25
2921 Kaskadierung mit Fritzbox für IPSEC-Tunnel
Hallo zusammen,
ich möchte den Cisco 2921 Router an meine Fritzbox 6490(Vodafone/UM)) anschließen und einen ip-sec Tunnel zum Remote pfsense auf einem ESXi 6.5 Host konfigurieren. Momentan gibt es keine spezielle Konfiguration auf meiner fritzbox, außer dem dyndns.
Das Netzwerk auf meiner Seite sieht also wie folgt aus.
Gig 0/1 LAN---->2921 Router---->Gig 0/0 WAN(DHCP)---->Fritzbox--->Internet----->Fernes Ende DSL Router + Modem---->ESXi mit pfsense.
Ich habe auch die Übersicht des Netzwerkdiagramms beigefügt.
Ich habe ein sehr detailliertes Dokument in diesem Forum gelesen und es war wirklich hilfreich, aber es ist ein bisschen verwirrend, da ich nicht der Routing-Experte bin.
Es wäre also toll, wenn ich hier etwas Unterstützung bekommen könnte.
Vielleicht eine genaue Demo-Konfiguration, die auf dem Cisco 2921 Router und der fritzbox gemacht werden muss?
Vielen Dank
Vicky
ich möchte den Cisco 2921 Router an meine Fritzbox 6490(Vodafone/UM)) anschließen und einen ip-sec Tunnel zum Remote pfsense auf einem ESXi 6.5 Host konfigurieren. Momentan gibt es keine spezielle Konfiguration auf meiner fritzbox, außer dem dyndns.
Das Netzwerk auf meiner Seite sieht also wie folgt aus.
Gig 0/1 LAN---->2921 Router---->Gig 0/0 WAN(DHCP)---->Fritzbox--->Internet----->Fernes Ende DSL Router + Modem---->ESXi mit pfsense.
Ich habe auch die Übersicht des Netzwerkdiagramms beigefügt.
Ich habe ein sehr detailliertes Dokument in diesem Forum gelesen und es war wirklich hilfreich, aber es ist ein bisschen verwirrend, da ich nicht der Routing-Experte bin.
Es wäre also toll, wenn ich hier etwas Unterstützung bekommen könnte.
Vielleicht eine genaue Demo-Konfiguration, die auf dem Cisco 2921 Router und der fritzbox gemacht werden muss?
Vielen Dank
Vicky
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 636683
Url: https://administrator.de/contentid/636683
Ausgedruckt am: 04.11.2024 um 17:11 Uhr
25 Kommentare
Neuester Kommentar
Wenn du den Cisco ohne NAT als einfachen transparenten Router laufen lassen willst, dann musst du an der FritzBox lediglich eine statischen Route eingeben zur Standard Konfig, mehr nicht.
Nehmen wir einmal an dein FritzBox LAN ist das klassische 192.168.178.0 /24 mit der FritzBox als .1 als Hostadresse und dem Cisco mit der .254 am Gig0/0 Interface. Lokales LAN am Cisco ist die 142.100.64.0 /24.
Dann sieht deine einfache Cisco 2921 Konfig so aus:
!
service timestamps log datetime localtime
!
hostname Cisco_Router
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret Geheim123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp excluded-address 142.100.64.1 142.100.64.99
ip dhcp excluded-address 142.100.64.200 142.100.64.254
!
ip dhcp pool Lokal
network 142.100.64.0 255.255.255.0
default-router 142.100.64.254
dns-server 192.168.178.1
domain-name meinedomain.home.arpa
!
ip domain name meinedomain.home.arpa
!
username admin password Geheim123
!
interface Gigabit 0/0
description WAN Link zur FritzBox
ip address 192.168.178.254 255.255.255.0
!
interface Gigabit 0/1
description Lokales LAN
ip address 142.100.64.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
Die statische Route auf der FB sieht so aus:
Fertisch ! 
ACHTUNG !!:
Dir ist hoffentlich klar das die IP Adresse 142.100.64.0 /24 keine private RFC 1918 IP Adresse für private lokale IP Netze ist !!
Sie ist weltweit auf eine kanadische Behörde registriert !!
NetRange: 142.100.0.0 - 142.100.255.255
CIDR: 142.100.0.0/16
NetName: CACSST01
NetType: Direct Assignment
RegDate: 1993-10-21
Updated: 2017-02-02
OrgName: Commission de Sante et de Securite au Travail
Address: 524, rue Bourdages
City: Quebec
Solche IP Adressen sollte man also tunlichst niemals als Privates Netzwerk nutzen ! Ganz besonders nicht wenn es eine öffentliche Behörde eines souveränen Landes ist !
Dafür sind die bekannten RFC 1918 IP Netze da:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Grundlagen zu so einem simplen Routing Design wie immer hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Weitere Infos zur Cisco Konfiguration inkl. VPN Setup usw. hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
VPN Standortkopplung pfSense <-> Cisco:
Mit IKEv1
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Mit IKEv2
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Mit VTI Interfaces und dynamischem Routing:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Nehmen wir einmal an dein FritzBox LAN ist das klassische 192.168.178.0 /24 mit der FritzBox als .1 als Hostadresse und dem Cisco mit der .254 am Gig0/0 Interface. Lokales LAN am Cisco ist die 142.100.64.0 /24.
Dann sieht deine einfache Cisco 2921 Konfig so aus:
!
service timestamps log datetime localtime
!
hostname Cisco_Router
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret Geheim123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp excluded-address 142.100.64.1 142.100.64.99
ip dhcp excluded-address 142.100.64.200 142.100.64.254
!
ip dhcp pool Lokal
network 142.100.64.0 255.255.255.0
default-router 142.100.64.254
dns-server 192.168.178.1
domain-name meinedomain.home.arpa
!
ip domain name meinedomain.home.arpa
!
username admin password Geheim123
!
interface Gigabit 0/0
description WAN Link zur FritzBox
ip address 192.168.178.254 255.255.255.0
!
interface Gigabit 0/1
description Lokales LAN
ip address 142.100.64.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
Die statische Route auf der FB sieht so aus:
ACHTUNG !!:
Dir ist hoffentlich klar das die IP Adresse 142.100.64.0 /24 keine private RFC 1918 IP Adresse für private lokale IP Netze ist !!
Sie ist weltweit auf eine kanadische Behörde registriert !!
NetRange: 142.100.0.0 - 142.100.255.255
CIDR: 142.100.0.0/16
NetName: CACSST01
NetType: Direct Assignment
RegDate: 1993-10-21
Updated: 2017-02-02
OrgName: Commission de Sante et de Securite au Travail
Address: 524, rue Bourdages
City: Quebec
Solche IP Adressen sollte man also tunlichst niemals als Privates Netzwerk nutzen ! Ganz besonders nicht wenn es eine öffentliche Behörde eines souveränen Landes ist !
Dafür sind die bekannten RFC 1918 IP Netze da:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Grundlagen zu so einem simplen Routing Design wie immer hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Weitere Infos zur Cisco Konfiguration inkl. VPN Setup usw. hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
VPN Standortkopplung pfSense <-> Cisco:
Mit IKEv1
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Mit IKEv2
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Mit VTI Interfaces und dynamischem Routing:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Vielen Dank! Ich werde jetzt loslegen und das Forum auf dem Laufenden halten.
Wir sind gespannt...! 😉
OK ich habe die Konfiguration mit IKEV1 mit dem folgenden Link versucht, aber es scheint, ich mache immer noch etwas falsch auf dem 2921 Router. irgendwelche Vorschläge? Ich hänge die Konfiguration von meinem 2921 Router und den IPSEC-Tunnelstatus von pfsense an.
Eigentlich bin ich ein Cisco Voice Engineer und habe vor kurzem angefangen, mich mit pfsense und Security zu beschäftigen. Daher brauche ich etwas Unterstützung
Vielen Dank
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
ip dhcp excluded-address 142.100.64.1 142.100.64.99
ip dhcp excluded-address 142.100.64.200 142.100.64.254
!
ip dhcp pool Local
network 142.100.64.0 255.255.255.0
default-router 142.100.64.254
dns-server 192.168.178.1
domain-name my-internal-private-domain.com
!
!
!
ip domain name my-internal-private-domain.com
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw smtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
cts logging verbose
!
!
voice-card 0
!
!
!
!
!
!
!
!
hw-module pvdm 0/0
!
!
!
username admin password mypassword
!
redundancy
!
!
!
!
!
!
crypto keyring pfsenseaws
pre-shared-key address <pfsense ipv4 ip address> key <mysharedkey>
!
crypto isakmp policy 10
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 20
encr aes
authentication pre-share
group 2
crypto isakmp profile pfSenseaws
description IPsec VPN pfSense
keyring pfsenseaws
match identity address <pfsense ipv4 ip address> 255.255.255.255
!
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
mode tunnel
!
!
crypto ipsec profile test-vti2
set transform-set testset
!
!
crypto map vpntest 10 ipsec-isakmp
description Tunnel Static IP pfSense
set peer <pfsense ipv4 ip address>
set transform-set testset
set isakmp-profile pfSenseaws
match address vpnpfsense
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description WAN zur FritzBox
ip address 192.168.178.254 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Lokales LAN
ip address 142.100.64.254 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
ip access-list extended vpnpfsense
permit ip 10.0.0.0 0.0.0.240 192.168.1.0 0.0.0.255
!
!
!
access-list 111 permit udp any host 192.168.178.254 eq isakmp
access-list 111 permit icmp any host 192.168.178.254 administratively-prohibited
access-list 111 permit icmp any host 192.168.178.254 echo-reply
access-list 111 permit icmp any host 192.168.178.254 packet-too-big
access-list 111 permit icmp any host 192.168.178.254 time-exceeded
access-list 111 permit icmp any host 192.168.178.254 unreachable
access-list 111 permit udp any host 192.168.178.254 eq non500-isakmp
access-list 111 permit esp any host 192.168.178.254
access-list 111 permit udp any eq ntp host 192.168.178.254
access-list 111 permit udp any eq domain host 192.168.178.254
access-list 111 permit tcp any eq domain host 192.168.178.254
access-list 111 deny ip any any
!
!
!
control-plane
!
!
cisco-router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
IPv6 Crypto ISAKMP SA
cisco-router#Eigentlich bin ich ein Cisco Voice Engineer und habe vor kurzem angefangen, mich mit pfsense und Security zu beschäftigen. Daher brauche ich etwas Unterstützung
Vielen Dank
Nur mal doof nachgefragt:
Dir ist klar das der Cisco in einer Router Kaskade mit einem NAT Router davor rennt, oder ???
