publicip/privateip 10.0.0.16/28)---->pfsenseLAN(10.0.0.0/28).

Ich wollte nur checken, wenn die Interface gig 0/1 auf dem Cisco Router 192.168.188.0/24 abgeschaltet wird und dann kein Gerät im 10.0.0.0.0/28 AWS LAN Subnetz angeschlossen ist, wird der Tunnel dann wenigstens noch aufgebaut? ODER wird er nur aufgebaut, wenn Traffic zwischen 192.168.188.0/24 und 10.0.0.0/28 gesendet wird.

einmal die Cisco konfig

ip dhcp excluded-address 192.168.188.1 192.168.188.99
ip dhcp excluded-address 192.168.188.200 192.168.188.254
!
ip dhcp pool Local
 network 192.168.188.0 255.255.255.0
 dns-server 192.168.178.1
 default-router 192.168.188.254
!
!
!
ip domain name <my-private-domain.com>
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw smtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
cts logging verbose
!
!
voice-card 0
!
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ16337WX1
hw-module pvdm 0/0
!
!
!
username myusername password mypassword
!
redundancy
!
!
!
!
!
!
crypto keyring PFSENSEAWS
  pre-shared-key address <pfsense public ip ipv4> key mykey
!
crypto isakmp policy 5
 encr aes 256
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp profile PFSENSE
   description IPsec VPN pfSense
   keyring PFSENSEAWS
   match identity address <pfsense public ip ipv4> 255.255.255.255
!
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
 mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
 mode tunnel
!
!
!
crypto map PFSENSE 10 ipsec-isakmp
 description Static VPN Tunnel pfSense
 set peer <pfsense public ip ipv4>
 set transform-set VPNSET2
 set isakmp-profile PFSENSE
 match address vpnpfsense
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description WAN zur FritzBox
 ip address 192.168.178.254 255.255.255.0
 no ip proxy-arp
 duplex auto
 speed auto
 crypto map PFSENSE
!
interface GigabitEthernet0/1
 description Local LAN
 ip address 192.168.188.254 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
ip access-list extended vpnpfsense
 permit ip 192.168.188.0 0.0.0.255 10.0.0.0 0.0.0.240
!
!
!
access-list 111 permit udp any host 192.168.178.254 eq isakmp
access-list 111 permit icmp any host 192.168.178.254 administratively-prohibited
access-list 111 permit icmp any host 192.168.178.254 echo-reply
access-list 111 permit icmp any host 192.168.178.254 packet-too-big
access-list 111 permit icmp any host 192.168.178.254 time-exceeded
access-list 111 permit icmp any host 192.168.178.254 unreachable
access-list 111 permit udp any host 192.168.178.254 eq non500-isakmp
access-list 111 permit esp any host 192.168.178.254
access-list 111 permit udp any eq ntp host 192.168.178.254
access-list 111 permit udp any eq domain host 192.168.178.254
access-list 111 permit tcp any eq domain host 192.168.178.254
access-list 111 deny   ip any any
!


myrouter# show crypto ipsec sa

interface: GigabitEthernet0/0
Crypto map tag: PFSENSE, local addr 192.168.178.254

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.188.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.0/255.255.255.15/0/0)
current_peer <<pfsense public ip ipv4>> port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 192.168.178.254, remote crypto endpt.: <pfsense public ip ipv4>
plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:


Danke

Vicky
vickyys
vickyys Jan 02, 2021 updated at 23:24:38 (UTC)
Goto Top
OK, das andere Problem könnte sein, dass ich einen Vodafone DS-Lite-Anschluss für IPV4 habe und daher der dyndns-Provider noip.com nicht in der Lage ist, die richtige ipv4 zu erhalten.
Ich muss dann einen Dual-Stack bestellen oder?
vickyys
vickyys Jan 03, 2021 updated at 11:14:48 (UTC)
Goto Top
Hallo,

ich habe die Vodafone-anschluss auf Dual-Stack umgestellt und sehe nun zumindest 2-Wege-Signalisierung.

Allerdings ist der Tunnel nicht connected. Der Tunnel von pfsense wird disconnected.

Ich sehe, dass dieser Router jeden der MM-Zustände durchläuft.

IKE_I_MM2 -> IKE_I_MM3 -> IKE_I_MM4 -> IKE_I_MM5 -> IKE_I_MM6 -> QM_IDLE

Das sieht gut aus. Es schließt den gesamten Phase-1-Phase one key exchange process ab. Ich weiß also, dass mit meinen ISAKMP-Einstellungen nichts falsch ist.

Kurz nachdem er QM_IDLE wird, beginnt er SAs zu löschen und sagt:

peer does not do paranoid keepalives.

Ich habe versucht, die PFS-Werte und die Phase-2-Keepalive-Werte zu vergleichen, und beides scheint in Ordnung zu sein.

*Jan 3 09:55:35.187: ISAKMP (1007): received packet from <pfsense ipv4 public ip> dport 4500 sport 4500 Global (R) MM_KEY_EXCH
*Jan 3 09:55:35.187: ISAKMPface-sad1007):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 09:55:35.187: ISAKMPface-sad1007):Old State = IKE_R_MM4 New State = IKE_R_MM5

*Jan 3 09:55:35.187: ISAKMPface-sad1007): processing ID payload. message ID = 0
*Jan 3 09:55:35.187: ISAKMP (1007): ID payload
next-payload : 8
type : 1
address : 10.0.0.26
protocol : 0
port : 0
length : 12
*Jan 3 09:55:35.187: ISAKMPface-sad0):: peer matches *none* of the profiles
*Jan 3 09:55:35.187: ISAKMPface-sad1007): processing HASH payload. message ID = 0
*Jan 3 09:55:35.187: ISAKMPface-sad1007): processing NOTIFY INITIAL_CONTACT protocol 1
spi 0, message ID = 0, sa = 0x39F49A94
*Jan 3 09:55:35.187: ISAKMPface-sad1007):SA authentication status:
authenticated
*Jan 3 09:55:35.187: ISAKMPface-sad1007):SA has been authenticated with <pfsense ipv4 public ip>
*Jan 3 09:55:35.187: ISAKMPface-sad1007):Detected port floating to port = 4500
*Jan 3 09:55:35.187: ISAKMP: Trying to find existing peer 192.168.178.254/<pfsense ipv4 public ip>/4500/
*Jan 3 09:55:35.187: ISAKMPface-sad1007):SA authentication status:
authenticated
*Jan 3 09:55:35.187: ISAKMPface-sad1007): Process initial contact,
bring down existing phase 1 and 2 SA's with local 192.168.178.254 remote <pfsense ipv4 public ip> remote port 4500
*Jan 3 09:55:35.187: ISAKMP: Trying to insert a peer 192.168.178.254/<pfsense ipv4 public ip>/4500/, and inserted successfully 22C82AE8.
*Jan 3 09:55:35.187: ISAKMPface-sad1007):Setting UDP ENC peer struct 0x3E4564A4 sa= 0x39F49A94
*Jan 3 09:55:35.187: ISAKMPface-sad1007):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan 3 09:55:35.187: ISAKMPface-sad1007):Old State = IKE_R_MM5 New State = IKE_R_MM5

*Jan 3 09:55:35.187: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Jan 3 09:55:35.187: ISAKMPface-sad1007):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
*Jan 3 09:55:35.187: ISAKMP (1007): ID payload
next-payload : 8
type : 1
address : 192.168.178.254
protocol : 17
port : 0
length : 12
*Jan 3 09:55:35.187: ISAKMP: (1007):Total payload length: 12
*Jan 3 09:55:35.187: ISAKMP: (1007): sending packet to <pfsense ipv4 public ip> my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
*Jan 3 09:55:35.187: ISAKMP: (1007):Sending an IKE IPv4 Packet.
*Jan 3 09:55:35.187: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE

*Jan 3 09:55:35.187: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE

*Jan 3 09:55:35.363: ISAKMP (1007): received packet from <pfsense ipv4 public ip> dport 4500 sport 4500 Global (R) QM_IDLE
*Jan 3 09:55:35.363: ISAKMP: set new node 1035329911 to QM_IDLE
*Jan 3 09:55:35.363: ISAKMP: (1007): processing HASH payload. message ID = 1035329911
*Jan 3 09:55:35.363: ISAKMP: (1007): processing DELETE payload. message ID = 1035329911
*Jan 3 09:55:35.363: ISAKMP: (1007):peer does not do paranoid keepalives.

*Jan 3 09:55:35.363: ISAKMP: (1007):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 public ip>)
*Jan 3 09:55:35.367: ISAKMP: (1007):deleting node 1035329911 error FALSE reason "Informational (in) state 1"
*Jan 3 09:55:35.367: ISAKMP: set new node -684451573 to QM_IDLE
*Jan 3 09:55:35.367: ISAKMP: (1007): sending packet to <pfsense ipv4 public ip> my_port 4500 peer_port 4500 (R) QM_IDLE
*Jan 3 09:55:35.367: ISAKMP: (1007):Sending an IKE IPv4 Packet.
*Jan 3 09:55:35.367: ISAKMP: (1007):purging node -684451573
*Jan 3 09:55:35.367: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jan 3 09:55:35.367: ISAKMP: (1007):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA

*Jan 3 09:55:35.367: ISAKMP: (1007):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 public ip>)
*Jan 3 09:55:35.367: ISAKMP: Unlocking peer struct 0x22C82AE8 for isadb_mark_sa_deleted(), count 0
*Jan 3 09:55:35.367: ISAKMP: Deleting peer node by peer_reap for <pfsense ipv4 public ip>: 22C82AE8
*Jan 3 09:55:35.367: ISAKMP: (1007):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 09:55:35.367: ISAKMP: (1007):Old State = IKE_DEST_SA New State = IKE_DEST_SA
aqui
aqui Jan 03, 2021 updated at 12:00:36 (UTC)
Goto Top
OK, das andere Problem könnte sein, dass ich einen Vodafone DS-Lite-Anschluss für IPV4 habe und daher der dyndns-Provider noip.com nicht in der Lage ist, die richtige ipv4 zu erhalten.
Das müsste man nicht zwingend. Du könntest den Cisco auch als reinen Responder konfigurieren, das er jegliche IP annimmt die als Peer Tunnel IP an ihn gerichtet ist. Dann sieht die Cisco Konfig oben etwas anders aus mit einer dynamischen Crypto Map. Wenn's dich interessiert kann ich solch ein Setup für den Cisco hier auch nochmal posten.

Dein zweiter Kardinalsfehler ist oben bei der vpnpfsense Access Liste !!!
Du schreibst das dein remotes 10er Netz einen 28 Bit Prefix nutzt also 255.255.255.240 was dann den Host IPs von 10.0.0.1 bis 10.0.0.14 entspricht.
Ein /28er Prefix ergibt aber eine inverse Wildcard Netzmaske von 0.0.0.15 und NICHT ".240" denn solch eine inverse Maske existiert logisch gar nicht !
Richtig müsste also deine Klassifizierungs ACL vpnpfsense so lauten:
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.0 0.0.0.15
!