Ohne das du ein entsprechendes Port Forwarding auf der FritzBox für die IPsec VPN Ports:
Da die FritzBox selber ein aktiver IPsec VPN Router ist dürfen auf ihr auch keinerlei VPN Konfigs, User usw. eingestellt sein sonst forwardet sie trotz Port Forwarding keine IPsec Pakete und blockt diese.
Idealerweise startest du auf dem Cisco einmal den IPsec Debugger mit debug crypto isakmp und debug crypto ipsec und siehst dir die von der pfSense eingehenden IPsec Pakete an. (Achtung: Wenn du per Telnet oder SSH auf dem Cisco bist vorher term mon aktivieren um die Konsol Messages zu sehen ! Weisst du ja als Cisco Profi selber..)
Wenn du keinerlei eingehende IPsec Pakete der pfSense auf dem Cisco siehst weisst du das die FritzBox davor kein IPsec forwardet und musst Hand an deren Konfig legen !
Wenn du mit dem Debuggen fertig bist unbedingt mit u all das Debugging auf dem Cisco wieder deaktivieren sonst rennt der im 3ten Gang !
Es sollte auch klar sein das die Peer IP Adresse auf der pfSense natürlich die des WAN Ports der FritzBox ist bzw. deren DynDNS Name !
Hier findest du alle Infos zu dem Thema Kaskaden und Port Forwarding:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Dir ist klar das der Cisco in einer Router Kaskade mit einem NAT Router davor rennt, oder ???
Ohne das du ein entsprechendes Port Forwarding auf der FritzBox für die IPsec VPN Ports:
- UDP 500
- UDP 4500
- ESP Protokoll
Idealerweise startest du auf dem Cisco einmal den IPsec Debugger mit debug crypto isakmp und debug crypto ipsec und siehst dir die von der pfSense eingehenden IPsec Pakete an. (Achtung: Wenn du per Telnet oder SSH auf dem Cisco bist vorher term mon aktivieren um die Konsol Messages zu sehen ! Weisst du ja als Cisco Profi selber..)
Wenn du keinerlei eingehende IPsec Pakete der pfSense auf dem Cisco siehst weisst du das die FritzBox davor kein IPsec forwardet und musst Hand an deren Konfig legen !
Wenn du mit dem Debuggen fertig bist unbedingt mit u all das Debugging auf dem Cisco wieder deaktivieren sonst rennt der im 3ten Gang !
Es sollte auch klar sein das die Peer IP Adresse auf der pfSense natürlich die des WAN Ports der FritzBox ist bzw. deren DynDNS Name !
Hier findest du alle Infos zu dem Thema Kaskaden und Port Forwarding:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
mich mit pfsense und Security zu beschäftigen. Daher brauche ich etwas Unterstützung.
Keine Sorge, wir bekommen das schon zum Fliegen. Das ist eine Konfig die ganz sicher und wasserdicht funktioniert...
Deine Fehler kannst du oben in der Cisco Konfig auch schon selber sehen !!
Richtig muss die Cisco Konfig so aussehen:
!
crypto keyring PFSENSEAWS
pre-shared-key address <pfsense_ipv4_ip> key <Passwort>
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
match identity address <pfsense_ipv4_ip>
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto map PFSENSE 10 ipsec-isakmp
description Static VPN Tunnel pfSense
set peer <pfsense_ipv4_ip>
set transform-set VPNSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
interface GigabitEthernet0/0
description WAN zur FritzBox
ip address 192.168.178.254 255.255.255.0
no ip proxy-arp
crypto map PFSENSE
!
ip access-list extended vpnpfsense
permit ip 142.100.64.0 0.0.0.255 192.168.1.0 0.0.0.255
!
Die Klassifizierungs ACL ist so strukturiert: permit ip <lokales_LAN> <wildcard_mask> <remotes_LAN> <wildcard_mask>
Wobei wir hier ausgehen das remote das Standard pfSense LAN 192.168.1.0 /24 vorhanden ist. Ggf. musst du das anpassen wenn du dort eine andere Adressierung nutzt !
Auf der pfSense sieht es dann ganz klassisch aus:
Hier solltest du noch die Phase 1 Lifetime an den Cisco Default 86400 anpassen !
Die pfSense quittiert das dann mit einem funktionierenden Tunnel im IPsec Status oder Im IPsec Dashboard Widget
Und auch der Cisco zeigt dir dann den laufenden Tunnel mit den 2 Befehlen:
Fertisch ! 😉
Works as designed !!
- Überflüssiges VTI Interface konfiguriert. (crypto ipsec profile test-vti2) Kannst du entfernen !
- Crypto Map am WAN Interface GigabitEthernet0/0 nicht konfiguriert, dadurch kann der Cisco gar keinen VPN Tunnel aufbauen.
- VPN Accesslitste vpnpfsense zum Klassifizieren des VPN Traffics vollkommen falsch mit einer 10er Netz IP konfiguriert die es gar nicht gibt
Richtig muss die Cisco Konfig so aussehen:
!
crypto keyring PFSENSEAWS
pre-shared-key address <pfsense_ipv4_ip> key <Passwort>
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
match identity address <pfsense_ipv4_ip>
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto map PFSENSE 10 ipsec-isakmp
description Static VPN Tunnel pfSense
set peer <pfsense_ipv4_ip>
set transform-set VPNSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
interface GigabitEthernet0/0
description WAN zur FritzBox
ip address 192.168.178.254 255.255.255.0
no ip proxy-arp
crypto map PFSENSE
!
ip access-list extended vpnpfsense
permit ip 142.100.64.0 0.0.0.255 192.168.1.0 0.0.0.255
!
Die Klassifizierungs ACL ist so strukturiert: permit ip <lokales_LAN> <wildcard_mask> <remotes_LAN> <wildcard_mask>
Wobei wir hier ausgehen das remote das Standard pfSense LAN 192.168.1.0 /24 vorhanden ist. Ggf. musst du das anpassen wenn du dort eine andere Adressierung nutzt !
Auf der pfSense sieht es dann ganz klassisch aus:
Die pfSense quittiert das dann mit einem funktionierenden Tunnel im IPsec Status oder Im IPsec Dashboard Widget
- show crypto ipsec sa
- show crypto isakmp sa
Fertisch ! 😉
Works as designed !!
Ok, ich habe die Konfigurationen gemäß deinem vorschlag geändert.
Wenigstens sehe ich jetzt die Ausgabe von sh crypto ipsec sa
und auf der pfsense sehe ich, dass sie versucht, sich zu verbinden, aber die Verbindung schlägt fehl.
Ich habe auch das Netzwerk ein wenig veraendert, um es an die Standards anzupassen und das Problem zu isolieren. Ich habe mein lokales LAN auf dem Cisco-Router auf 192.168.188.0/24 anstelle von 142.100.64.0/24 geändert.
Auf der Remote Seite habe ich nun die pfsense direkt auf AWS, um eventuelle Modem/Router-Probleme zu unterscheiden.
Das WAN auf der pfsense hat ein WAN-Subnetz und dann die andere Seite ein LAN-Subnetz.
192.168.188.0/24<<-------Cisco--->>192.168.178.254/24--->Fritzbox--->Internet--->pfsense-AWS-WAN(publicip/privateip 10.0.0.16/28)---->pfsenseLAN(10.0.0.0/28).
Ich wollte nur checken, wenn die Interface gig 0/1 auf dem Cisco Router 192.168.188.0/24 abgeschaltet wird und dann kein Gerät im 10.0.0.0.0/28 AWS LAN Subnetz angeschlossen ist, wird der Tunnel dann wenigstens noch aufgebaut? ODER wird er nur aufgebaut, wenn Traffic zwischen 192.168.188.0/24 und 10.0.0.0/28 gesendet wird.
einmal die Cisco konfig
myrouter# show crypto ipsec sa
interface: GigabitEthernet0/0
Crypto map tag: PFSENSE, local addr 192.168.178.254
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.188.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.0/255.255.255.15/0/0)
current_peer <<pfsense public ip ipv4>> port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 192.168.178.254, remote crypto endpt.: <pfsense public ip ipv4>
plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Danke
Vicky
Wenigstens sehe ich jetzt die Ausgabe von sh crypto ipsec sa
und auf der pfsense sehe ich, dass sie versucht, sich zu verbinden, aber die Verbindung schlägt fehl.
Ich habe auch das Netzwerk ein wenig veraendert, um es an die Standards anzupassen und das Problem zu isolieren. Ich habe mein lokales LAN auf dem Cisco-Router auf 192.168.188.0/24 anstelle von 142.100.64.0/24 geändert.
Auf der Remote Seite habe ich nun die pfsense direkt auf AWS, um eventuelle Modem/Router-Probleme zu unterscheiden.
Das WAN auf der pfsense hat ein WAN-Subnetz und dann die andere Seite ein LAN-Subnetz.
192.168.188.0/24<<-------Cisco--->>192.168.178.254/24--->Fritzbox--->Internet--->pfsense-AWS-WAN(publicip/privateip 10.0.0.16/28)---->pfsenseLAN(10.0.0.0/28).
Ich wollte nur checken, wenn die Interface gig 0/1 auf dem Cisco Router 192.168.188.0/24 abgeschaltet wird und dann kein Gerät im 10.0.0.0.0/28 AWS LAN Subnetz angeschlossen ist, wird der Tunnel dann wenigstens noch aufgebaut? ODER wird er nur aufgebaut, wenn Traffic zwischen 192.168.188.0/24 und 10.0.0.0/28 gesendet wird.
einmal die Cisco konfig
ip dhcp excluded-address 192.168.188.1 192.168.188.99
ip dhcp excluded-address 192.168.188.200 192.168.188.254
!
ip dhcp pool Local
network 192.168.188.0 255.255.255.0
dns-server 192.168.178.1
default-router 192.168.188.254
!
!
!
ip domain name <my-private-domain.com>
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw smtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
cts logging verbose
!
!
voice-card 0
!
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ16337WX1
hw-module pvdm 0/0
!
!
!
username myusername password mypassword
!
redundancy
!
!
!
!
!
!
crypto keyring PFSENSEAWS
pre-shared-key address <pfsense public ip ipv4> key mykey
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
match identity address <pfsense public ip ipv4> 255.255.255.255
!
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
!