Solche banalen Flüchtigkeitsfehler in simplen Masken sollten dir als Cisco Profi aber eigentlich nicht mehr passieren !!
Achte darauf das das mit der Phase 2 Konfig auf der pfSense absolut identisch ist, ansonsten kommt der Tunnel nicht hoch bei einem Phase 2 Mismatch wie du es ja an deinen geposteten Cisco Fehlermeldungen auch selber sehen kannst !!
Korrigiere das, dann klappt das auch sofort ! face-wink
Deine restliche Cisco Konfig ist sonst absolut korrekt.
vickyys
vickyys Jan 03, 2021 at 14:50:04 (UTC)
Goto Top
die inverse Maske sollte also wirklich nicht so konfiguriert werden, und ich verstehe, wie ärgerlich es sein kann, wenn ein anderer Netzwerkprofi sie sieht. Ich habe gerade meine alte Konfiguration modifiziert und ein Copy-Paste gemacht, also liegt es daran. Allerdings ist sie wirklich auf 0.0.0.15 eingestellt. Aber danke, dass du mich trotzdem darauf hinweist.

Eine andere Sache, die mich stört, ist, was sonst schief gehen könnte, wenn ich genau die gleiche Konfiguration wie die oben vorgeschlagene habe.

Die Phase 2 Config's stimmen mit dem Router überein. Das kann ich bestätigen.
Ich habe sogar die PFS-Schlüsselgruppe auf beiden Seiten hinzugefügt, nur um zu prüfen, ob das hilft. Der Status bleibt jedoch derselbe.

router-ipsec
pfsense-p2
pfsense-p22
aqui
aqui Jan 03, 2021 updated at 19:26:37 (UTC)
Goto Top
☹️ Siehe Konfig Screenshot oben.
fehler
  • Was steht im IPsec Log der pfSense
  • Was sagt der Cisco isakmp Debugger ?
vickyys
vickyys Jan 03, 2021 updated at 22:04:39 (UTC)
Goto Top
Sorry für den etwas langen Text.
face-sad

PFS ich habe es absichtlich auf 2 geändert, weil ich dachte, dass die Policy 10 in meinem vorherigen Screenshot dort helfen könnte. Aber das tat es nicht. Also änderte ich das auf 14 auf der pfsense Seite, was mir einen Fehler auf der pfsense ipsec Seite gab

IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4>

Die ISAKMP-debugger zeigen weiterhin keine Veränderung. Phase 1 hat sich aufgebaut und Phase 2 hat sich nicht aufgebaut.

Ich habe die Logs von ISAKMP Debugger und pfsense ipsec Logs angefügt.

ISAKMP Debugger
*Jan  3 20:24:26.479: ISAKMP (0): received packet from <pfsense ipv4 Public ip> dport 500 sport 500 Global (N) NEW SA
*Jan  3 20:24:26.479: ISAKMP: Created a peer struct for <pfsense ipv4 Public ip>, peer port 500
*Jan  3 20:24:26.479: ISAKMP: New peer created peer = 0x21213C90 peer_handle = 0x80000009
*Jan  3 20:24:26.479: ISAKMP: Locking peer struct 0x21213C90, refcount 1 for crypto_isakmp_process_block
*Jan  3 20:24:26.479: ISAKMP: local port 500, remote port 500
*Jan  3 20:24:26.479: ISAKMP:(0):insert sa successfully sa = 3D55CC50
*Jan  3 20:24:26.479: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan  3 20:24:26.479: ISAKMP:(0):Old State = IKE_READY  New State = IKE_R_MM1

*Jan  3 20:24:26.479: ISAKMP:(0): processing SA payload. message ID = 0
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID is XAUTH
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID is DPD
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): processing IKE frag vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan  3 20:24:26.479: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID is NAT-T v2
*Jan  3 20:24:26.479: ISAKMP:(0):found peer pre-shared key matching <pfsense ipv4 Public ip>
*Jan  3 20:24:26.479: ISAKMP:(0): local preshared key found
*Jan  3 20:24:26.479: ISAKMP : Scanning profiles for xauth ... PFSENSE
*Jan  3 20:24:26.479: ISAKMP:(0):Checking ISAKMP transform 1 against priority 5 policy
*Jan  3 20:24:26.479: ISAKMP:      encryption AES-CBC
*Jan  3 20:24:26.479: ISAKMP:      keylength of 256
*Jan  3 20:24:26.479: ISAKMP:      hash SHA256
*Jan  3 20:24:26.479: ISAKMP:      default group 14
*Jan  3 20:24:26.479: ISAKMP:      auth pre-share
*Jan  3 20:24:26.479: ISAKMP:      life type in seconds
*Jan  3 20:24:26.479: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
*Jan  3 20:24:26.479: ISAKMP:(0):atts are acceptable. Next payload is 0
*Jan  3 20:24:26.479: ISAKMP:(0):Acceptable atts:actual life: 86400
*Jan  3 20:24:26.479: ISAKMP:(0):Acceptable atts:life: 0
*Jan  3 20:24:26.479: ISAKMP:(0):Fill atts in sa vpi_length:4
*Jan  3 20:24:26.479: ISAKMP:(0):Fill atts in sa life_in_seconds:86400
*Jan  3 20:24:26.479: ISAKMP:(0):Returning Actual lifetime: 86400
*Jan  3 20:24:26.479: ISAKMP:(0)::Started lifetime timer: 86400.

*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID is XAUTH
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID is DPD
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): processing IKE frag vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan  3 20:24:26.479: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan  3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan  3 20:24:26.479: ISAKMP:(0): vendor ID is NAT-T v2
*Jan  3 20:24:26.479: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan  3 20:24:26.479: ISAKMP:(0):Old State = IKE_R_MM1  New State = IKE_R_MM1

*Jan  3 20:24:26.479: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
*Jan  3 20:24:26.483: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan  3 20:24:26.483: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan  3 20:24:26.483: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan  3 20:24:26.483: ISAKMP:(0):Old State = IKE_R_MM1  New State = IKE_R_MM2

*Jan  3 20:24:26.659: ISAKMP (0): received packet from <pfsense ipv4 Public ip> dport 500 sport 500 Global (R) MM_SA_SETUP
*Jan  3 20:24:26.659: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan  3 20:24:26.659: ISAKMP:(0):Old State = IKE_R_MM2  New State = IKE_R_MM3

*Jan  3 20:24:26.659: ISAKMP:(0): processing KE payload. message ID = 0
*Jan  3 20:24:26.787: ISAKMP:(0): processing NONCE payload. message ID = 0
*Jan  3 20:24:26.787: ISAKMP:(0):found peer pre-shared key matching <pfsense ipv4 Public ip>
*Jan  3 20:24:26.787: ISAKMP:received payload type 20
*Jan  3 20:24:26.787: ISAKMP (1006): NAT found, both nodes inside NAT
*Jan  3 20:24:26.787: ISAKMP:received payload type 20
*Jan  3 20:24:26.787: ISAKMP (1006): NAT found, both nodes inside NAT
*Jan  3 20:24:26.787: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan  3 20:24:26.787: ISAKMP:(1006):Old State = IKE_R_MM3  New State = IKE_R_MM3

*Jan  3 20:24:26.791: ISAKMP:(1006): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Jan  3 20:24:26.791: ISAKMP:(1006):Sending an IKE IPv4 Packet.
*Jan  3 20:24:26.791: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan  3 20:24:26.791: ISAKMP:(1006):Old State = IKE_R_MM3  New State = IKE_R_MM4

*Jan  3 20:24:26.987: ISAKMP (1006): received packet from <pfsense ipv4 Public ip> dport 4500 sport 4500 Global (R) MM_KEY_EXCH
*Jan  3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan  3 20:24:26.987: ISAKMP:(1006):Old State = IKE_R_MM4  New State = IKE_R_MM5

*Jan  3 20:24:26.987: ISAKMP:(1006): processing ID payload. message ID = 0
*Jan  3 20:24:26.987: ISAKMP (1006): ID payload
        next-payload : 8
        type         : 1
        address      : 10.0.0.26
        protocol     : 0
        port         : 0
        length       : 12
*Jan  3 20:24:26.987: ISAKMP:(0):: peer matches *none* of the profiles
*Jan  3 20:24:26.987: ISAKMP:(1006): processing HASH payload. message ID = 0
*Jan  3 20:24:26.987: ISAKMP:(1006): processing NOTIFY INITIAL_CONTACT protocol 1
        spi 0, message ID = 0, sa = 0x3D55CC50
*Jan  3 20:24:26.987: ISAKMP:(1006):SA authentication status:
        authenticated
*Jan  3 20:24:26.987: ISAKMP:(1006):SA has been authenticated with <pfsense ipv4 Public ip>
*Jan  3 20:24:26.987: ISAKMP:(1006):Detected port floating to port = 4500
*Jan  3 20:24:26.987: ISAKMP: Trying to find existing peer 192.168.178.254/<pfsense ipv4 Public ip>/4500/
*Jan  3 20:24:26.987: ISAKMP:(1006):SA authentication status:
        authenticated
*Jan  3 20:24:26.987: ISAKMP:(1006): Process initial contact,
bring down existing phase 1 and 2 SA's with local 192.168.178.254 remote <pfsense ipv4 Public ip> remote port 4500  
*Jan  3 20:24:26.987: ISAKMP: Trying to insert a peer 192.168.178.254/<pfsense ipv4 Public ip>/4500/,  and inserted successfully 21213C90.
*Jan  3 20:24:26.987: ISAKMP:(1006):Setting UDP ENC peer struct 0x2209AAB0 sa= 0x3D55CC50
*Jan  3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan  3 20:24:26.987: ISAKMP:(1006):Old State = IKE_R_MM5  New State = IKE_R_MM5

*Jan  3 20:24:26.987: ISAKMP:(1006):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
*Jan  3 20:24:26.987: ISAKMP (1006): ID payload
        next-payload : 8
        type         : 1
        address      : 192.168.178.254
        protocol     : 17
        port         : 0
        length       : 12
*Jan  3 20:24:26.987: ISAKMP:(1006):Total payload length: 12
*Jan  3 20:24:26.987: ISAKMP:(1006): sending packet to <pfsense ipv4 Public ip> my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
*Jan  3 20:24:26.987: ISAKMP:(1006):Sending an IKE IPv4 Packet.
*Jan  3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan  3 20:24:26.987: ISAKMP:(1006):Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE

*Jan  3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Jan  3 20:24:26.987: ISAKMP:(1006):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

*Jan  3 20:24:27.163: ISAKMP (1006): received packet from <pfsense ipv4 Public ip> dport 4500 sport 4500 Global (R) QM_IDLE
*Jan  3 20:24:27.163: ISAKMP: set new node -254864944 to QM_IDLE
*Jan  3 20:24:27.163: ISAKMP:(1006): processing HASH payload. message ID = 4040102352
*Jan  3 20:24:27.163: ISAKMP:(1006): processing DELETE payload. message ID = 4040102352
*Jan  3 20:24:27.163: ISAKMP:(1006):peer does not do paranoid keepalives.