!
crypto map PFSENSE 10 ipsec-isakmp
description Static VPN Tunnel pfSense
set peer <pfsense public ip ipv4>
set transform-set VPNSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description WAN zur FritzBox
ip address 192.168.178.254 255.255.255.0
no ip proxy-arp
duplex auto
speed auto
crypto map PFSENSE
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.0 0.0.0.240
!
!
!
access-list 111 permit udp any host 192.168.178.254 eq isakmp
access-list 111 permit icmp any host 192.168.178.254 administratively-prohibited
access-list 111 permit icmp any host 192.168.178.254 echo-reply
access-list 111 permit icmp any host 192.168.178.254 packet-too-big
access-list 111 permit icmp any host 192.168.178.254 time-exceeded
access-list 111 permit icmp any host 192.168.178.254 unreachable
access-list 111 permit udp any host 192.168.178.254 eq non500-isakmp
access-list 111 permit esp any host 192.168.178.254
access-list 111 permit udp any eq ntp host 192.168.178.254
access-list 111 permit udp any eq domain host 192.168.178.254
access-list 111 permit tcp any eq domain host 192.168.178.254
access-list 111 deny ip any any
!myrouter# show crypto ipsec sa
interface: GigabitEthernet0/0
Crypto map tag: PFSENSE, local addr 192.168.178.254
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.188.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.0/255.255.255.15/0/0)
current_peer <<pfsense public ip ipv4>> port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 192.168.178.254, remote crypto endpt.: <pfsense public ip ipv4>
plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Danke
Vicky
OK, das andere Problem könnte sein, dass ich einen Vodafone DS-Lite-Anschluss für IPV4 habe und daher der dyndns-Provider noip.com nicht in der Lage ist, die richtige ipv4 zu erhalten.
Ich muss dann einen Dual-Stack bestellen oder?
Ich muss dann einen Dual-Stack bestellen oder?
Hallo,
ich habe die Vodafone-anschluss auf Dual-Stack umgestellt und sehe nun zumindest 2-Wege-Signalisierung.
Allerdings ist der Tunnel nicht connected. Der Tunnel von pfsense wird disconnected.
Ich sehe, dass dieser Router jeden der MM-Zustände durchläuft.
IKE_I_MM2 -> IKE_I_MM3 -> IKE_I_MM4 -> IKE_I_MM5 -> IKE_I_MM6 -> QM_IDLE
Das sieht gut aus. Es schließt den gesamten Phase-1-Phase one key exchange process ab. Ich weiß also, dass mit meinen ISAKMP-Einstellungen nichts falsch ist.
Kurz nachdem er QM_IDLE wird, beginnt er SAs zu löschen und sagt:
peer does not do paranoid keepalives.
Ich habe versucht, die PFS-Werte und die Phase-2-Keepalive-Werte zu vergleichen, und beides scheint in Ordnung zu sein.
*Jan 3 09:55:35.187: ISAKMP (1007): received packet from <pfsense ipv4 public ip> dport 4500 sport 4500 Global (R) MM_KEY_EXCH
*Jan 3 09:55:35.187: ISAKMP
1007):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 09:55:35.187: ISAKMP1007):Old State = IKE_R_MM4 New State = IKE_R_MM5
*Jan 3 09:55:35.187: ISAKMP1007): processing ID payload. message ID = 0
*Jan 3 09:55:35.187: ISAKMP (1007): ID payload
next-payload : 8
type : 1
address : 10.0.0.26
protocol : 0
port : 0
length : 12
*Jan 3 09:55:35.187: ISAKMP0):: peer matches *none* of the profiles
*Jan 3 09:55:35.187: ISAKMP1007): processing HASH payload. message ID = 0
*Jan 3 09:55:35.187: ISAKMP1007): processing NOTIFY INITIAL_CONTACT protocol 1
spi 0, message ID = 0, sa = 0x39F49A94
*Jan 3 09:55:35.187: ISAKMP1007):SA authentication status:
authenticated
*Jan 3 09:55:35.187: ISAKMP1007):SA has been authenticated with <pfsense ipv4 public ip>
*Jan 3 09:55:35.187: ISAKMP1007):Detected port floating to port = 4500
*Jan 3 09:55:35.187: ISAKMP: Trying to find existing peer 192.168.178.254/<pfsense ipv4 public ip>/4500/
*Jan 3 09:55:35.187: ISAKMP1007):SA authentication status:
authenticated
*Jan 3 09:55:35.187: ISAKMP1007): Process initial contact,
bring down existing phase 1 and 2 SA's with local 192.168.178.254 remote <pfsense ipv4 public ip> remote port 4500
*Jan 3 09:55:35.187: ISAKMP: Trying to insert a peer 192.168.178.254/<pfsense ipv4 public ip>/4500/, and inserted successfully 22C82AE8.
*Jan 3 09:55:35.187: ISAKMP1007):Setting UDP ENC peer struct 0x3E4564A4 sa= 0x39F49A94
*Jan 3 09:55:35.187: ISAKMP1007):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan 3 09:55:35.187: ISAKMP1007):Old State = IKE_R_MM5 New State = IKE_R_MM5
*Jan 3 09:55:35.187: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Jan 3 09:55:35.187: ISAKMP1007):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
*Jan 3 09:55:35.187: ISAKMP (1007): ID payload
next-payload : 8
type : 1
address : 192.168.178.254
protocol : 17
port : 0
length : 12
*Jan 3 09:55:35.187: ISAKMP: (1007):Total payload length: 12
*Jan 3 09:55:35.187: ISAKMP: (1007): sending packet to <pfsense ipv4 public ip> my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
*Jan 3 09:55:35.187: ISAKMP: (1007):Sending an IKE IPv4 Packet.
*Jan 3 09:55:35.187: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
*Jan 3 09:55:35.363: ISAKMP (1007): received packet from <pfsense ipv4 public ip> dport 4500 sport 4500 Global (R) QM_IDLE
*Jan 3 09:55:35.363: ISAKMP: set new node 1035329911 to QM_IDLE
*Jan 3 09:55:35.363: ISAKMP: (1007): processing HASH payload. message ID = 1035329911
*Jan 3 09:55:35.363: ISAKMP: (1007): processing DELETE payload. message ID = 1035329911
*Jan 3 09:55:35.363: ISAKMP: (1007):peer does not do paranoid keepalives.
*Jan 3 09:55:35.363: ISAKMP: (1007):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 public ip>)
*Jan 3 09:55:35.367: ISAKMP: (1007):deleting node 1035329911 error FALSE reason "Informational (in) state 1"
*Jan 3 09:55:35.367: ISAKMP: set new node -684451573 to QM_IDLE
*Jan 3 09:55:35.367: ISAKMP: (1007): sending packet to <pfsense ipv4 public ip> my_port 4500 peer_port 4500 (R) QM_IDLE
*Jan 3 09:55:35.367: ISAKMP: (1007):Sending an IKE IPv4 Packet.
*Jan 3 09:55:35.367: ISAKMP: (1007):purging node -684451573
*Jan 3 09:55:35.367: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jan 3 09:55:35.367: ISAKMP: (1007):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA
*Jan 3 09:55:35.367: ISAKMP: (1007):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 public ip>)
*Jan 3 09:55:35.367: ISAKMP: Unlocking peer struct 0x22C82AE8 for isadb_mark_sa_deleted(), count 0
*Jan 3 09:55:35.367: ISAKMP: Deleting peer node by peer_reap for <pfsense ipv4 public ip>: 22C82AE8
*Jan 3 09:55:35.367: ISAKMP: (1007):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 09:55:35.367: ISAKMP: (1007):Old State = IKE_DEST_SA New State = IKE_DEST_SA
ich habe die Vodafone-anschluss auf Dual-Stack umgestellt und sehe nun zumindest 2-Wege-Signalisierung.
Allerdings ist der Tunnel nicht connected. Der Tunnel von pfsense wird disconnected.
Ich sehe, dass dieser Router jeden der MM-Zustände durchläuft.
IKE_I_MM2 -> IKE_I_MM3 -> IKE_I_MM4 -> IKE_I_MM5 -> IKE_I_MM6 -> QM_IDLE
Das sieht gut aus. Es schließt den gesamten Phase-1-Phase one key exchange process ab. Ich weiß also, dass mit meinen ISAKMP-Einstellungen nichts falsch ist.
Kurz nachdem er QM_IDLE wird, beginnt er SAs zu löschen und sagt:
peer does not do paranoid keepalives.
Ich habe versucht, die PFS-Werte und die Phase-2-Keepalive-Werte zu vergleichen, und beides scheint in Ordnung zu sein.
*Jan 3 09:55:35.187: ISAKMP (1007): received packet from <pfsense ipv4 public ip> dport 4500 sport 4500 Global (R) MM_KEY_EXCH
*Jan 3 09:55:35.187: ISAKMP
1007):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH*Jan 3 09:55:35.187: ISAKMP
1007):Old State = IKE_R_MM4 New State = IKE_R_MM5*Jan 3 09:55:35.187: ISAKMP
1007): processing ID payload. message ID = 0*Jan 3 09:55:35.187: ISAKMP (1007): ID payload
next-payload : 8
type : 1
address : 10.0.0.26
protocol : 0
port : 0
length : 12
*Jan 3 09:55:35.187: ISAKMP
0):: peer matches *none* of the profiles*Jan 3 09:55:35.187: ISAKMP
1007): processing HASH payload. message ID = 0*Jan 3 09:55:35.187: ISAKMP
1007): processing NOTIFY INITIAL_CONTACT protocol 1spi 0, message ID = 0, sa = 0x39F49A94
*Jan 3 09:55:35.187: ISAKMP
1007):SA authentication status:authenticated
*Jan 3 09:55:35.187: ISAKMP
1007):SA has been authenticated with <pfsense ipv4 public ip>*Jan 3 09:55:35.187: ISAKMP
1007):Detected port floating to port = 4500*Jan 3 09:55:35.187: ISAKMP: Trying to find existing peer 192.168.178.254/<pfsense ipv4 public ip>/4500/
*Jan 3 09:55:35.187: ISAKMP
1007):SA authentication status:authenticated
*Jan 3 09:55:35.187: ISAKMP
1007): Process initial contact,bring down existing phase 1 and 2 SA's with local 192.168.178.254 remote <pfsense ipv4 public ip> remote port 4500
*Jan 3 09:55:35.187: ISAKMP: Trying to insert a peer 192.168.178.254/<pfsense ipv4 public ip>/4500/, and inserted successfully 22C82AE8.