*Jan  3 20:24:27.163: ISAKMP:(1006):deleting SA reason "No reason" state (R) QM_IDLE       (peer <pfsense ipv4 Public ip>)  
*Jan  3 20:24:27.163: ISAKMP:(1006):deleting node -254864944 error FALSE reason "Informational (in) state 1"  
*Jan  3 20:24:27.163: ISAKMP: set new node 1481984827 to QM_IDLE
*Jan  3 20:24:27.163: ISAKMP:(1006): sending packet to <pfsense ipv4 Public ip> my_port 4500 peer_port 4500 (R) QM_IDLE
*Jan  3 20:24:27.163: ISAKMP:(1006):Sending an IKE IPv4 Packet.
*Jan  3 20:24:27.163: ISAKMP:(1006):purging node 1481984827
*Jan  3 20:24:27.163: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jan  3 20:24:27.163: ISAKMP:(1006):Old State = IKE_P1_COMPLETE  New State = IKE_DEST_SA

*Jan  3 20:24:27.163: ISAKMP:(1006):deleting SA reason "No reason" state (R) QM_IDLE       (peer <pfsense ipv4 Public ip>)  
*Jan  3 20:24:27.163: ISAKMP: Unlocking peer struct 0x21213C90 for isadb_mark_sa_deleted(), count 0
*Jan  3 20:24:27.163: ISAKMP: Deleting peer node by peer_reap for <pfsense ipv4 Public ip>: 21213C90
*Jan  3 20:24:27.167: ISAKMP:(1006):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan  3 20:24:27.167: ISAKMP:(1006):Old State = IKE_DEST_SA  New State = IKE_DEST_SA