*Jan 3 09:55:35.187: ISAKMP
1007):Setting UDP ENC peer struct 0x3E4564A4 sa= 0x39F49A94*Jan 3 09:55:35.187: ISAKMP
1007):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE*Jan 3 09:55:35.187: ISAKMP
1007):Old State = IKE_R_MM5 New State = IKE_R_MM5*Jan 3 09:55:35.187: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Jan 3 09:55:35.187: ISAKMP
1007):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR*Jan 3 09:55:35.187: ISAKMP (1007): ID payload
next-payload : 8
type : 1
address : 192.168.178.254
protocol : 17
port : 0
length : 12
*Jan 3 09:55:35.187: ISAKMP: (1007):Total payload length: 12
*Jan 3 09:55:35.187: ISAKMP: (1007): sending packet to <pfsense ipv4 public ip> my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
*Jan 3 09:55:35.187: ISAKMP: (1007):Sending an IKE IPv4 Packet.
*Jan 3 09:55:35.187: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Jan 3 09:55:35.187: ISAKMP: (1007):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
*Jan 3 09:55:35.363: ISAKMP (1007): received packet from <pfsense ipv4 public ip> dport 4500 sport 4500 Global (R) QM_IDLE
*Jan 3 09:55:35.363: ISAKMP: set new node 1035329911 to QM_IDLE
*Jan 3 09:55:35.363: ISAKMP: (1007): processing HASH payload. message ID = 1035329911
*Jan 3 09:55:35.363: ISAKMP: (1007): processing DELETE payload. message ID = 1035329911
*Jan 3 09:55:35.363: ISAKMP: (1007):peer does not do paranoid keepalives.
*Jan 3 09:55:35.363: ISAKMP: (1007):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 public ip>)
*Jan 3 09:55:35.367: ISAKMP: (1007):deleting node 1035329911 error FALSE reason "Informational (in) state 1"
*Jan 3 09:55:35.367: ISAKMP: set new node -684451573 to QM_IDLE
*Jan 3 09:55:35.367: ISAKMP: (1007): sending packet to <pfsense ipv4 public ip> my_port 4500 peer_port 4500 (R) QM_IDLE
*Jan 3 09:55:35.367: ISAKMP: (1007):Sending an IKE IPv4 Packet.
*Jan 3 09:55:35.367: ISAKMP: (1007):purging node -684451573
*Jan 3 09:55:35.367: ISAKMP: (1007):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jan 3 09:55:35.367: ISAKMP: (1007):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA
*Jan 3 09:55:35.367: ISAKMP: (1007):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 public ip>)
*Jan 3 09:55:35.367: ISAKMP: Unlocking peer struct 0x22C82AE8 for isadb_mark_sa_deleted(), count 0
*Jan 3 09:55:35.367: ISAKMP: Deleting peer node by peer_reap for <pfsense ipv4 public ip>: 22C82AE8
*Jan 3 09:55:35.367: ISAKMP: (1007):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 09:55:35.367: ISAKMP: (1007):Old State = IKE_DEST_SA New State = IKE_DEST_SA
OK, das andere Problem könnte sein, dass ich einen Vodafone DS-Lite-Anschluss für IPV4 habe und daher der dyndns-Provider noip.com nicht in der Lage ist, die richtige ipv4 zu erhalten.
Das müsste man nicht zwingend. Du könntest den Cisco auch als reinen Responder konfigurieren, das er jegliche IP annimmt die als Peer Tunnel IP an ihn gerichtet ist. Dann sieht die Cisco Konfig oben etwas anders aus mit einer dynamischen Crypto Map. Wenn's dich interessiert kann ich solch ein Setup für den Cisco hier auch nochmal posten.Dein zweiter Kardinalsfehler ist oben bei der vpnpfsense Access Liste !!!
Du schreibst das dein remotes 10er Netz einen 28 Bit Prefix nutzt also 255.255.255.240 was dann den Host IPs von 10.0.0.1 bis 10.0.0.14 entspricht.
Ein /28er Prefix ergibt aber eine inverse Wildcard Netzmaske von 0.0.0.15 und NICHT ".240" denn solch eine inverse Maske existiert logisch gar nicht !
Richtig müsste also deine Klassifizierungs ACL vpnpfsense so lauten:
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.0 0.0.0.15
!
Solche banalen Flüchtigkeitsfehler in simplen Masken sollten dir als Cisco Profi aber eigentlich nicht mehr passieren !!
Achte darauf das das mit der Phase 2 Konfig auf der pfSense absolut identisch ist, ansonsten kommt der Tunnel nicht hoch bei einem Phase 2 Mismatch wie du es ja an deinen geposteten Cisco Fehlermeldungen auch selber sehen kannst !!
Korrigiere das, dann klappt das auch sofort !
Deine restliche Cisco Konfig ist sonst absolut korrekt.
die inverse Maske sollte also wirklich nicht so konfiguriert werden, und ich verstehe, wie ärgerlich es sein kann, wenn ein anderer Netzwerkprofi sie sieht. Ich habe gerade meine alte Konfiguration modifiziert und ein Copy-Paste gemacht, also liegt es daran. Allerdings ist sie wirklich auf 0.0.0.15 eingestellt. Aber danke, dass du mich trotzdem darauf hinweist.
Eine andere Sache, die mich stört, ist, was sonst schief gehen könnte, wenn ich genau die gleiche Konfiguration wie die oben vorgeschlagene habe.
Die Phase 2 Config's stimmen mit dem Router überein. Das kann ich bestätigen.
Ich habe sogar die PFS-Schlüsselgruppe auf beiden Seiten hinzugefügt, nur um zu prüfen, ob das hilft. Der Status bleibt jedoch derselbe.
Eine andere Sache, die mich stört, ist, was sonst schief gehen könnte, wenn ich genau die gleiche Konfiguration wie die oben vorgeschlagene habe.
Die Phase 2 Config's stimmen mit dem Router überein. Das kann ich bestätigen.
Ich habe sogar die PFS-Schlüsselgruppe auf beiden Seiten hinzugefügt, nur um zu prüfen, ob das hilft. Der Status bleibt jedoch derselbe.
☹️ Siehe Konfig Screenshot oben.
- Was steht im IPsec Log der pfSense
- Was sagt der Cisco isakmp Debugger ?
Sorry für den etwas langen Text.
PFS ich habe es absichtlich auf 2 geändert, weil ich dachte, dass die Policy 10 in meinem vorherigen Screenshot dort helfen könnte. Aber das tat es nicht. Also änderte ich das auf 14 auf der pfsense Seite, was mir einen Fehler auf der pfsense ipsec Seite gab
IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4>
Die ISAKMP-debugger zeigen weiterhin keine Veränderung. Phase 1 hat sich aufgebaut und Phase 2 hat sich nicht aufgebaut.
Ich habe die Logs von ISAKMP Debugger und pfsense ipsec Logs angefügt.
ISAKMP Debugger
IPSEC Logs
Dann habe ich nachgelesen, warum es diesen nicht passenden Identifier mit NAT geben könnte.
Nachdem ich die Netgate Tshoot-Dokumente befolgt hatte, änderte ich die Peer-IP-Adresse in Phase 1 von Peer-IP-Adresse auf IP-Adresse, wie man auf dem Screenshot sehen kann.
Nachdem ich dies in IP-Adresse geändert und dann die Pre-NAT-IP 192.168.178.254 eingegeben hatte, funktionierte sogar die Phase 1 nicht mehr.
Hier findet man die Protokolle von ISAKMP Debugger und Pfsense IPsec.
ISAKMP Debugger
Pfsense Ipsec logs
Und hier ist der letzte Stand meiner pfsense
PFS ich habe es absichtlich auf 2 geändert, weil ich dachte, dass die Policy 10 in meinem vorherigen Screenshot dort helfen könnte. Aber das tat es nicht. Also änderte ich das auf 14 auf der pfsense Seite, was mir einen Fehler auf der pfsense ipsec Seite gab
IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4>
Die ISAKMP-debugger zeigen weiterhin keine Veränderung. Phase 1 hat sich aufgebaut und Phase 2 hat sich nicht aufgebaut.
Ich habe die Logs von ISAKMP Debugger und pfsense ipsec Logs angefügt.
ISAKMP Debugger
*Jan 3 20:24:26.479: ISAKMP (0): received packet from <pfsense ipv4 Public ip> dport 500 sport 500 Global (N) NEW SA
*Jan 3 20:24:26.479: ISAKMP: Created a peer struct for <pfsense ipv4 Public ip>, peer port 500
*Jan 3 20:24:26.479: ISAKMP: New peer created peer = 0x21213C90 peer_handle = 0x80000009
*Jan 3 20:24:26.479: ISAKMP: Locking peer struct 0x21213C90, refcount 1 for crypto_isakmp_process_block
*Jan 3 20:24:26.479: ISAKMP: local port 500, remote port 500
*Jan 3 20:24:26.479: ISAKMP:(0):insert sa successfully sa = 3D55CC50
*Jan 3 20:24:26.479: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 20:24:26.479: ISAKMP:(0):Old State = IKE_READY New State = IKE_R_MM1
*Jan 3 20:24:26.479: ISAKMP:(0): processing SA payload. message ID = 0
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID is XAUTH
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID is DPD
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): processing IKE frag vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan 3 20:24:26.479: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID is NAT-T v2
*Jan 3 20:24:26.479: ISAKMP:(0):found peer pre-shared key matching <pfsense ipv4 Public ip>
*Jan 3 20:24:26.479: ISAKMP:(0): local preshared key found
*Jan 3 20:24:26.479: ISAKMP : Scanning profiles for xauth ... PFSENSE
*Jan 3 20:24:26.479: ISAKMP:(0):Checking ISAKMP transform 1 against priority 5 policy
*Jan 3 20:24:26.479: ISAKMP: encryption AES-CBC
*Jan 3 20:24:26.479: ISAKMP: keylength of 256
*Jan 3 20:24:26.479: ISAKMP: hash SHA256
*Jan 3 20:24:26.479: ISAKMP: default group 14
*Jan 3 20:24:26.479: ISAKMP: auth pre-share
*Jan 3 20:24:26.479: ISAKMP: life type in seconds
*Jan 3 20:24:26.479: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*Jan 3 20:24:26.479: ISAKMP:(0):atts are acceptable. Next payload is 0
*Jan 3 20:24:26.479: ISAKMP:(0):Acceptable atts:actual life: 86400
*Jan 3 20:24:26.479: ISAKMP:(0):Acceptable atts:life: 0
*Jan 3 20:24:26.479: ISAKMP:(0):Fill atts in sa vpi_length:4
*Jan 3 20:24:26.479: ISAKMP:(0):Fill atts in sa life_in_seconds:86400
*Jan 3 20:24:26.479: ISAKMP:(0):Returning Actual lifetime: 86400
*Jan 3 20:24:26.479: ISAKMP:(0)::Started lifetime timer: 86400.