IPSEC Logs
Jan 3 20:58:22	charon		14[CFG] vici client 5866 disconnected
Jan 3 20:58:22	charon		12[CFG] vici client 5866 requests: list-sas
Jan 3 20:58:22	charon		07[CFG] vici client 5866 registered for: list-sa
Jan 3 20:58:22	charon		14[CFG] vici client 5866 connected
Jan 3 20:58:16	charon		15[CFG] vici client 5865 disconnected
Jan 3 20:58:16	charon		16[CFG] vici client 5865 requests: list-sas
Jan 3 20:58:16	charon		16[CFG] vici client 5865 registered for: list-sa
Jan 3 20:58:16	charon		08[CFG] vici client 5865 connected
Jan 3 20:58:11	charon		06[CFG] vici client 5864 disconnected
Jan 3 20:58:11	charon		06[CFG] vici client 5864 requests: list-sas
Jan 3 20:58:11	charon		06[CFG] vici client 5864 registered for: list-sa
Jan 3 20:58:11	charon		13[CFG] vici client 5864 connected
Jan 3 20:58:06	charon		11[CFG] vici client 5863 disconnected
Jan 3 20:58:06	charon		11[CFG] vici client 5863 requests: list-sas
Jan 3 20:58:06	charon		05[CFG] vici client 5863 registered for: list-sa
Jan 3 20:58:06	charon		11[CFG] vici client 5863 connected
Jan 3 20:58:01	charon		07[CFG] vici client 5862 disconnected
Jan 3 20:58:01	charon		14[CFG] vici client 5862 requests: list-sas
Jan 3 20:58:01	charon		15[CFG] vici client 5862 registered for: list-sa
Jan 3 20:58:01	charon		07[CFG] vici client 5862 connected
Jan 3 20:57:55	charon		16[CFG] vici client 5861 disconnected
Jan 3 20:57:55	charon		08[CFG] vici client 5861 requests: list-sas
Jan 3 20:57:55	charon		08[CFG] vici client 5861 registered for: list-sa
Jan 3 20:57:55	charon		10[CFG] vici client 5861 connected
Jan 3 20:57:50	charon		09[CFG] vici client 5860 disconnected
Jan 3 20:57:50	charon		09[CFG] vici client 5860 requests: list-sas
Jan 3 20:57:50	charon		09[CFG] vici client 5860 registered for: list-sa
Jan 3 20:57:50	charon		06[CFG] vici client 5860 connected
Jan 3 20:57:45	charon		12[CFG] vici client 5859 disconnected
Jan 3 20:57:45	charon		12[CFG] vici client 5859 requests: list-sas
Jan 3 20:57:45	charon		11[CFG] vici client 5859 registered for: list-sa
Jan 3 20:57:45	charon		14[CFG] vici client 5859 connected
Jan 3 20:57:40	charon		14[IKE] <con2000|214> IKE_SA con2000[214] state change: DELETING => DESTROYING
Jan 3 20:57:40	charon		14[NET] <con2000|214> sending packet: from 10.0.0.26[4500] to <Fritzbox Public IPv4>[4500] (108 bytes)
Jan 3 20:57:40	charon		14[ENC] <con2000|214> generating INFORMATIONAL_V1 request 4040102352 [ HASH D ]
Jan 3 20:57:40	charon		14[IKE] <con2000|214> IKE_SA con2000[214] state change: CONNECTING => DELETING
Jan 3 20:57:40	charon		14[IKE] <con2000|214> sending DELETE for IKE_SA con2000[214]
Jan 3 20:57:40	charon		14[IKE] <con2000|214> deleting IKE_SA con2000[214] between 10.0.0.26[10.0.0.26]...<Fritzbox Public IPv4>[%any]
Jan 3 20:57:40	charon		14[IKE] <con2000|214> activating ISAKMP_DELETE task
Jan 3 20:57:40	charon		14[IKE] <con2000|214> activating new tasks
Jan 3 20:57:40	charon		14[IKE] <con2000|214> queueing ISAKMP_DELETE task
Jan 3 20:57:40	charon		14[IKE] <con2000|214> IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4>'  
Jan 3 20:57:40	charon		14[ENC] <con2000|214> parsed ID_PROT response 0 [ ID HASH ]
Jan 3 20:57:40	charon		14[NET] <con2000|214> received packet: from <Fritzbox Public IPv4>[4500] to 10.0.0.26[4500] (92 bytes)
Jan 3 20:57:40	charon		14[NET] <con2000|214> sending packet: from 10.0.0.26[4500] to <Fritzbox Public IPv4>[4500] (108 bytes)
Jan 3 20:57:40	charon		14[ENC] <con2000|214> generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Jan 3 20:57:40	charon		14[IKE] <con2000|214> MAIN_MODE task
Jan 3 20:57:40	charon		14[IKE] <con2000|214> ISAKMP_VENDOR task
Jan 3 20:57:40	charon		14[IKE] <con2000|214> reinitiating already active tasks
Jan 3 20:57:40	charon		14[IKE] <con2000|214> remote host is behind NAT
Jan 3 20:57:40	charon		14[IKE] <con2000|214> local host is behind NAT, sending keep alives
Jan 3 20:57:40	charon		14[IKE] <con2000|214> received XAuth vendor ID
Jan 3 20:57:40	charon		14[ENC] <con2000|214> received unknown vendor ID: 37:aa:11:dd:66:2b:73:fd:c0:e7:ce:9e:09:9f:d3:4f
Jan 3 20:57:40	charon		14[IKE] <con2000|214> received DPD vendor ID
Jan 3 20:57:40	charon		14[IKE] <con2000|214> received Cisco Unity vendor ID
Jan 3 20:57:40	charon		14[ENC] <con2000|214> parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ]
Jan 3 20:57:40	charon		14[NET] <con2000|214> received packet: from <Fritzbox Public IPv4>[500] to 10.0.0.26[500] (456 bytes)
Jan 3 20:57:39	charon		14[CFG] vici client 5858 disconnected
Jan 3 20:57:39	charon		11[CFG] vici client 5858 requests: list-sas
Jan 3 20:57:39	charon		14[CFG] vici client 5858 registered for: list-sa
Jan 3 20:57:39	charon		07[CFG] vici client 5858 connected
Jan 3 20:57:39	charon		07[NET] <con2000|214> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (396 bytes)
Jan 3 20:57:39	charon		07[ENC] <con2000|214> generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Jan 3 20:57:39	charon		07[IKE] <con2000|214> MAIN_MODE task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> ISAKMP_VENDOR task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> reinitiating already active tasks
Jan 3 20:57:39	charon		07[CFG] <con2000|214> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39	charon		07[CFG] <con2000|214> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39	charon		07[CFG] <con2000|214> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39	charon		07[CFG] <con2000|214> proposal matches
Jan 3 20:57:39	charon		07[CFG] <con2000|214> selecting proposal:
Jan 3 20:57:39	charon		07[IKE] <con2000|214> received NAT-T (RFC 3947) vendor ID
Jan 3 20:57:39	charon		07[ENC] <con2000|214> parsed ID_PROT response 0 [ SA V ]
Jan 3 20:57:39	charon		07[NET] <con2000|214> received packet: from <Fritzbox Public IPv4>[500] to 10.0.0.26[500] (108 bytes)
Jan 3 20:57:39	charon		07[NET] <con2000|214> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (184 bytes)
Jan 3 20:57:39	charon		07[ENC] <con2000|214> generating ID_PROT request 0 [ SA V V V V V ]
Jan 3 20:57:39	charon		07[CFG] <con2000|214> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39	charon		07[IKE] <con2000|214> IKE_SA con2000[214] state change: CREATED => CONNECTING
Jan 3 20:57:39	charon		07[IKE] <con2000|214> initiating Main Mode IKE_SA con2000[214] to <Fritzbox Public IPv4>
Jan 3 20:57:39	charon		07[IKE] <con2000|214> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 3 20:57:39	charon		07[IKE] <con2000|214> sending NAT-T (RFC 3947) vendor ID
Jan 3 20:57:39	charon		07[IKE] <con2000|214> sending FRAGMENTATION vendor ID
Jan 3 20:57:39	charon		07[IKE] <con2000|214> sending DPD vendor ID
Jan 3 20:57:39	charon		07[IKE] <con2000|214> sending XAuth vendor ID
Jan 3 20:57:39	charon		07[IKE] <con2000|214> activating ISAKMP_NATD task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> activating ISAKMP_CERT_POST task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> activating MAIN_MODE task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> activating ISAKMP_CERT_PRE task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> activating ISAKMP_VENDOR task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> activating new tasks
Jan 3 20:57:39	charon		07[IKE] <con2000|214> queueing QUICK_MODE task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> queueing ISAKMP_NATD task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> queueing ISAKMP_CERT_POST task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> queueing MAIN_MODE task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> queueing ISAKMP_CERT_PRE task
Jan 3 20:57:39	charon		07[IKE] <con2000|214> queueing ISAKMP_VENDOR task
Jan 3 20:57:39	charon		12[CFG] received stroke: initiate 'con2000'  
Jan 3 20:57:39	charon		15[CFG] no IKE_SA named 'con2000' found  
Jan 3 20:57:39	charon		15[CFG] received stroke: terminate 'con2000'  
Jan 3 20:57:34	charon		10[CFG] vici client 5857 disconnected
Jan 3 20:57:34	charon		16[CFG] vici client 5857 requests: list-sas
Jan 3 20:57:34	charon		10[CFG] vici client 5857 registered for: list-sa
Jan 3 20:57:34	charon		08[CFG] vici client 5857 connected
Jan 3 20:53:44	charon		05[CFG] vici client 5856 disconnected
Jan 3 20:53:44	charon		05[CFG] vici client 5856 requests: list-sas
Jan 3 20:53:44	charon		05[CFG] vici client 5856 registered for: list-sa
Jan 3 20:53:44	charon		09[CFG] vici client 5856 connected
Jan 3 20:53:39	charon		12[CFG] vici client 5855 disconnected
Jan 3 20:53:39	charon		14[CFG] vici client 5855 requests: list-sas
Jan 3 20:53:39	charon		15[CFG] vici client 5855 registered for: list-sa
Jan 3 20:53:39	charon		12[CFG] vici client 5855 connected
Jan 3 20:52:57	charon		08[CFG] vici client 5854 disconnected
Jan 3 20:52:57	charon		16[CFG] vici client 5854 requests: list-sas
Jan 3 20:52:57	charon		08[CFG] vici client 5854 registered for: list-sa
Jan 3 20:52:57	charon		10[CFG] vici client 5854 connected
Jan 3 20:52:28	ipsec_starter	26988	'con2000' routed  
Jan 3 20:52:28	charon		05[CHD] CHILD_SA con2000{151} state change: CREATED => ROUTED
Jan 3 20:52:28	charon		05[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:52:28	charon		05[CFG] received stroke: route 'con2000'  
Jan 3 20:52:28	charon		09[CFG] added configuration 'con2000'  
Jan 3 20:52:28	charon		09[CFG] keyexchange=ikev1
Jan 3 20:52:28	charon		09[CFG] mediation=no
Jan 3 20:52:28	charon		09[CFG] sha256_96=no
Jan 3 20:52:28	charon		09[CFG] dpdaction=3
Jan 3 20:52:28	charon		09[CFG] dpdtimeout=60
Jan 3 20:52:28	charon		09[CFG] dpddelay=10
Jan 3 20:52:28	charon		09[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:52:28	charon		09[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:52:28	charon		09[CFG] rightid=<Fritzbox Public IPv4>
Jan 3 20:52:28	charon		09[CFG] rightauth=psk
Jan 3 20:52:28	charon		09[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:52:28	charon		09[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:52:28	charon		09[CFG] leftid=10.0.0.26
Jan 3 20:52:28	charon		09[CFG] leftauth=psk
Jan 3 20:52:28	charon		09[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:28	charon		09[CFG] left=10.0.0.26
Jan 3 20:52:28	charon		09[CFG] conn con2000
Jan 3 20:52:28	charon		09[CFG] received stroke: add connection 'con2000'  
Jan 3 20:52:28	ipsec_starter	26988	'bypasslan' shunt PASS policy installed  
Jan 3 20:52:28	charon		11[CFG] received stroke: route 'bypasslan'  
Jan 3 20:52:28	charon		05[CFG] added configuration 'bypasslan'  
Jan 3 20:52:28	charon		05[CFG] mediation=no
Jan 3 20:52:28	charon		05[CFG] sha256_96=no
Jan 3 20:52:28	charon		05[CFG] dpdtimeout=150
Jan 3 20:52:28	charon		05[CFG] dpddelay=30
Jan 3 20:52:28	charon		05[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:52:28	charon		05[CFG] right=%any
Jan 3 20:52:28	charon		05[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:28	charon		05[CFG] left=%any
Jan 3 20:52:28	charon		05[CFG] conn bypasslan
Jan 3 20:52:28	charon		05[CFG] received stroke: add connection 'bypasslan'  
Jan 3 20:52:28	charon		11[CFG] deleted connection 'con2000'  
Jan 3 20:52:28	charon		11[CFG] received stroke: delete connection 'con2000'  
Jan 3 20:52:28	ipsec_starter	26988	trap policy 'con2000' unrouted  
Jan 3 20:52:28	charon		05[CHD] CHILD_SA con2000{150} state change: ROUTED => DESTROYING
Jan 3 20:52:28	charon		05[CFG] received stroke: unroute 'con2000'  
Jan 3 20:52:28	charon		11[CFG] deleted connection 'bypasslan'  
Jan 3 20:52:28	charon		11[CFG] received stroke: delete connection 'bypasslan'  
Jan 3 20:52:28	ipsec_starter	26988	shunt policy 'bypasslan' uninstalled  
Jan 3 20:52:28	charon		14[CFG] received stroke: unroute 'bypasslan'  
Jan 3 20:52:28	charon		09[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'  
Jan 3 20:52:28	charon		09[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'  
Jan 3 20:52:28	charon		09[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'  
Jan 3 20:52:28	charon		09[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'  
Jan 3 20:52:28	charon		09[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'  
Jan 3 20:52:28	charon		09[CFG] loaded IKE secret for %any <Fritzbox Public IPv4>
Jan 3 20:52:28	charon		09[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'  
Jan 3 20:52:28	charon		09[CFG] rereading secrets
Jan 3 20:52:23	ipsec_starter	26988	'con2000' routed  
Jan 3 20:52:23	charon		08[CHD] CHILD_SA con2000{150} state change: CREATED => ROUTED
Jan 3 20:52:23	charon		08[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:52:23	charon		08[CFG] received stroke: route 'con2000'  
Jan 3 20:52:23	charon		13[CFG] added configuration 'con2000'  
Jan 3 20:52:23	charon		13[CFG] keyexchange=ikev1
Jan 3 20:52:23	charon		13[CFG] mediation=no
Jan 3 20:52:23	charon		13[CFG] sha256_96=no
Jan 3 20:52:23	charon		13[CFG] dpdaction=3
Jan 3 20:52:23	charon		13[CFG] dpdtimeout=60
Jan 3 20:52:23	charon		13[CFG] dpddelay=10
Jan 3 20:52:23	charon		13[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:52:23	charon		13[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:52:23	charon		13[CFG] rightid=<Fritzbox Public IPv4>
Jan 3 20:52:23	charon		13[CFG] rightauth=psk
Jan 3 20:52:23	charon		13[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:52:23	charon		13[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:52:23	charon		13[CFG] leftid=10.0.0.26
Jan 3 20:52:23	charon		13[CFG] leftauth=psk
Jan 3 20:52:23	charon		13[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:23	charon		13[CFG] left=10.0.0.26
Jan 3 20:52:23	charon		13[CFG] conn con2000
Jan 3 20:52:23	charon		13[CFG] received stroke: add connection 'con2000'  
Jan 3 20:52:23	ipsec_starter	26988	'bypasslan' shunt PASS policy installed  
Jan 3 20:52:23	charon		08[CFG] received stroke: route 'bypasslan'  
Jan 3 20:52:23	charon		10[CFG] added configuration 'bypasslan'  
Jan 3 20:52:23	charon		10[CFG] mediation=no
Jan 3 20:52:23	charon		10[CFG] sha256_96=no
Jan 3 20:52:23	charon		10[CFG] dpdtimeout=150
Jan 3 20:52:23	charon		10[CFG] dpddelay=30
Jan 3 20:52:23	charon		10[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:52:23	charon		10[CFG] right=%any
Jan 3 20:52:23	charon		10[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:23	charon		10[CFG] left=%any
Jan 3 20:52:23	charon		10[CFG] conn bypasslan
Jan 3 20:52:23	charon		10[CFG] received stroke: add connection 'bypasslan'  
Jan 3 20:52:23	charon		08[CFG] deleted connection 'con2000'  
Jan 3 20:52:23	charon		08[CFG] received stroke: delete connection 'con2000'  
Jan 3 20:52:23	ipsec_starter	26988	trap policy 'con2000' unrouted  
Jan 3 20:52:23	charon		10[CHD] CHILD_SA con2000{149} state change: ROUTED => DESTROYING
Jan 3 20:52:23	charon		10[CFG] received stroke: unroute 'con2000'  
Jan 3 20:52:23	charon		08[CFG] deleted connection 'bypasslan'  
Jan 3 20:52:23	charon		08[CFG] received stroke: delete connection 'bypasslan'  
Jan 3 20:52:23	ipsec_starter	26988	shunt policy 'bypasslan' uninstalled  
Jan 3 20:52:23	charon		06[CFG] received stroke: unroute 'bypasslan'  
Jan 3 20:52:23	charon		10[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'  
Jan 3 20:52:23	charon		10[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'  
Jan 3 20:52:23	charon		10[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'  
Jan 3 20:52:23	charon		10[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'  
Jan 3 20:52:23	charon		10[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'  
Jan 3 20:52:23	charon		10[CFG] loaded IKE secret for %any <Fritzbox Public IPv4>
Jan 3 20:52:23	charon		10[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'  
Jan 3 20:52:23	charon		10[CFG] rereading secrets
Jan 3 20:52:16	ipsec_starter	26988	'con2000' routed  
Jan 3 20:52:16	charon		16[CHD] CHILD_SA con2000{149} state change: CREATED => ROUTED
Jan 3 20:52:16	charon		16[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:52:16	charon		16[CFG] received stroke: route 'con2000'  
Jan 3 20:52:16	charon		13[CFG] added configuration 'con2000'  
Jan 3 20:52:16	charon		13[CFG] keyexchange=ikev1
Jan 3 20:52:16	charon		13[CFG] mediation=no
Jan 3 20:52:16	charon		13[CFG] sha256_96=no
Jan 3 20:52:16	charon		13[CFG] dpdaction=3
Jan 3 20:52:16	charon		13[CFG] dpdtimeout=60
Jan 3 20:52:16	charon		13[CFG] dpddelay=10
Jan 3 20:52:16	charon		13[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:52:16	charon		13[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:52:16	charon		13[CFG] rightid=<Fritzbox Public IPv4>
Jan 3 20:52:16	charon		13[CFG] rightauth=psk
Jan 3 20:52:16	charon		13[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:52:16	charon		13[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:52:16	charon		13[CFG] leftid=10.0.0.26
Jan 3 20:52:16	charon		13[CFG] leftauth=psk
Jan 3 20:52:16	charon		13[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:16	charon		13[CFG] left=10.0.0.26
Jan 3 20:52:16	charon		13[CFG] conn con2000
Jan 3 20:52:16	charon		13[CFG] received stroke: add connection 'con2000'  
Jan 3 20:52:16	ipsec_starter	26988	'bypasslan' shunt PASS policy installed  
Jan 3 20:52:16	charon		16[CFG] received stroke: route 'bypasslan'  
Jan 3 20:52:16	charon		07[CFG] added configuration 'bypasslan'  
Jan 3 20:52:16	charon		07[CFG] mediation=no
Jan 3 20:52:16	charon		07[CFG] sha256_96=no
Jan 3 20:52:16	charon		07[CFG] dpdtimeout=150
Jan 3 20:52:16	charon		07[CFG] dpddelay=30
Jan 3 20:52:16	charon		07[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:52:16	charon		07[CFG] right=%any
Jan 3 20:52:16	charon		07[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:16	charon		07[CFG] left=%any
Jan 3 20:52:16	charon		07[CFG] conn bypasslan
Jan 3 20:52:16	charon		07[CFG] received stroke: add connection 'bypasslan'  
Jan 3 20:52:16	charon		16[CFG] deleted connection 'con2000'  
Jan 3 20:52:16	charon		16[CFG] received stroke: delete connection 'con2000'  
Jan 3 20:52:16	ipsec_starter	26988	trap policy 'con2000' unrouted  
Jan 3 20:52:16	charon		07[CHD] CHILD_SA con2000{148} state change: ROUTED => DESTROYING
Jan 3 20:52:16	charon		07[CFG] received stroke: unroute 'con2000'  
Jan 3 20:52:16	charon		16[CFG] deleted connection 'bypasslan'  
Jan 3 20:52:16	charon		16[CFG] received stroke: delete connection 'bypasslan'  
Jan 3 20:52:16	ipsec_starter	26988	shunt policy 'bypasslan' uninstalled  
Jan 3 20:52:16	charon		08[CFG] received stroke: unroute 'bypasslan'  
Jan 3 20:52:16	charon		07[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'  
Jan 3 20:52:16	charon		07[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'  
Jan 3 20:52:16	charon		07[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'  
Jan 3 20:52:16	charon		07[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'  
Jan 3 20:52:16	charon		07[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'  
Jan 3 20:52:16	charon		07[CFG] loaded IKE secret for %any <Fritzbox Public IPv4>
Jan 3 20:52:16	charon		07[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'  
Jan 3 20:52:16	charon		07[CFG] rereading secrets
Jan 3 20:50:26	charon		13[CFG] vici client 5853 disconnected
Jan 3 20:50:26	charon		12[CFG] vici client 5853 requests: list-sas
Jan 3 20:50:26	charon		12[CFG] vici client 5853 registered for: list-sa
Jan 3 20:50:26	charon		16[CFG] vici client 5853 connected
Jan 3 20:50:20	charon		10[CFG] vici client 5852 disconnected
Jan 3 20:50:20	charon		10[CFG] vici client 5852 requests: list-sas
Jan 3 20:50:20	charon		10[CFG] vici client 5852 registered for: list-sa
Jan 3 20:50:20	charon		08[CFG] vici client 5852 connected
Jan 3 20:50:15	charon		05[CFG] vici client 5851 disconnected
Jan 3 20:50:15	charon		05[CFG] vici client 5851 requests: list-sas
Jan 3 20:50:15	charon		05[CFG] vici client 5851 registered for: list-sa
Jan 3 20:50:15	charon		09[CFG] vici client 5851 connected
Jan 3 20:50:10	charon		15[CFG] vici client 5850 disconnected
Jan 3 20:50:10	charon		15[CFG] vici client 5850 requests: list-sas
Jan 3 20:50:10	charon		15[CFG] vici client 5850 registered for: list-sa
Jan 3 20:50:10	charon		13[CFG] vici client 5850 connected
Jan 3 20:50:05	charon		07[CFG] vici client 5849 disconnected
Jan 3 20:50:05	charon		07[CFG] vici client 5849 requests: list-sas
Jan 3 20:50:05	charon		07[CFG] vici client 5849 registered for: list-sa
Jan 3 20:50:05	charon		12[CFG] vici client 5849 connected
Jan 3 20:49:59	charon		06[CFG] vici client 5848 disconnected
Jan 3 20:49:59	charon		06[CFG] vici client 5848 requests: list-sas
Jan 3 20:49:59	charon		06[CFG] vici client 5848 registered for: list-sa
Jan 3 20:49:59	charon		10[CFG] vici client 5848 connected
Jan 3 20:49:54	charon		05[CFG] vici client 5847 disconnected
Jan 3 20:49:54	charon		09[CFG] vici client 5847 requests: list-sas
Jan 3 20:49:54	charon		14[CFG] vici client 5847 registered for: list-sa
Jan 3 20:49:54	charon		05[CFG] vici client 5847 connected
Jan 3 20:49:49	charon		15[CFG] vici client 5846 disconnected
Jan 3 20:49:49	charon		13[CFG] vici client 5846 requests: list-sas
Jan 3 20:49:49	charon		13[CFG] vici client 5846 registered for: list-sa
Jan 3 20:49:49	charon		16[CFG] vici client 5846 connected
Jan 3 20:49:48	charon		16[IKE] <con2000|213> IKE_SA con2000[213] state change: CONNECTING => DESTROYING
Jan 3 20:49:48	charon		16[IKE] <con2000|213> destroying IKE_SA in state CONNECTING without notification
Jan 3 20:49:48	charon		12[CFG] received stroke: terminate 'con2000'  
Jan 3 20:49:48	charon		16[NET] <con2000|213> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (184 bytes)
Jan 3 20:49:48	charon		16[ENC] <con2000|213> generating ID_PROT request 0 [ SA V V V V V ]
Jan 3 20:49:48	charon		16[CFG] <con2000|213> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:49:48	charon		16[IKE] <con2000|213> IKE_SA con2000[213] state change: CREATED => CONNECTING
Jan 3 20:49:48	charon		16[IKE] <con2000|213> initiating Main Mode IKE_SA con2000[213] to <Fritzbox Public IPv4>
Jan 3 20:49:48	charon		16[IKE] <con2000|213> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 3 20:49:48	charon		16[IKE] <con2000|213> sending NAT-T (RFC 3947) vendor ID
Jan 3 20:49:48	charon		16[IKE] <con2000|213> sending FRAGMENTATION vendor ID
Jan 3 20:49:48	charon		16[IKE] <con2000|213> sending DPD vendor ID
Jan 3 20:49:48	charon		16[IKE] <con2000|213> sending XAuth vendor ID
Jan 3 20:49:48	charon		16[IKE] <con2000|213> activating ISAKMP_NATD task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> activating ISAKMP_CERT_POST task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> activating MAIN_MODE task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> activating ISAKMP_CERT_PRE task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> activating ISAKMP_VENDOR task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> activating new tasks
Jan 3 20:49:48	charon		16[IKE] <con2000|213> queueing QUICK_MODE task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> queueing ISAKMP_NATD task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> queueing ISAKMP_CERT_POST task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> queueing MAIN_MODE task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> queueing ISAKMP_CERT_PRE task
Jan 3 20:49:48	charon		16[IKE] <con2000|213> queueing ISAKMP_VENDOR task
Jan 3 20:49:48	charon		13[CFG] received stroke: initiate 'con2000'  
Jan 3 20:49:43	charon		10[CFG] vici client 5845 disconnected
Jan 3 20:49:43	charon		10[CFG] vici client 5845 requests: list-sas
Jan 3 20:49:43	charon		10[CFG] vici client 5845 registered for: list-sa
Jan 3 20:49:43	charon		08[CFG] vici client 5845 connected
Jan 3 20:49:38	charon		09[CFG] vici client 5844 disconnected
Jan 3 20:49:38	charon		09[CFG] vici client 5844 requests: list-sas
Jan 3 20:49:38	charon		11[CFG] vici client 5844 registered for: list-sa
Jan 3 20:49:38	charon		09[CFG] vici client 5844 connected
Jan 3 20:49:32	charon		15[CFG] vici client 5843 disconnected
Jan 3 20:49:32	charon		14[CFG] vici client 5843 requests: list-sas
Jan 3 20:49:32	charon		12[CFG] vici client 5843 registered for: list-sa
Jan 3 20:49:32	charon		15[CFG] vici client 5843 connected
Jan 3 20:49:27	charon		16[CFG] vici client 5842 disconnected
Jan 3 20:49:27	charon		07[CFG] vici client 5842 requests: list-sas
Jan 3 20:49:27	charon		07[CFG] vici client 5842 registered for: list-sa
Jan 3 20:49:27	charon		13[CFG] vici client 5842 connected
Jan 3 20:49:22	charon		06[CFG] vici client 5841 disconnected
Jan 3 20:49:22	charon		06[CFG] vici client 5841 requests: list-sas
Jan 3 20:49:22	charon		06[CFG] vici client 5841 registered for: list-sa
Jan 3 20:49:22	charon		10[CFG] vici client 5841 connected
Jan 3 20:49:17	charon		05[CFG] vici client 5840 disconnected
Jan 3 20:49:17	charon		05[CFG] vici client 5840 requests: list-sas
Jan 3 20:49:17	charon		09[CFG] vici client 5840 registered for: list-sa
Jan 3 20:49:17	charon		05[CFG] vici client 5840 connected
Jan 3 20:49:11	charon		12[CFG] vici client 5839 disconnected
Jan 3 20:49:11	charon		15[CFG] vici client 5839 requests: list-sas
Jan 3 20:49:11	charon		16[CFG] vici client 5839 registered for: list-sa
Jan 3 20:49:11	charon		12[CFG] vici client 5839 connected
Jan 3 20:49:06	charon		07[CFG] vici client 5838 disconnected
Jan 3 20:49:06	charon		08[CFG] vici client 5838 requests: list-sas
Jan 3 20:49:06	charon		08[CFG] vici client 5838 registered for: list-sa
Jan 3 20:49:06	charon		13[CFG] vici client 5838 connected
Jan 3 20:49:00	charon		11[CFG] vici client 5837 disconnected
Jan 3 20:49:00	charon		11[CFG] vici client 5837 requests: list-sas
Jan 3 20:49:00	charon		11[CFG] vici client 5837 registered for: list-sa
Jan 3 20:49:00	charon		06[CFG] vici client 5837 connected
Jan 3 20:48:55	charon		14[CFG] vici client 5836 disconnected
Jan 3 20:48:55	charon		14[CFG] vici client 5836 requests: list-sas
Jan 3 20:48:55	charon		05[CFG] vici client 5836 registered for: list-sa
Jan 3 20:48:55	charon		14[CFG] vici client 5836 connected
Jan 3 20:48:50	charon		16[CFG] vici client 5835 disconnected
Jan 3 20:48:50	charon		12[CFG] vici client 5835 requests: list-sas
Jan 3 20:48:50	charon		07[CFG] vici client 5835 registered for: list-sa
Jan 3 20:48:50	charon		16[CFG] vici client 5835 connected
Jan 3 20:48:44	charon		08[CFG] vici client 5834 disconnected
Jan 3 20:48:44	charon		10[CFG] vici client 5834 requests: list-sas
Jan 3 20:48:44	charon		10[CFG] vici client 5834 registered for: list-sa
Jan 3 20:48:44	charon		13[CFG] vici client 5834 connected
Jan 3 20:48:39	charon		09[CFG] vici client 5833 disconnected
Jan 3 20:48:39	charon		09[CFG] vici client 5833 requests: list-sas
Jan 3 20:48:39	charon		09[CFG] vici client 5833 registered for: list-sa
Jan 3 20:48:39	charon		11[CFG] vici client 5833 connected
Jan 3 20:48:34	charon		15[CFG] vici client 5832 disconnected
Jan 3 20:48:34	charon		15[CFG] vici client 5832 requests: list-sas
Jan 3 20:48:34	charon		12[CFG] vici client 5832 registered for: list-sa
Jan 3 20:48:34	charon		14[CFG] vici client 5832 connected
Jan 3 20:48:28	ipsec_starter	26988	'con2000' routed  
Jan 3 20:48:28	charon		08[CHD] CHILD_SA con2000{148} state change: CREATED => ROUTED
Jan 3 20:48:28	charon		08[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:48:28	charon		08[CFG] received stroke: route 'con2000'  
Jan 3 20:48:28	charon		13[CFG] added configuration 'con2000'  
Jan 3 20:48:28	charon		13[CFG] keyexchange=ikev1
Jan 3 20:48:28	charon		13[CFG] mediation=no
Jan 3 20:48:28	charon		13[CFG] sha256_96=no
Jan 3 20:48:28	charon		13[CFG] dpdaction=3
Jan 3 20:48:28	charon		13[CFG] dpdtimeout=60
Jan 3 20:48:28	charon		13[CFG] dpddelay=10
Jan 3 20:48:28	charon		13[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:48:28	charon		13[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:48:28	charon		13[CFG] rightid=192.168.178.254
Jan 3 20:48:28	charon		13[CFG] rightauth=psk
Jan 3 20:48:28	charon		13[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:48:28	charon		13[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:48:28	charon		13[CFG] leftid=10.0.0.26
Jan 3 20:48:28	charon		13[CFG] leftauth=psk
Jan 3 20:48:28	charon		13[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:48:28	charon		13[CFG] left=10.0.0.26
Jan 3 20:48:28	charon		13[CFG] conn con2000
Jan 3 20:48:28	charon		13[CFG] received stroke: add connection 'con2000'  
Jan 3 20:48:28	ipsec_starter	26988	'bypasslan' shunt PASS policy installed  
Jan 3 20:48:28	charon		07[CFG] received stroke: route 'bypasslan'  
Jan 3 20:48:28	charon		08[CFG] added configuration 'bypasslan'  
Jan 3 20:48:28	charon		08[CFG] mediation=no
Jan 3 20:48:28	charon		08[CFG] sha256_96=no
Jan 3 20:48:28	charon		08[CFG] dpdtimeout=150
Jan 3 20:48:28	charon		08[CFG] dpddelay=30
Jan 3 20:48:28	charon		08[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:48:28	charon		08[CFG] right=%any
Jan 3 20:48:28	charon		08[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:48:28	charon		08[CFG] left=%any
Jan 3 20:48:28	charon		08[CFG] conn bypasslan
Jan 3 20:48:28	charon		08[CFG] received stroke: add connection 'bypasslan'  
Jan 3 20:48:28	charon		07[CFG] deleted connection 'con2000'  
Jan 3 20:48:28	charon		07[CFG] received stroke: delete connection 'con2000'  
Jan 3 20:48:28	ipsec_starter	26988	trap policy 'con2000' unrouted  
Jan 3 20:48:28	charon		08[CHD] CHILD_SA con2000{147} state change: ROUTED => DESTROYING
Jan 3 20:48:28	charon		08[CFG] received stroke: unroute 'con2000'  
Jan 3 20:48:28	charon		07[CFG] deleted connection 'bypasslan'  
Jan 3 20:48:28	charon		07[CFG] received stroke: delete connection 'bypasslan'  
Jan 3 20:48:28	ipsec_starter	26988	shunt policy 'bypasslan' uninstalled  
Jan 3 20:48:28	charon		08[CFG] received stroke: unroute 'bypasslan'  
Jan 3 20:48:28	charon		10[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'  
Jan 3 20:48:28	charon		10[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'  
Jan 3 20:48:28	charon		10[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'  
Jan 3 20:48:28	charon		10[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'  
Jan 3 20:48:28	charon		10[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'  
Jan 3 20:48:28	charon		10[CFG] loaded IKE secret for %any 192.168.178.254
Jan 3 20:48:28	charon		10[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'  
Jan 3 20:48:28	charon		10[CFG] rereading secrets
Jan 3 20:42:49	charon		08[CFG] vici client 5831 disconnected
Jan 3 20:42:49	charon		08[CFG] vici client 5831 requests: list-sas
Jan 3 20:42:49	charon		08[CFG] vici client 5831 registered for: list-sa
Jan 3 20:42:49	charon		10[CFG] vici client 5831 connected
Jan 3 20:42:44	charon		09[CFG] vici client 5830 disconnected
Jan 3 20:42:44	charon		09[CFG] vici client 5830 requests: list-sas
Jan 3 20:42:44	charon		11[CFG] vici client 5830 registered for: list-sa
Jan 3 20:42:44	charon		09[CFG] vici client 5830 connected
Jan 3 20:42:39	charon		14[CFG] vici client 5829 disconnected
Jan 3 20:42:39	charon		15[CFG] vici client 5829 requests: list-sas
Jan 3 20:42:39	charon		12[CFG] vici client 5829 registered for: list-sa
Jan 3 20:42:39	charon		14[CFG] vici client 5829 connected
Jan 3 20:42:33	charon		13[CFG] vici client 5828 disconnected
Jan 3 20:42:33	charon		07[CFG] vici client 5828 requests: list-sas
Jan 3 20:42:33	charon		07[CFG] vici client 5828 registered for: list-sa
Jan 3 20:42:33	charon		16[CFG] vici client 5828 connected
Jan 3 20:42:28	charon		06[CFG] vici client 5827 disconnected
Jan 3 20:42:28	charon		06[CFG] vici client 5827 requests: list-sas
Jan 3 20:42:28	charon		06[CFG] vici client 5827 registered for: list-sa
Jan 3 20:42:28	charon		08[CFG] vici client 5827 connected
Jan 3 20:42:23	charon		05[CFG] vici client 5826 disconnected
Jan 3 20:42:23	charon		05[CFG] vici client 5826 requests: list-sas
Jan 3 20:42:23	charon		09[CFG] vici client 5826 registered for: list-sa
Jan 3 20:42:23	charon		05[CFG] vici client 5826 connected
Jan 3 20:42:17	charon		12[CFG] vici client 5825 disconnected
Jan 3 20:42:17	charon		14[CFG] vici client 5825 requests: list-sas
Jan 3 20:42:17	charon		13[CFG] vici client 5825 registered for: list-sa
Jan 3 20:42:17	charon		12[CFG] vici client 5825 connected
Jan 3 20:42:12	charon		07[CFG] vici client 5824 disconnected
Jan 3 20:42:12	charon		10[CFG] vici client 5824 requests: list-sas
Jan 3 20:42:12	charon		10[CFG] vici client 5824 registered for: list-sa
Jan 3 20:42:12	charon		16[CFG] vici client 5824 connected
Jan 3 20:42:07	charon		11[CFG] vici client 5823 disconnected
Jan 3 20:42:07	charon		11[CFG] vici client 5823 requests: list-sas
Jan 3 20:42:07	charon		11[CFG] vici client 5823 registered for: list-sa
Jan 3 20:42:07	charon		06[CFG] vici client 5823 connected
Jan 3 20:42:01	charon		15[CFG] vici client 5822 disconnected
Jan 3 20:42:01	charon		15[CFG] vici client 5822 requests: list-sas
Jan 3 20:42:01	charon		05[CFG] vici client 5822 registered for: list-sa
Jan 3 20:42:01	charon		15[CFG] vici client 5822 connected