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID is XAUTH
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID is DPD
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): processing IKE frag vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan 3 20:24:26.479: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan 3 20:24:26.479: ISAKMP:(0): processing vendor id payload
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan 3 20:24:26.479: ISAKMP:(0): vendor ID is NAT-T v2
*Jan 3 20:24:26.479: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan 3 20:24:26.479: ISAKMP:(0):Old State = IKE_R_MM1 New State = IKE_R_MM1
*Jan 3 20:24:26.479: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
*Jan 3 20:24:26.483: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan 3 20:24:26.483: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 3 20:24:26.483: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan 3 20:24:26.483: ISAKMP:(0):Old State = IKE_R_MM1 New State = IKE_R_MM2
*Jan 3 20:24:26.659: ISAKMP (0): received packet from <pfsense ipv4 Public ip> dport 500 sport 500 Global (R) MM_SA_SETUP
*Jan 3 20:24:26.659: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 20:24:26.659: ISAKMP:(0):Old State = IKE_R_MM2 New State = IKE_R_MM3
*Jan 3 20:24:26.659: ISAKMP:(0): processing KE payload. message ID = 0
*Jan 3 20:24:26.787: ISAKMP:(0): processing NONCE payload. message ID = 0
*Jan 3 20:24:26.787: ISAKMP:(0):found peer pre-shared key matching <pfsense ipv4 Public ip>
*Jan 3 20:24:26.787: ISAKMP:received payload type 20
*Jan 3 20:24:26.787: ISAKMP (1006): NAT found, both nodes inside NAT
*Jan 3 20:24:26.787: ISAKMP:received payload type 20
*Jan 3 20:24:26.787: ISAKMP (1006): NAT found, both nodes inside NAT
*Jan 3 20:24:26.787: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan 3 20:24:26.787: ISAKMP:(1006):Old State = IKE_R_MM3 New State = IKE_R_MM3
*Jan 3 20:24:26.791: ISAKMP:(1006): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Jan 3 20:24:26.791: ISAKMP:(1006):Sending an IKE IPv4 Packet.
*Jan 3 20:24:26.791: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan 3 20:24:26.791: ISAKMP:(1006):Old State = IKE_R_MM3 New State = IKE_R_MM4
*Jan 3 20:24:26.987: ISAKMP (1006): received packet from <pfsense ipv4 Public ip> dport 4500 sport 4500 Global (R) MM_KEY_EXCH
*Jan 3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 20:24:26.987: ISAKMP:(1006):Old State = IKE_R_MM4 New State = IKE_R_MM5
*Jan 3 20:24:26.987: ISAKMP:(1006): processing ID payload. message ID = 0
*Jan 3 20:24:26.987: ISAKMP (1006): ID payload
next-payload : 8
type : 1
address : 10.0.0.26
protocol : 0
port : 0
length : 12
*Jan 3 20:24:26.987: ISAKMP:(0):: peer matches *none* of the profiles
*Jan 3 20:24:26.987: ISAKMP:(1006): processing HASH payload. message ID = 0
*Jan 3 20:24:26.987: ISAKMP:(1006): processing NOTIFY INITIAL_CONTACT protocol 1
spi 0, message ID = 0, sa = 0x3D55CC50
*Jan 3 20:24:26.987: ISAKMP:(1006):SA authentication status:
authenticated
*Jan 3 20:24:26.987: ISAKMP:(1006):SA has been authenticated with <pfsense ipv4 Public ip>
*Jan 3 20:24:26.987: ISAKMP:(1006):Detected port floating to port = 4500
*Jan 3 20:24:26.987: ISAKMP: Trying to find existing peer 192.168.178.254/<pfsense ipv4 Public ip>/4500/
*Jan 3 20:24:26.987: ISAKMP:(1006):SA authentication status:
authenticated
*Jan 3 20:24:26.987: ISAKMP:(1006): Process initial contact,
bring down existing phase 1 and 2 SA's with local 192.168.178.254 remote <pfsense ipv4 Public ip> remote port 4500
*Jan 3 20:24:26.987: ISAKMP: Trying to insert a peer 192.168.178.254/<pfsense ipv4 Public ip>/4500/, and inserted successfully 21213C90.
*Jan 3 20:24:26.987: ISAKMP:(1006):Setting UDP ENC peer struct 0x2209AAB0 sa= 0x3D55CC50
*Jan 3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan 3 20:24:26.987: ISAKMP:(1006):Old State = IKE_R_MM5 New State = IKE_R_MM5
*Jan 3 20:24:26.987: ISAKMP:(1006):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
*Jan 3 20:24:26.987: ISAKMP (1006): ID payload
next-payload : 8
type : 1
address : 192.168.178.254
protocol : 17
port : 0
length : 12
*Jan 3 20:24:26.987: ISAKMP:(1006):Total payload length: 12
*Jan 3 20:24:26.987: ISAKMP:(1006): sending packet to <pfsense ipv4 Public ip> my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
*Jan 3 20:24:26.987: ISAKMP:(1006):Sending an IKE IPv4 Packet.
*Jan 3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan 3 20:24:26.987: ISAKMP:(1006):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE
*Jan 3 20:24:26.987: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Jan 3 20:24:26.987: ISAKMP:(1006):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
*Jan 3 20:24:27.163: ISAKMP (1006): received packet from <pfsense ipv4 Public ip> dport 4500 sport 4500 Global (R) QM_IDLE
*Jan 3 20:24:27.163: ISAKMP: set new node -254864944 to QM_IDLE
*Jan 3 20:24:27.163: ISAKMP:(1006): processing HASH payload. message ID = 4040102352
*Jan 3 20:24:27.163: ISAKMP:(1006): processing DELETE payload. message ID = 4040102352
*Jan 3 20:24:27.163: ISAKMP:(1006):peer does not do paranoid keepalives.
*Jan 3 20:24:27.163: ISAKMP:(1006):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 Public ip>)
*Jan 3 20:24:27.163: ISAKMP:(1006):deleting node -254864944 error FALSE reason "Informational (in) state 1"
*Jan 3 20:24:27.163: ISAKMP: set new node 1481984827 to QM_IDLE
*Jan 3 20:24:27.163: ISAKMP:(1006): sending packet to <pfsense ipv4 Public ip> my_port 4500 peer_port 4500 (R) QM_IDLE
*Jan 3 20:24:27.163: ISAKMP:(1006):Sending an IKE IPv4 Packet.
*Jan 3 20:24:27.163: ISAKMP:(1006):purging node 1481984827
*Jan 3 20:24:27.163: ISAKMP:(1006):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jan 3 20:24:27.163: ISAKMP:(1006):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA
*Jan 3 20:24:27.163: ISAKMP:(1006):deleting SA reason "No reason" state (R) QM_IDLE (peer <pfsense ipv4 Public ip>)
*Jan 3 20:24:27.163: ISAKMP: Unlocking peer struct 0x21213C90 for isadb_mark_sa_deleted(), count 0
*Jan 3 20:24:27.163: ISAKMP: Deleting peer node by peer_reap for <pfsense ipv4 Public ip>: 21213C90
*Jan 3 20:24:27.167: ISAKMP:(1006):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 20:24:27.167: ISAKMP:(1006):Old State = IKE_DEST_SA New State = IKE_DEST_SAIPSEC Logs
Jan 3 20:58:22 charon 14[CFG] vici client 5866 disconnected
Jan 3 20:58:22 charon 12[CFG] vici client 5866 requests: list-sas
Jan 3 20:58:22 charon 07[CFG] vici client 5866 registered for: list-sa
Jan 3 20:58:22 charon 14[CFG] vici client 5866 connected
Jan 3 20:58:16 charon 15[CFG] vici client 5865 disconnected
Jan 3 20:58:16 charon 16[CFG] vici client 5865 requests: list-sas
Jan 3 20:58:16 charon 16[CFG] vici client 5865 registered for: list-sa
Jan 3 20:58:16 charon 08[CFG] vici client 5865 connected
Jan 3 20:58:11 charon 06[CFG] vici client 5864 disconnected
Jan 3 20:58:11 charon 06[CFG] vici client 5864 requests: list-sas
Jan 3 20:58:11 charon 06[CFG] vici client 5864 registered for: list-sa
Jan 3 20:58:11 charon 13[CFG] vici client 5864 connected
Jan 3 20:58:06 charon 11[CFG] vici client 5863 disconnected
Jan 3 20:58:06 charon 11[CFG] vici client 5863 requests: list-sas
Jan 3 20:58:06 charon 05[CFG] vici client 5863 registered for: list-sa
Jan 3 20:58:06 charon 11[CFG] vici client 5863 connected
Jan 3 20:58:01 charon 07[CFG] vici client 5862 disconnected
Jan 3 20:58:01 charon 14[CFG] vici client 5862 requests: list-sas
Jan 3 20:58:01 charon 15[CFG] vici client 5862 registered for: list-sa
Jan 3 20:58:01 charon 07[CFG] vici client 5862 connected
Jan 3 20:57:55 charon 16[CFG] vici client 5861 disconnected
Jan 3 20:57:55 charon 08[CFG] vici client 5861 requests: list-sas
Jan 3 20:57:55 charon 08[CFG] vici client 5861 registered for: list-sa
Jan 3 20:57:55 charon 10[CFG] vici client 5861 connected
Jan 3 20:57:50 charon 09[CFG] vici client 5860 disconnected
Jan 3 20:57:50 charon 09[CFG] vici client 5860 requests: list-sas
Jan 3 20:57:50 charon 09[CFG] vici client 5860 registered for: list-sa
Jan 3 20:57:50 charon 06[CFG] vici client 5860 connected
Jan 3 20:57:45 charon 12[CFG] vici client 5859 disconnected
Jan 3 20:57:45 charon 12[CFG] vici client 5859 requests: list-sas
Jan 3 20:57:45 charon 11[CFG] vici client 5859 registered for: list-sa
Jan 3 20:57:45 charon 14[CFG] vici client 5859 connected
Jan 3 20:57:40 charon 14[IKE] <con2000|214> IKE_SA con2000[214] state change: DELETING => DESTROYING
Jan 3 20:57:40 charon 14[NET] <con2000|214> sending packet: from 10.0.0.26[4500] to <Fritzbox Public IPv4>[4500] (108 bytes)