Dann habe ich nachgelesen, warum es diesen nicht passenden Identifier mit NAT geben könnte.
Nachdem ich die Netgate Tshoot-Dokumente befolgt hatte, änderte ich die Peer-IP-Adresse in Phase 1 von Peer-IP-Adresse auf IP-Adresse, wie man auf dem Screenshot sehen kann.

pfsense mismatched nat identifier
pfsense-p1-ip-addr
Nachdem ich dies in IP-Adresse geändert und dann die Pre-NAT-IP 192.168.178.254 eingegeben hatte, funktionierte sogar die Phase 1 nicht mehr.


Hier findet man die Protokolle von ISAKMP Debugger und Pfsense IPsec.

ISAKMP Debugger

dedusvgw001#
*Jan  3 20:39:13.131: ISAKMP (0): received packet from <pfsense ipv4 Public ip> dport 500 sport 500 Global (N) NEW SA
*Jan  3 20:39:13.131: ISAKMP: Created a peer struct for <pfsense ipv4 Public ip>, peer port 500
*Jan  3 20:39:13.131: ISAKMP: New peer created peer = 0x3EB80304 peer_handle = 0x8000000C
*Jan  3 20:39:13.135: ISAKMP: Locking peer struct 0x3EB80304, refcount 1 for crypto_isakmp_process_block
*Jan  3 20:39:13.135: ISAKMP: local port 500, remote port 500
*Jan  3 20:39:13.135: ISAKMP:(0):insert sa successfully sa = 237C8BCC
*Jan  3 20:39:13.135: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan  3 20:39:13.135: ISAKMP:(0):Old State = IKE_READY  New State = IKE_R_MM1

*Jan  3 20:39:13.135: ISAKMP:(0): processing SA payload. message ID = 0
*Jan  3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.135: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan  3 20:39:13.135: ISAKMP:(0): vendor ID is XAUTH
*Jan  3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.135: ISAKMP:(0): vendor ID is DPD
*Jan  3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.135: ISAKMP:(0): processing IKE frag vendor id payload
*Jan  3 20:39:13.135: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan  3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.135: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan  3 20:39:13.135: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan  3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.135: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan  3 20:39:13.135: ISAKMP:(0): vendor ID is NAT-T v2
*Jan  3 20:39:13.135: ISAKMP:(0):found peer pre-shared key matching <pfsense ipv4 Public ip>
*Jan  3 20:39:13.135: ISAKMP:(0): local preshared key found
*Jan  3 20:39:13.135: ISAKMP : Scanning profiles for xauth ... PFSENSE
*Jan  3 20:39:13.135: ISAKMP:(0):Checking ISAKMP transform 1 against priority 5 policy
*Jan  3 20:39:13.135: ISAKMP:      encryption AES-CBC
*Jan  3 20:39:13.135: ISAKMP:      keylength of 256
*Jan  3 20:39:13.135: ISAKMP:      hash SHA256
*Jan  3 20:39:13.135: ISAKMP:      default group 14
*Jan  3 20:39:13.135: ISAKMP:      auth pre-share
*Jan  3 20:39:13.135: ISAKMP:      life type in seconds
*Jan  3 20:39:13.135: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
*Jan  3 20:39:13.135: ISAKMP:(0):atts are acceptable. Next payload is 0
*Jan  3 20:39:13.135: ISAKMP:(0):Acceptable atts:actual life: 86400
*Jan  3 20:39:13.135: ISAKMP:(0):Acceptable atts:life: 0
*Jan  3 20:39:13.135: ISAKMP:(0):Fill atts in sa vpi_length:4
*Jan  3 20:39:13.135: ISAKMP:(0):Fill atts in sa life_in_seconds:86400
*Jan  3 20:39:13.135: ISAKMP:(0):Returning Actual lifetime: 86400
*Jan  3 20:39:13.135: ISAKMP:(0)::Started lifetime timer: 86400.

*Jan  3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.235: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan  3 20:39:13.235: ISAKMP:(0): vendor ID is XAUTH
*Jan  3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.235: ISAKMP:(0): vendor ID is DPD
*Jan  3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.235: ISAKMP:(0): processing IKE frag vendor id payload
*Jan  3 20:39:13.235: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan  3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.235: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan  3 20:39:13.235: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan  3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan  3 20:39:13.235: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan  3 20:39:13.235: ISAKMP:(0): vendor ID is NAT-T v2
*Jan  3 20:39:13.235: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan  3 20:39:13.235: ISAKMP:(0):Old State = IKE_R_MM1  New State = IKE_R_MM1

*Jan  3 20:39:13.235: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
*Jan  3 20:39:13.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan  3 20:39:13.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan  3 20:39:13.235: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan  3 20:39:13.235: ISAKMP:(0):Old State = IKE_R_MM1  New State = IKE_R_MM2

*Jan  3 20:39:23.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan  3 20:39:23.235: ISAKMP (0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
*Jan  3 20:39:23.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan  3 20:39:23.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan  3 20:39:23.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan  3 20:39:33.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan  3 20:39:33.235: ISAKMP (0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
*Jan  3 20:39:33.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan  3 20:39:33.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan  3 20:39:33.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan  3 20:39:43.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan  3 20:39:43.235: ISAKMP (0): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
*Jan  3 20:39:43.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan  3 20:39:43.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan  3 20:39:43.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan  3 20:39:53.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan  3 20:39:53.235: ISAKMP (0): incrementing error counter on sa, attempt 4 of 5: retransmit phase 1
*Jan  3 20:39:53.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan  3 20:39:53.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan  3 20:39:53.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan  3 20:40:03.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan  3 20:40:03.235: ISAKMP (0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
*Jan  3 20:40:03.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan  3 20:40:03.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan  3 20:40:03.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan  3 20:40:13.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan  3 20:40:13.235: ISAKMP:(0):peer does not do paranoid keepalives.