Jan 3 20:57:40 charon 14[ENC] <con2000|214> generating INFORMATIONAL_V1 request 4040102352 [ HASH D ]
Jan 3 20:57:40 charon 14[IKE] <con2000|214> IKE_SA con2000[214] state change: CONNECTING => DELETING
Jan 3 20:57:40 charon 14[IKE] <con2000|214> sending DELETE for IKE_SA con2000[214]
Jan 3 20:57:40 charon 14[IKE] <con2000|214> deleting IKE_SA con2000[214] between 10.0.0.26[10.0.0.26]...<Fritzbox Public IPv4>[%any]
Jan 3 20:57:40 charon 14[IKE] <con2000|214> activating ISAKMP_DELETE task
Jan 3 20:57:40 charon 14[IKE] <con2000|214> activating new tasks
Jan 3 20:57:40 charon 14[IKE] <con2000|214> queueing ISAKMP_DELETE task
Jan 3 20:57:40 charon 14[IKE] <con2000|214> IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4>'
Jan 3 20:57:40 charon 14[ENC] <con2000|214> parsed ID_PROT response 0 [ ID HASH ]
Jan 3 20:57:40 charon 14[NET] <con2000|214> received packet: from <Fritzbox Public IPv4>[4500] to 10.0.0.26[4500] (92 bytes)
Jan 3 20:57:40 charon 14[NET] <con2000|214> sending packet: from 10.0.0.26[4500] to <Fritzbox Public IPv4>[4500] (108 bytes)
Jan 3 20:57:40 charon 14[ENC] <con2000|214> generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Jan 3 20:57:40 charon 14[IKE] <con2000|214> MAIN_MODE task
Jan 3 20:57:40 charon 14[IKE] <con2000|214> ISAKMP_VENDOR task
Jan 3 20:57:40 charon 14[IKE] <con2000|214> reinitiating already active tasks
Jan 3 20:57:40 charon 14[IKE] <con2000|214> remote host is behind NAT
Jan 3 20:57:40 charon 14[IKE] <con2000|214> local host is behind NAT, sending keep alives
Jan 3 20:57:40 charon 14[IKE] <con2000|214> received XAuth vendor ID
Jan 3 20:57:40 charon 14[ENC] <con2000|214> received unknown vendor ID: 37:aa:11:dd:66:2b:73:fd:c0:e7:ce:9e:09:9f:d3:4f
Jan 3 20:57:40 charon 14[IKE] <con2000|214> received DPD vendor ID
Jan 3 20:57:40 charon 14[IKE] <con2000|214> received Cisco Unity vendor ID
Jan 3 20:57:40 charon 14[ENC] <con2000|214> parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ]
Jan 3 20:57:40 charon 14[NET] <con2000|214> received packet: from <Fritzbox Public IPv4>[500] to 10.0.0.26[500] (456 bytes)
Jan 3 20:57:39 charon 14[CFG] vici client 5858 disconnected
Jan 3 20:57:39 charon 11[CFG] vici client 5858 requests: list-sas
Jan 3 20:57:39 charon 14[CFG] vici client 5858 registered for: list-sa
Jan 3 20:57:39 charon 07[CFG] vici client 5858 connected
Jan 3 20:57:39 charon 07[NET] <con2000|214> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (396 bytes)
Jan 3 20:57:39 charon 07[ENC] <con2000|214> generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Jan 3 20:57:39 charon 07[IKE] <con2000|214> MAIN_MODE task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> ISAKMP_VENDOR task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> reinitiating already active tasks
Jan 3 20:57:39 charon 07[CFG] <con2000|214> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39 charon 07[CFG] <con2000|214> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39 charon 07[CFG] <con2000|214> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39 charon 07[CFG] <con2000|214> proposal matches
Jan 3 20:57:39 charon 07[CFG] <con2000|214> selecting proposal:
Jan 3 20:57:39 charon 07[IKE] <con2000|214> received NAT-T (RFC 3947) vendor ID
Jan 3 20:57:39 charon 07[ENC] <con2000|214> parsed ID_PROT response 0 [ SA V ]
Jan 3 20:57:39 charon 07[NET] <con2000|214> received packet: from <Fritzbox Public IPv4>[500] to 10.0.0.26[500] (108 bytes)
Jan 3 20:57:39 charon 07[NET] <con2000|214> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (184 bytes)
Jan 3 20:57:39 charon 07[ENC] <con2000|214> generating ID_PROT request 0 [ SA V V V V V ]
Jan 3 20:57:39 charon 07[CFG] <con2000|214> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:57:39 charon 07[IKE] <con2000|214> IKE_SA con2000[214] state change: CREATED => CONNECTING
Jan 3 20:57:39 charon 07[IKE] <con2000|214> initiating Main Mode IKE_SA con2000[214] to <Fritzbox Public IPv4>
Jan 3 20:57:39 charon 07[IKE] <con2000|214> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 3 20:57:39 charon 07[IKE] <con2000|214> sending NAT-T (RFC 3947) vendor ID
Jan 3 20:57:39 charon 07[IKE] <con2000|214> sending FRAGMENTATION vendor ID
Jan 3 20:57:39 charon 07[IKE] <con2000|214> sending DPD vendor ID
Jan 3 20:57:39 charon 07[IKE] <con2000|214> sending XAuth vendor ID
Jan 3 20:57:39 charon 07[IKE] <con2000|214> activating ISAKMP_NATD task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> activating ISAKMP_CERT_POST task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> activating MAIN_MODE task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> activating ISAKMP_CERT_PRE task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> activating ISAKMP_VENDOR task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> activating new tasks
Jan 3 20:57:39 charon 07[IKE] <con2000|214> queueing QUICK_MODE task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> queueing ISAKMP_NATD task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> queueing ISAKMP_CERT_POST task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> queueing MAIN_MODE task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> queueing ISAKMP_CERT_PRE task
Jan 3 20:57:39 charon 07[IKE] <con2000|214> queueing ISAKMP_VENDOR task
Jan 3 20:57:39 charon 12[CFG] received stroke: initiate 'con2000'
Jan 3 20:57:39 charon 15[CFG] no IKE_SA named 'con2000' found
Jan 3 20:57:39 charon 15[CFG] received stroke: terminate 'con2000'
Jan 3 20:57:34 charon 10[CFG] vici client 5857 disconnected
Jan 3 20:57:34 charon 16[CFG] vici client 5857 requests: list-sas
Jan 3 20:57:34 charon 10[CFG] vici client 5857 registered for: list-sa
Jan 3 20:57:34 charon 08[CFG] vici client 5857 connected
Jan 3 20:53:44 charon 05[CFG] vici client 5856 disconnected
Jan 3 20:53:44 charon 05[CFG] vici client 5856 requests: list-sas
Jan 3 20:53:44 charon 05[CFG] vici client 5856 registered for: list-sa
Jan 3 20:53:44 charon 09[CFG] vici client 5856 connected
Jan 3 20:53:39 charon 12[CFG] vici client 5855 disconnected
Jan 3 20:53:39 charon 14[CFG] vici client 5855 requests: list-sas
Jan 3 20:53:39 charon 15[CFG] vici client 5855 registered for: list-sa
Jan 3 20:53:39 charon 12[CFG] vici client 5855 connected
Jan 3 20:52:57 charon 08[CFG] vici client 5854 disconnected
Jan 3 20:52:57 charon 16[CFG] vici client 5854 requests: list-sas
Jan 3 20:52:57 charon 08[CFG] vici client 5854 registered for: list-sa
Jan 3 20:52:57 charon 10[CFG] vici client 5854 connected
Jan 3 20:52:28 ipsec_starter 26988 'con2000' routed
Jan 3 20:52:28 charon 05[CHD] CHILD_SA con2000{151} state change: CREATED => ROUTED
Jan 3 20:52:28 charon 05[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:52:28 charon 05[CFG] received stroke: route 'con2000'
Jan 3 20:52:28 charon 09[CFG] added configuration 'con2000'
Jan 3 20:52:28 charon 09[CFG] keyexchange=ikev1
Jan 3 20:52:28 charon 09[CFG] mediation=no
Jan 3 20:52:28 charon 09[CFG] sha256_96=no
Jan 3 20:52:28 charon 09[CFG] dpdaction=3
Jan 3 20:52:28 charon 09[CFG] dpdtimeout=60
Jan 3 20:52:28 charon 09[CFG] dpddelay=10
Jan 3 20:52:28 charon 09[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:52:28 charon 09[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:52:28 charon 09[CFG] rightid=<Fritzbox Public IPv4>
Jan 3 20:52:28 charon 09[CFG] rightauth=psk
Jan 3 20:52:28 charon 09[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:52:28 charon 09[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:52:28 charon 09[CFG] leftid=10.0.0.26
Jan 3 20:52:28 charon 09[CFG] leftauth=psk
Jan 3 20:52:28 charon 09[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:28 charon 09[CFG] left=10.0.0.26
Jan 3 20:52:28 charon 09[CFG] conn con2000
Jan 3 20:52:28 charon 09[CFG] received stroke: add connection 'con2000'
Jan 3 20:52:28 ipsec_starter 26988 'bypasslan' shunt PASS policy installed
Jan 3 20:52:28 charon 11[CFG] received stroke: route 'bypasslan'
Jan 3 20:52:28 charon 05[CFG] added configuration 'bypasslan'
Jan 3 20:52:28 charon 05[CFG] mediation=no
Jan 3 20:52:28 charon 05[CFG] sha256_96=no
Jan 3 20:52:28 charon 05[CFG] dpdtimeout=150
Jan 3 20:52:28 charon 05[CFG] dpddelay=30
Jan 3 20:52:28 charon 05[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:52:28 charon 05[CFG] right=%any
Jan 3 20:52:28 charon 05[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:28 charon 05[CFG] left=%any
Jan 3 20:52:28 charon 05[CFG] conn bypasslan
Jan 3 20:52:28 charon 05[CFG] received stroke: add connection 'bypasslan'
Jan 3 20:52:28 charon 11[CFG] deleted connection 'con2000'
Jan 3 20:52:28 charon 11[CFG] received stroke: delete connection 'con2000'
Jan 3 20:52:28 ipsec_starter 26988 trap policy 'con2000' unrouted
Jan 3 20:52:28 charon 05[CHD] CHILD_SA con2000{150} state change: ROUTED => DESTROYING
Jan 3 20:52:28 charon 05[CFG] received stroke: unroute 'con2000'
Jan 3 20:52:28 charon 11[CFG] deleted connection 'bypasslan'
Jan 3 20:52:28 charon 11[CFG] received stroke: delete connection 'bypasslan'
Jan 3 20:52:28 ipsec_starter 26988 shunt policy 'bypasslan' uninstalled
Jan 3 20:52:28 charon 14[CFG] received stroke: unroute 'bypasslan'
Jan 3 20:52:28 charon 09[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 3 20:52:28 charon 09[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 3 20:52:28 charon 09[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 3 20:52:28 charon 09[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 3 20:52:28 charon 09[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 3 20:52:28 charon 09[CFG] loaded IKE secret for %any <Fritzbox Public IPv4>
Jan 3 20:52:28 charon 09[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
Jan 3 20:52:28 charon 09[CFG] rereading secrets
Jan 3 20:52:23 ipsec_starter 26988 'con2000' routed
Jan 3 20:52:23 charon 08[CHD] CHILD_SA con2000{150} state change: CREATED => ROUTED
Jan 3 20:52:23 charon 08[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:52:23 charon 08[CFG] received stroke: route 'con2000'
Jan 3 20:52:23 charon 13[CFG] added configuration 'con2000'
Jan 3 20:52:23 charon 13[CFG] keyexchange=ikev1
Jan 3 20:52:23 charon 13[CFG] mediation=no
Jan 3 20:52:23 charon 13[CFG] sha256_96=no
Jan 3 20:52:23 charon 13[CFG] dpdaction=3
Jan 3 20:52:23 charon 13[CFG] dpdtimeout=60
Jan 3 20:52:23 charon 13[CFG] dpddelay=10
Jan 3 20:52:23 charon 13[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:52:23 charon 13[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:52:23 charon 13[CFG] rightid=<Fritzbox Public IPv4>
Jan 3 20:52:23 charon 13[CFG] rightauth=psk
Jan 3 20:52:23 charon 13[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:52:23 charon 13[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:52:23 charon 13[CFG] leftid=10.0.0.26
Jan 3 20:52:23 charon 13[CFG] leftauth=psk
Jan 3 20:52:23 charon 13[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:23 charon 13[CFG] left=10.0.0.26
Jan 3 20:52:23 charon 13[CFG] conn con2000
Jan 3 20:52:23 charon 13[CFG] received stroke: add connection 'con2000'
Jan 3 20:52:23 ipsec_starter 26988 'bypasslan' shunt PASS policy installed
Jan 3 20:52:23 charon 08[CFG] received stroke: route 'bypasslan'
Jan 3 20:52:23 charon 10[CFG] added configuration 'bypasslan'
Jan 3 20:52:23 charon 10[CFG] mediation=no
Jan 3 20:52:23 charon 10[CFG] sha256_96=no
Jan 3 20:52:23 charon 10[CFG] dpdtimeout=150
Jan 3 20:52:23 charon 10[CFG] dpddelay=30
Jan 3 20:52:23 charon 10[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:52:23 charon 10[CFG] right=%any
Jan 3 20:52:23 charon 10[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:23 charon 10[CFG] left=%any
Jan 3 20:52:23 charon 10[CFG] conn bypasslan
Jan 3 20:52:23 charon 10[CFG] received stroke: add connection 'bypasslan'
Jan 3 20:52:23 charon 08[CFG] deleted connection 'con2000'
Jan 3 20:52:23 charon 08[CFG] received stroke: delete connection 'con2000'
Jan 3 20:52:23 ipsec_starter 26988 trap policy 'con2000' unrouted
Jan 3 20:52:23 charon 10[CHD] CHILD_SA con2000{149} state change: ROUTED => DESTROYING
Jan 3 20:52:23 charon 10[CFG] received stroke: unroute 'con2000'
Jan 3 20:52:23 charon 08[CFG] deleted connection 'bypasslan'
Jan 3 20:52:23 charon 08[CFG] received stroke: delete connection 'bypasslan'
Jan 3 20:52:23 ipsec_starter 26988 shunt policy 'bypasslan' uninstalled
Jan 3 20:52:23 charon 06[CFG] received stroke: unroute 'bypasslan'
Jan 3 20:52:23 charon 10[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 3 20:52:23 charon 10[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 3 20:52:23 charon 10[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 3 20:52:23 charon 10[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 3 20:52:23 charon 10[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 3 20:52:23 charon 10[CFG] loaded IKE secret for %any <Fritzbox Public IPv4>
Jan 3 20:52:23 charon 10[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
Jan 3 20:52:23 charon 10[CFG] rereading secrets
Jan 3 20:52:16 ipsec_starter 26988 'con2000' routed
Jan 3 20:52:16 charon 16[CHD] CHILD_SA con2000{149} state change: CREATED => ROUTED
Jan 3 20:52:16 charon 16[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:52:16 charon 16[CFG] received stroke: route 'con2000'
Jan 3 20:52:16 charon 13[CFG] added configuration 'con2000'
Jan 3 20:52:16 charon 13[CFG] keyexchange=ikev1
Jan 3 20:52:16 charon 13[CFG] mediation=no
Jan 3 20:52:16 charon 13[CFG] sha256_96=no
Jan 3 20:52:16 charon 13[CFG] dpdaction=3
Jan 3 20:52:16 charon 13[CFG] dpdtimeout=60
Jan 3 20:52:16 charon 13[CFG] dpddelay=10
Jan 3 20:52:16 charon 13[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:52:16 charon 13[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:52:16 charon 13[CFG] rightid=<Fritzbox Public IPv4>
Jan 3 20:52:16 charon 13[CFG] rightauth=psk
Jan 3 20:52:16 charon 13[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:52:16 charon 13[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:52:16 charon 13[CFG] leftid=10.0.0.26
Jan 3 20:52:16 charon 13[CFG] leftauth=psk
Jan 3 20:52:16 charon 13[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:16 charon 13[CFG] left=10.0.0.26
Jan 3 20:52:16 charon 13[CFG] conn con2000
Jan 3 20:52:16 charon 13[CFG] received stroke: add connection 'con2000'
Jan 3 20:52:16 ipsec_starter 26988 'bypasslan' shunt PASS policy installed
Jan 3 20:52:16 charon 16[CFG] received stroke: route 'bypasslan'
Jan 3 20:52:16 charon 07[CFG] added configuration 'bypasslan'
Jan 3 20:52:16 charon 07[CFG] mediation=no
Jan 3 20:52:16 charon 07[CFG] sha256_96=no
Jan 3 20:52:16 charon 07[CFG] dpdtimeout=150
Jan 3 20:52:16 charon 07[CFG] dpddelay=30
Jan 3 20:52:16 charon 07[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:52:16 charon 07[CFG] right=%any
Jan 3 20:52:16 charon 07[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:52:16 charon 07[CFG] left=%any
Jan 3 20:52:16 charon 07[CFG] conn bypasslan
Jan 3 20:52:16 charon 07[CFG] received stroke: add connection 'bypasslan'
Jan 3 20:52:16 charon 16[CFG] deleted connection 'con2000'
Jan 3 20:52:16 charon 16[CFG] received stroke: delete connection 'con2000'
Jan 3 20:52:16 ipsec_starter 26988 trap policy 'con2000' unrouted
Jan 3 20:52:16 charon 07[CHD] CHILD_SA con2000{148} state change: ROUTED => DESTROYING
Jan 3 20:52:16 charon 07[CFG] received stroke: unroute 'con2000'
Jan 3 20:52:16 charon 16[CFG] deleted connection 'bypasslan'
Jan 3 20:52:16 charon 16[CFG] received stroke: delete connection 'bypasslan'
Jan 3 20:52:16 ipsec_starter 26988 shunt policy 'bypasslan' uninstalled
Jan 3 20:52:16 charon 08[CFG] received stroke: unroute 'bypasslan'
Jan 3 20:52:16 charon 07[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 3 20:52:16 charon 07[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 3 20:52:16 charon 07[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 3 20:52:16 charon 07[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 3 20:52:16 charon 07[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 3 20:52:16 charon 07[CFG] loaded IKE secret for %any <Fritzbox Public IPv4>
Jan 3 20:52:16 charon 07[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
Jan 3 20:52:16 charon 07[CFG] rereading secrets
Jan 3 20:50:26 charon 13[CFG] vici client 5853 disconnected
Jan 3 20:50:26 charon 12[CFG] vici client 5853 requests: list-sas
Jan 3 20:50:26 charon 12[CFG] vici client 5853 registered for: list-sa
Jan 3 20:50:26 charon 16[CFG] vici client 5853 connected
Jan 3 20:50:20 charon 10[CFG] vici client 5852 disconnected
Jan 3 20:50:20 charon 10[CFG] vici client 5852 requests: list-sas
Jan 3 20:50:20 charon 10[CFG] vici client 5852 registered for: list-sa
Jan 3 20:50:20 charon 08[CFG] vici client 5852 connected
Jan 3 20:50:15 charon 05[CFG] vici client 5851 disconnected
Jan 3 20:50:15 charon 05[CFG] vici client 5851 requests: list-sas
Jan 3 20:50:15 charon 05[CFG] vici client 5851 registered for: list-sa
Jan 3 20:50:15 charon 09[CFG] vici client 5851 connected
Jan 3 20:50:10 charon 15[CFG] vici client 5850 disconnected
Jan 3 20:50:10 charon 15[CFG] vici client 5850 requests: list-sas
Jan 3 20:50:10 charon 15[CFG] vici client 5850 registered for: list-sa
Jan 3 20:50:10 charon 13[CFG] vici client 5850 connected
Jan 3 20:50:05 charon 07[CFG] vici client 5849 disconnected