*Jan  3 20:40:13.235: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (R) MM_SA_SETUP (peer <pfsense ipv4 Public ip>)  
*Jan  3 20:40:13.235: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (R) MM_SA_SETUP (peer <pfsense ipv4 Public ip>)  
*Jan  3 20:40:13.235: ISAKMP:(0):Deleting the unauthenticated sa
*Jan  3 20:40:13.235: ISAKMP:(0):Unlocking peer struct 0x3EB80304 for isadb_mark_sa_deleted(), count 0
*Jan  3 20:40:13.235: ISAKMP:(0):Deleting the peer struct for unauthenticated sa
*Jan  3 20:40:13.235: ISAKMP: Deleting peer node by peer_reap for <pfsense ipv4 Public ip>: 3EB80304
*Jan  3 20:40:13.235: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jan  3 20:40:13.235: ISAKMP:(0):Old State = IKE_R_MM2  New State = IKE_DEST_SA

Pfsense Ipsec logs
Jan 3 21:12:37	charon		16[CFG] vici client 5883 disconnected
Jan 3 21:12:37	charon		09[CFG] vici client 5883 requests: list-sas
Jan 3 21:12:37	charon		09[CFG] vici client 5883 registered for: list-sa
Jan 3 21:12:37	charon		15[CFG] vici client 5883 connected
Jan 3 21:12:32	charon		11[CFG] vici client 5882 disconnected
Jan 3 21:12:32	charon		10[CFG] vici client 5882 requests: list-sas
Jan 3 21:12:32	charon		06[CFG] vici client 5882 registered for: list-sa
Jan 3 21:12:32	charon		11[CFG] vici client 5882 connected
Jan 3 21:12:26	charon		12[CFG] vici client 5881 disconnected
Jan 3 21:12:26	charon		05[CFG] vici client 5881 requests: list-sas
Jan 3 21:12:26	charon		05[CFG] vici client 5881 registered for: list-sa
Jan 3 21:12:26	charon		08[CFG] vici client 5881 connected
Jan 3 21:12:26	charon		08[IKE] <con2000|215> IKE_SA con2000[215] state change: CONNECTING => DESTROYING
Jan 3 21:12:26	charon		08[IKE] <con2000|215> destroying IKE_SA in state CONNECTING without notification
Jan 3 21:12:26	charon		07[CFG] received stroke: terminate 'con2000'  
Jan 3 21:12:26	charon		08[NET] <con2000|215> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (184 bytes)
Jan 3 21:12:26	charon		08[ENC] <con2000|215> generating ID_PROT request 0 [ SA V V V V V ]
Jan 3 21:12:26	charon		08[CFG] <con2000|215> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 21:12:26	charon		08[IKE] <con2000|215> IKE_SA con2000[215] state change: CREATED => CONNECTING
Jan 3 21:12:26	charon		08[IKE] <con2000|215> initiating Main Mode IKE_SA con2000[215] to <Fritzbox Public IPv4>
Jan 3 21:12:26	charon		08[IKE] <con2000|215> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 3 21:12:26	charon		08[IKE] <con2000|215> sending NAT-T (RFC 3947) vendor ID
Jan 3 21:12:26	charon		08[IKE] <con2000|215> sending FRAGMENTATION vendor ID
Jan 3 21:12:26	charon		08[IKE] <con2000|215> sending DPD vendor ID
Jan 3 21:12:26	charon		08[IKE] <con2000|215> sending XAuth vendor ID
Jan 3 21:12:26	charon		08[IKE] <con2000|215> activating ISAKMP_NATD task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> activating ISAKMP_CERT_POST task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> activating MAIN_MODE task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> activating ISAKMP_CERT_PRE task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> activating ISAKMP_VENDOR task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> activating new tasks
Jan 3 21:12:26	charon		08[IKE] <con2000|215> queueing QUICK_MODE task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> queueing ISAKMP_NATD task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> queueing ISAKMP_CERT_POST task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> queueing MAIN_MODE task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> queueing ISAKMP_CERT_PRE task
Jan 3 21:12:26	charon		08[IKE] <con2000|215> queueing ISAKMP_VENDOR task
Jan 3 21:12:26	charon		05[CFG] received stroke: initiate 'con2000'  
Jan 3 21:12:24	charon		15[CFG] vici client 5880 disconnected
Jan 3 21:12:24	charon		15[CFG] vici client 5880 requests: list-sas
Jan 3 21:12:24	charon		15[CFG] vici client 5880 registered for: list-sa
Jan 3 21:12:24	charon		16[CFG] vici client 5880 connected
Jan 3 21:12:18	charon		10[CFG] vici client 5879 disconnected
Jan 3 21:12:18	charon		10[CFG] vici client 5879 requests: list-sas
Jan 3 21:12:18	charon		13[CFG] vici client 5879 registered for: list-sa
Jan 3 21:12:18	charon		10[CFG] vici client 5879 connected
Jan 3 21:12:13	charon		12[CFG] vici client 5878 disconnected
Jan 3 21:12:13	charon		06[CFG] vici client 5878 requests: list-sas
Jan 3 21:12:13	charon		07[CFG] vici client 5878 registered for: list-sa
Jan 3 21:12:13	charon		12[CFG] vici client 5878 connected
Jan 3 21:12:08	charon		08[CFG] vici client 5877 disconnected
Jan 3 21:12:08	charon		14[CFG] vici client 5877 requests: list-sas
Jan 3 21:12:08	charon		14[CFG] vici client 5877 registered for: list-sa
Jan 3 21:12:08	charon		05[CFG] vici client 5877 connected
Jan 3 21:12:02	charon		09[CFG] vici client 5876 disconnected
Jan 3 21:12:02	charon		09[CFG] vici client 5876 requests: list-sas
Jan 3 21:12:02	charon		09[CFG] vici client 5876 registered for: list-sa
Jan 3 21:12:02	charon		15[CFG] vici client 5876 connected
Jan 3 21:11:57	charon		11[CFG] vici client 5875 disconnected
Jan 3 21:11:57	charon		11[CFG] vici client 5875 requests: list-sas
Jan 3 21:11:57	charon		10[CFG] vici client 5875 registered for: list-sa
Jan 3 21:11:57	charon		11[CFG] vici client 5875 connected
Jan 3 21:11:52	charon		07[CFG] vici client 5874 disconnected
Jan 3 21:11:52	charon		12[CFG] vici client 5874 requests: list-sas
Jan 3 21:11:52	charon		07[CFG] vici client 5874 registered for: list-sa
Jan 3 21:11:52	charon		08[CFG] vici client 5874 connected
Jan 3 21:11:25	charon		16[CFG] vici client 5873 disconnected
Jan 3 21:11:25	charon		16[CFG] vici client 5873 requests: list-sas
Jan 3 21:11:25	charon		16[CFG] vici client 5873 registered for: list-sa
Jan 3 21:11:25	charon		15[CFG] vici client 5873 connected
Jan 3 21:11:19	charon		13[CFG] vici client 5872 disconnected
Jan 3 21:11:19	charon		13[CFG] vici client 5872 requests: list-sas
Jan 3 21:11:19	charon		13[CFG] vici client 5872 registered for: list-sa
Jan 3 21:11:19	charon		10[CFG] vici client 5872 connected
Jan 3 21:11:15	charon		12[CFG] vici client 5871 disconnected
Jan 3 21:11:15	charon		06[CFG] vici client 5871 requests: list-sas
Jan 3 21:11:15	charon		08[CFG] vici client 5871 registered for: list-sa
Jan 3 21:11:14	charon		12[CFG] vici client 5871 connected
Jan 3 21:11:13	ipsec_starter	26988	'con2000' routed  
Jan 3 21:11:13	charon		07[CHD] CHILD_SA con2000{154} state change: CREATED => ROUTED
Jan 3 21:11:13	charon		07[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 21:11:13	charon		07[CFG] received stroke: route 'con2000'  
Jan 3 21:11:13	charon		05[CFG] added configuration 'con2000'  
Jan 3 21:11:13	charon		05[CFG] keyexchange=ikev1
Jan 3 21:11:13	charon		05[CFG] mediation=no
Jan 3 21:11:13	charon		05[CFG] sha256_96=no
Jan 3 21:11:13	charon		05[CFG] dpdaction=3
Jan 3 21:11:13	charon		05[CFG] dpdtimeout=60
Jan 3 21:11:13	charon		05[CFG] dpddelay=10
Jan 3 21:11:13	charon		05[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 21:11:13	charon		05[CFG] ike=aes256-sha256-modp2048!
Jan 3 21:11:13	charon		05[CFG] rightid=192.168.178.254
Jan 3 21:11:13	charon		05[CFG] rightauth=psk
Jan 3 21:11:13	charon		05[CFG] rightsubnet=192.168.188.0/24
Jan 3 21:11:13	charon		05[CFG] right=<myfritzbox.ddns.net>
Jan 3 21:11:13	charon		05[CFG] leftid=10.0.0.26
Jan 3 21:11:13	charon		05[CFG] leftauth=psk
Jan 3 21:11:13	charon		05[CFG] leftsubnet=10.0.0.0/28
Jan 3 21:11:13	charon		05[CFG] left=10.0.0.26
Jan 3 21:11:13	charon		05[CFG] conn con2000
Jan 3 21:11:13	charon		05[CFG] received stroke: add connection 'con2000'  
Jan 3 21:11:13	ipsec_starter	26988	'bypasslan' shunt PASS policy installed  
Jan 3 21:11:13	charon		08[CFG] received stroke: route 'bypasslan'  
Jan 3 21:11:13	charon		07[CFG] added configuration 'bypasslan'  
Jan 3 21:11:13	charon		07[CFG] mediation=no
Jan 3 21:11:13	charon		07[CFG] sha256_96=no
Jan 3 21:11:13	charon		07[CFG] dpdtimeout=150
Jan 3 21:11:13	charon		07[CFG] dpddelay=30
Jan 3 21:11:13	charon		07[CFG] rightsubnet=10.0.0.0/28
Jan 3 21:11:13	charon		07[CFG] right=%any
Jan 3 21:11:13	charon		07[CFG] leftsubnet=10.0.0.0/28
Jan 3 21:11:13	charon		07[CFG] left=%any
Jan 3 21:11:13	charon		07[CFG] conn bypasslan
Jan 3 21:11:13	charon		07[CFG] received stroke: add connection 'bypasslan'  


Und hier ist der letzte Stand meiner pfsense


pfsense ipsec
pfsense ipsec spds
aqui
aqui Jan 04, 2021 at 08:35:19 (UTC)
Goto Top
funktionierte sogar die Phase 1 nicht mehr.
Das ist ja auch vollkommen logisch, denn RFC 1918 IP Adressen sind im Internet nicht geroutet. Niemals darf man also die IP Adressen der lokalen Koppelnetze als Peers angeben, das das dann in die Hode geht weiss auch ein Laie.
Als Peer Adressen müssen immer die jeweils öffentlichen IPs des Vodafone Routers bzw. der FritzBox an ihren WAN/Internet Ports angegeben werden.
Ich stelle das Testsetup nochmal nach mit jeweils einem einfachen NAT Router davor.
vickyys
vickyys Jan 04, 2021 updated at 09:21:15 (UTC)
Goto Top
Ich wollte sagen, dass die private IP im öffentlichen Internet natürlich keinen Sinn macht und ein Laie das auch wissen würde.
Die Netgate Dokumentation legt mir jedoch nahe, dass strongsWAN die tatsächliche private IP vor NAT als Identifier für die korrekte Abstimmung braucht. Ich habe noch einen anderen Cisco RV340 Router bei einem Kollegen von mir. Vielleicht werde ich den morgen auch ausprobieren. So ist AWS zum Testen aus dem Weg.

Und schon jetzt vielen Dank für die proaktive Hilfe. !!
aqui
aqui Jan 04, 2021 at 09:45:24 (UTC)
Goto Top
Du kannst den Identifier ja auch ganz einfach auf einen Usernamen umstellen statt IP, das fixt das Problem auch im Handumdrehen. face-wink
aqui
aqui Jan 04, 2021, updated at Jan 05, 2021 at 11:54:07 (UTC)
Goto Top
Versuche einmal den Cisco als allgemeinen IPsec Responder zu konfigurieren, das er mit einer dynamischen Crypto Map jegliche eingehenden VPN Peers, egal mit welcher Absender IP annimmt. Das eliminiert die IP Authentisierungs Problematik bei Peers mit dynamischen oder CGN IPs.
back-to-topCisco Konfig:
!
crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
match identity address 0.0.0.0
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto dynamic-map PFSENSEDYN 10
set transform-set LABSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
crypto map PFSENSE 5 ipsec-isakmp dynamic PFSENSEDYN
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
crypto map PFSENSE
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.16 0.0.0.15
!

(Das "no proxy-arp" vom GigEth0/0 entfernen !)
back-to-toppfSense Phase 1 Konfig:
p1-1
p1-2
back-to-toppfSense Phase 2 Konfig:
p2-1

Auch das führt sofort zum Erfolg. Auch mit 2 lokalen NAT Routern dazwischen !!
dynstat
vickyys
vickyys Jan 04, 2021 updated at 20:30:08 (UTC)
Goto Top
Endlich ist der Tunnel aufgebaut!!! Obwohl ich wieder den gleichen Fehler erhielt
ipsec status

IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4> überein

Ich habe den Tunnel komplett gelöscht und neu erstellt.
Ich musste die Peer-Adresse wert von Peer IP Address auf IP Address ändern. Vielleicht hast du eine ältere Version von Pfsense?

peer-identifier
Danach war der Tunnel aufgebaut. Allerdings kann ich die Tunnelendpunkte(10.0.0.26/192.168.178.254) und die LAN IP's(192.168.188.254) nicht anpingen. Vielleicht sollte es dann funktionieren, wenn ich die Geräte im LAN habe und der Traffic initiiert wird?

Hier die show crypto Ausgaben des Cisco-Routers

cisco show crypto

aber ich danke dir wirklich für deine Bemühungen und so schnelle Reaktionen und die detaillierten Lösungen. Dies wäre das erste Mal, dass ich eine so hilfreiche Antwort in einem Forum sehe, das ich bis jetzt gefunden habe. wirklich Toll!! face-smile

Vielen Dank

Vicky
aqui
aqui Jan 05, 2021 updated at 08:44:16 (UTC)
Goto Top
Glückwunsch ! 👏
Vielleicht hast du eine ältere Version von Pfsense?
Nein !
Getestet mit der aktuellen Version 2.4.5p1 ! Der Cisco hat eine IOS Version 15.6.3M6
Wie gesagt mit beiden Konfig Versionen auf Cisco Seite kommt ein VPN Tunnel auch mit davor kaskadierten NAT Routern fehlerfrei zustande OHNE diese Konfig Tricksereien mit der manuellen Angabe der IP Adresse.
IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4> überein
Das ist auch logisch das diese Message kommt. Du hast vermutlich fälschlicherweise als remote Peer IP immer die 192.168.178.254 in der pfSense eingetragen was ja falsch ist. Wie oben mehrfach geschrieben MUSS dort die öffentliche IP am WAN Port des Internet Routers hin. Fragt sich nur WER nun der wirkliche Internet Router ist ???
Man kann leider schon ahnen wo hier der (vermutliche) Kardinalsfehler ist... !!! 😟

Dein oben geschildertes Design FritzBox 6490 und Vodafone "Modem" ist wahrscheinlich falsch !! Das "Modem" ist in Wahrheit gar kein "Modem" sondern (vermutlich) auch ein weiterer NAT Router auf den die 6490 FritzBox via "vorhandenem Internet" sprich LAN-1 Konfig zugreift !! Also nicht nur ein Gerät wie in der Zeichnung sondern zwei. Kann das sein ??
Wäre in dem Falle dann leider mal wieder ein schönes Beispiel was in einem Forum passieren kann wenn man laienhaft den Begriff "Modem" und Router verwechselt und so ein technischer Sachverhalt ggf. falsch geschildert wird.
Wenn dem wirklich so ist, hättest du dann dort doppeltes NAT (Router Kaskade) und dann stimmt natürlich die WAN IP der FritzBox niemals mehr mit der öffentlichen IP des Vodafone NAT Routers davor überein, so das es zu dieser Fehlermeldung kommt.
Ob dem so ist und das Vodafone "Modem" in Wahrheit gar kein NUR Modem (Bridge) ist sondern auch ein NAT Router solltest du dringenst nochmal abklären. In dem Falle wäre nämlich die FritzBox ein völlig überflüssiger "Durchlauferhitzer" der nur Performance frisst und den man dann besser aus dem Design entsorgt und den Cisco dann direkt am Kabelrouter betreibt...?!
Wie gesagt...nur eine Vermutung aber vieles spricht dafür.

Allerdings kann ich die Tunnelendpunkte(10.0.0.26/192.168.178.254) und die LAN IP's(192.168.188.254) nicht anpingen.
Das kann gut möglich sein wenn das Windows Rechner sind. 2 mögliche Fehlerursachen:
Vielleicht sollte es dann funktionieren, wenn ich die Geräte im LAN habe und der Traffic initiiert wird?
Ja, das ist in der Tat so. Der Tunnel wird nur aufgebaut wenn relevanter Traffic dafür da ist. Du musst dazu logischerweise auf der pfSense immer im Menü Status -> IPsec den Connect Button klicken um das zwangsweise zu initiieren wenn du kein aktives Client Netz für den Tunnel traffic hast.
Oder auf dem Cisco Router CLI einen Ping ala
ping 10.0.0.26 source GigabitEthernet0/1
initiieren damit der Tunnel eröffnet wird.
Wäre ja jetzt oberpeinlich wenn es vielleicht nur daran gescheitert wäre...?! 🧐

(10.0.0.26 jetzt weil es oben stand und weil unbekannt ist welches Subnetz du auf der pfSense nutzt. Bei .26 als Hostadresse vermutlich 10.0.0.16/28 ?!
Auch hier noch ein Tip am Rande: Gateway Adressen sind niemals "mittendrin" um diese wichtigen IPs vor Überschneidungen zu schützen. Sinnigerweise nimmt der kundige Netzwerker immer einer der IPs "ganz oben" oder "ganz unten" im Hostbereich des Subnetzes. .17 oder .30 dann in deinem Falle sollte das .16/28er Netz richtig sein).
aqui
aqui Jan 05, 2021 updated at 12:04:25 (UTC)
Goto Top
Du kannst dir den ganzen Kasperkram über die IP basierte Peer Identifikation auch sparen wenn du das auf einen User/FQDN String umstellst. Das erleichtert das VPN Setup indem es dich von jeglicher Peer IP Adressierung unabhängig macht und ist bei dynamischen Provider IPs oder DS-Lite/CGN Anschlüssen so oder so immer die bessere Option !
back-to-topCisco Konfig anpassen:
!
crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
self-identity user-fqdn cisco@intern
match identity user-fqdn pfsense@intern

!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto dynamic-map PFSENSEDYN 10
set transform-set VPNSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
crypto map PFSENSE 5 ipsec-isakmp dynamic PFSENSEDYN
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
crypto map PFSENSE
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.16 0.0.0.15
!

(ACHTUNG: "10.0.0.16 0.0.0.15" in der ACL wenn dein lokales LAN an der pfSense 10.0.0.16/28 ist ! (pfSense IP 10.0.0.26 /28 (255.255.255.240). Ist geraten aus den o.a. Screenshots.)
back-to-toppfSense Phase 1 anpassen:
cpf2

Auch das führt sofort zum Erfolg egal wieviel Router Kaskaden man dazwischen hat oder nicht:
cpf1
aqui
aqui Jan 05, 2021 updated at 18:07:09 (UTC)
Goto Top
Die Königsklasse im VPN sind natürlich virtuelle Tunnel Interfaces (VTI).
Sie bieten den großen Vorteil das sie aus Router oder Firewall Sicht wie ganz normale Interfaces behandelt werden und man dann mit dynamischen Routing Protokollen wie BGP, OSPF oder RIPv2 arbeiten kann. Ein zusätzlicher Pluspunkt ist der Multicast Routing (PIM) Support über diese Interfaces um so Medien wie Audio und Video via VPN zu streamen. Klassifizierungs ACLs usw. entfallen ebenso.
Ein weiterer Vorteil ist das andere IP Protokolle über diese Tunnel übertragen werden können. Z.B. IPv6 über einen reinen IPv4 Tunnel und umgekehrt was z.B. bei DS-Lite Anschlüssen von Vorteil sein kann.

Die 2 folgenden Foren Tutorials beschreiben solche VPN Setups mit VTIs mit Cisco Routern und pfSense Firewalls:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPv6 über Cisco IPv4 IPsec Tunnel

Off Topic hier einmal wie so eine VTI Konfiguration auf deine VPN Konfiguration bezogen aussähe:
back-to-topCisco VPN Konfig mit VTI Tunnel Interface:
!
crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
self-identity user-fqdn cisco@intern
match identity user-fqdn pfsense@intern
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto ipsec profile PFSENSEVTI
set transform-set VPNSET2
set isakmp-profile PFSENSE
!
interface Tunnel0
ip address 172.27.99.1 255.255.255.252
tunnel source GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel destination dynamic
tunnel protection ipsec profile PFSENSEVTI

!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!

back-to-toppfSense VPN Konfig mit VTI Tunnel Interface:
Phase 1 bleibt bestehen, lediglich Phase 2 (General Settings) muss angepasst werden:
vti1a
Dann erscheint automatisch ein neues virtuelles Interface was man in den "Assignments" der Firewall durch Klick auf "Add" hinzufügen muss:
vti1
Jetzt kann man entweder dynamisches Routing oder auch statisches Routing über dieses Interface laufen lassen. Bei statischen Routen muss natürlich das VTI Tunnel Interface auch noch als Gateway in der pfSense eingerichtet werden.
Bei Verwendung von dynamischen Routing Protokollen (OSPF, RIPv2 etc.) entfällt das natürlich.
vti2
Weitere Details dazu findest du in den obigen Tutorials.

Wenn's das denn nun war bleibt zum Schluß nur noch:
How can I mark a post as solved?
vickyys
vickyys Jan 08, 2021 at 09:12:00 (UTC)
Goto Top
Danke!! Ich werde es heute versuchen und die Ergebnisse hier posten.
aqui
aqui Jan 08, 2021 at 11:47:25 (UTC)
Goto Top
Wir sind gespannt... 😉
vickyys
vickyys Jan 12, 2021 at 11:29:26 (UTC)
Goto Top
OK, da ich immer Probleme mit der Pfsense in der AWS-Cloud hatte. Ich habe es einfach entfernt. Also habe ich statt pfsense einen alten kleinen Dual-WAN-VPN-Router von Cisco RV042 verwendet. Hat nur 50 Euro gekostet. Und es hat mein Leben einfacher gemacht. Ich habe die statische IPV4 Konfiguration für den Cisco 2921-Router verwendet und dann den Gateway-to-Gateway-VPN-Tunnel auf dem RV042-Router konfiguriert und alles hat ohne Probleme funktioniert!!
Ich habe auch die Client-to-Gateway-Konfiguration auf dem RV042 für den Software-VPN-Client hinzugefügt und es funktioniert nahtlos und ohne Probleme.

Ich nehme also die Pfsense heraus und verwende stattdessen nur den Cisco RV042 dual WAN VPN router. Bei Bedarf kann ich die Konfiguration posten, damit sie für andere hilfreich ist.

Nochmals vielen Dank aqui, dass du bis zum Ende geblieben bist.
Ich habe hier viel gelernt!! face-smile
aqui
aqui Jan 12, 2021, updated at Jul 31, 2024 at 09:54:19 (UTC)
Goto Top
Es gibt halt viele Wege nach Rom....oder zu einer Lösung. 😉
Generell funktioniert aber eine IPsec VPN Kopplung von pfSense oder OPNsense mit einem Cisco Router fehlerfrei und ohne jegliche Probleme. Und das sowohl für IKEv1 als auch für IKEv2!!
Ich habe hier viel gelernt!!
Das ist die Hauptsache ! 👍

Case closed ! Und bitte dann auch
How can I mark a post as solved?
nicht vergessen !