Jan 3 20:50:05 charon 07[CFG] vici client 5849 requests: list-sas
Jan 3 20:50:05 charon 07[CFG] vici client 5849 registered for: list-sa
Jan 3 20:50:05 charon 12[CFG] vici client 5849 connected
Jan 3 20:49:59 charon 06[CFG] vici client 5848 disconnected
Jan 3 20:49:59 charon 06[CFG] vici client 5848 requests: list-sas
Jan 3 20:49:59 charon 06[CFG] vici client 5848 registered for: list-sa
Jan 3 20:49:59 charon 10[CFG] vici client 5848 connected
Jan 3 20:49:54 charon 05[CFG] vici client 5847 disconnected
Jan 3 20:49:54 charon 09[CFG] vici client 5847 requests: list-sas
Jan 3 20:49:54 charon 14[CFG] vici client 5847 registered for: list-sa
Jan 3 20:49:54 charon 05[CFG] vici client 5847 connected
Jan 3 20:49:49 charon 15[CFG] vici client 5846 disconnected
Jan 3 20:49:49 charon 13[CFG] vici client 5846 requests: list-sas
Jan 3 20:49:49 charon 13[CFG] vici client 5846 registered for: list-sa
Jan 3 20:49:49 charon 16[CFG] vici client 5846 connected
Jan 3 20:49:48 charon 16[IKE] <con2000|213> IKE_SA con2000[213] state change: CONNECTING => DESTROYING
Jan 3 20:49:48 charon 16[IKE] <con2000|213> destroying IKE_SA in state CONNECTING without notification
Jan 3 20:49:48 charon 12[CFG] received stroke: terminate 'con2000'
Jan 3 20:49:48 charon 16[NET] <con2000|213> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (184 bytes)
Jan 3 20:49:48 charon 16[ENC] <con2000|213> generating ID_PROT request 0 [ SA V V V V V ]
Jan 3 20:49:48 charon 16[CFG] <con2000|213> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 20:49:48 charon 16[IKE] <con2000|213> IKE_SA con2000[213] state change: CREATED => CONNECTING
Jan 3 20:49:48 charon 16[IKE] <con2000|213> initiating Main Mode IKE_SA con2000[213] to <Fritzbox Public IPv4>
Jan 3 20:49:48 charon 16[IKE] <con2000|213> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 3 20:49:48 charon 16[IKE] <con2000|213> sending NAT-T (RFC 3947) vendor ID
Jan 3 20:49:48 charon 16[IKE] <con2000|213> sending FRAGMENTATION vendor ID
Jan 3 20:49:48 charon 16[IKE] <con2000|213> sending DPD vendor ID
Jan 3 20:49:48 charon 16[IKE] <con2000|213> sending XAuth vendor ID
Jan 3 20:49:48 charon 16[IKE] <con2000|213> activating ISAKMP_NATD task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> activating ISAKMP_CERT_POST task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> activating MAIN_MODE task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> activating ISAKMP_CERT_PRE task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> activating ISAKMP_VENDOR task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> activating new tasks
Jan 3 20:49:48 charon 16[IKE] <con2000|213> queueing QUICK_MODE task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> queueing ISAKMP_NATD task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> queueing ISAKMP_CERT_POST task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> queueing MAIN_MODE task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> queueing ISAKMP_CERT_PRE task
Jan 3 20:49:48 charon 16[IKE] <con2000|213> queueing ISAKMP_VENDOR task
Jan 3 20:49:48 charon 13[CFG] received stroke: initiate 'con2000'
Jan 3 20:49:43 charon 10[CFG] vici client 5845 disconnected
Jan 3 20:49:43 charon 10[CFG] vici client 5845 requests: list-sas
Jan 3 20:49:43 charon 10[CFG] vici client 5845 registered for: list-sa
Jan 3 20:49:43 charon 08[CFG] vici client 5845 connected
Jan 3 20:49:38 charon 09[CFG] vici client 5844 disconnected
Jan 3 20:49:38 charon 09[CFG] vici client 5844 requests: list-sas
Jan 3 20:49:38 charon 11[CFG] vici client 5844 registered for: list-sa
Jan 3 20:49:38 charon 09[CFG] vici client 5844 connected
Jan 3 20:49:32 charon 15[CFG] vici client 5843 disconnected
Jan 3 20:49:32 charon 14[CFG] vici client 5843 requests: list-sas
Jan 3 20:49:32 charon 12[CFG] vici client 5843 registered for: list-sa
Jan 3 20:49:32 charon 15[CFG] vici client 5843 connected
Jan 3 20:49:27 charon 16[CFG] vici client 5842 disconnected
Jan 3 20:49:27 charon 07[CFG] vici client 5842 requests: list-sas
Jan 3 20:49:27 charon 07[CFG] vici client 5842 registered for: list-sa
Jan 3 20:49:27 charon 13[CFG] vici client 5842 connected
Jan 3 20:49:22 charon 06[CFG] vici client 5841 disconnected
Jan 3 20:49:22 charon 06[CFG] vici client 5841 requests: list-sas
Jan 3 20:49:22 charon 06[CFG] vici client 5841 registered for: list-sa
Jan 3 20:49:22 charon 10[CFG] vici client 5841 connected
Jan 3 20:49:17 charon 05[CFG] vici client 5840 disconnected
Jan 3 20:49:17 charon 05[CFG] vici client 5840 requests: list-sas
Jan 3 20:49:17 charon 09[CFG] vici client 5840 registered for: list-sa
Jan 3 20:49:17 charon 05[CFG] vici client 5840 connected
Jan 3 20:49:11 charon 12[CFG] vici client 5839 disconnected
Jan 3 20:49:11 charon 15[CFG] vici client 5839 requests: list-sas
Jan 3 20:49:11 charon 16[CFG] vici client 5839 registered for: list-sa
Jan 3 20:49:11 charon 12[CFG] vici client 5839 connected
Jan 3 20:49:06 charon 07[CFG] vici client 5838 disconnected
Jan 3 20:49:06 charon 08[CFG] vici client 5838 requests: list-sas
Jan 3 20:49:06 charon 08[CFG] vici client 5838 registered for: list-sa
Jan 3 20:49:06 charon 13[CFG] vici client 5838 connected
Jan 3 20:49:00 charon 11[CFG] vici client 5837 disconnected
Jan 3 20:49:00 charon 11[CFG] vici client 5837 requests: list-sas
Jan 3 20:49:00 charon 11[CFG] vici client 5837 registered for: list-sa
Jan 3 20:49:00 charon 06[CFG] vici client 5837 connected
Jan 3 20:48:55 charon 14[CFG] vici client 5836 disconnected
Jan 3 20:48:55 charon 14[CFG] vici client 5836 requests: list-sas
Jan 3 20:48:55 charon 05[CFG] vici client 5836 registered for: list-sa
Jan 3 20:48:55 charon 14[CFG] vici client 5836 connected
Jan 3 20:48:50 charon 16[CFG] vici client 5835 disconnected
Jan 3 20:48:50 charon 12[CFG] vici client 5835 requests: list-sas
Jan 3 20:48:50 charon 07[CFG] vici client 5835 registered for: list-sa
Jan 3 20:48:50 charon 16[CFG] vici client 5835 connected
Jan 3 20:48:44 charon 08[CFG] vici client 5834 disconnected
Jan 3 20:48:44 charon 10[CFG] vici client 5834 requests: list-sas
Jan 3 20:48:44 charon 10[CFG] vici client 5834 registered for: list-sa
Jan 3 20:48:44 charon 13[CFG] vici client 5834 connected
Jan 3 20:48:39 charon 09[CFG] vici client 5833 disconnected
Jan 3 20:48:39 charon 09[CFG] vici client 5833 requests: list-sas
Jan 3 20:48:39 charon 09[CFG] vici client 5833 registered for: list-sa
Jan 3 20:48:39 charon 11[CFG] vici client 5833 connected
Jan 3 20:48:34 charon 15[CFG] vici client 5832 disconnected
Jan 3 20:48:34 charon 15[CFG] vici client 5832 requests: list-sas
Jan 3 20:48:34 charon 12[CFG] vici client 5832 registered for: list-sa
Jan 3 20:48:34 charon 14[CFG] vici client 5832 connected
Jan 3 20:48:28 ipsec_starter 26988 'con2000' routed
Jan 3 20:48:28 charon 08[CHD] CHILD_SA con2000{148} state change: CREATED => ROUTED
Jan 3 20:48:28 charon 08[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 20:48:28 charon 08[CFG] received stroke: route 'con2000'
Jan 3 20:48:28 charon 13[CFG] added configuration 'con2000'
Jan 3 20:48:28 charon 13[CFG] keyexchange=ikev1
Jan 3 20:48:28 charon 13[CFG] mediation=no
Jan 3 20:48:28 charon 13[CFG] sha256_96=no
Jan 3 20:48:28 charon 13[CFG] dpdaction=3
Jan 3 20:48:28 charon 13[CFG] dpdtimeout=60
Jan 3 20:48:28 charon 13[CFG] dpddelay=10
Jan 3 20:48:28 charon 13[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 20:48:28 charon 13[CFG] ike=aes256-sha256-modp2048!
Jan 3 20:48:28 charon 13[CFG] rightid=192.168.178.254
Jan 3 20:48:28 charon 13[CFG] rightauth=psk
Jan 3 20:48:28 charon 13[CFG] rightsubnet=192.168.188.0/24
Jan 3 20:48:28 charon 13[CFG] right=<<myfritzbox.ddns.net>>
Jan 3 20:48:28 charon 13[CFG] leftid=10.0.0.26
Jan 3 20:48:28 charon 13[CFG] leftauth=psk
Jan 3 20:48:28 charon 13[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:48:28 charon 13[CFG] left=10.0.0.26
Jan 3 20:48:28 charon 13[CFG] conn con2000
Jan 3 20:48:28 charon 13[CFG] received stroke: add connection 'con2000'
Jan 3 20:48:28 ipsec_starter 26988 'bypasslan' shunt PASS policy installed
Jan 3 20:48:28 charon 07[CFG] received stroke: route 'bypasslan'
Jan 3 20:48:28 charon 08[CFG] added configuration 'bypasslan'
Jan 3 20:48:28 charon 08[CFG] mediation=no
Jan 3 20:48:28 charon 08[CFG] sha256_96=no
Jan 3 20:48:28 charon 08[CFG] dpdtimeout=150
Jan 3 20:48:28 charon 08[CFG] dpddelay=30
Jan 3 20:48:28 charon 08[CFG] rightsubnet=10.0.0.0/28
Jan 3 20:48:28 charon 08[CFG] right=%any
Jan 3 20:48:28 charon 08[CFG] leftsubnet=10.0.0.0/28
Jan 3 20:48:28 charon 08[CFG] left=%any
Jan 3 20:48:28 charon 08[CFG] conn bypasslan
Jan 3 20:48:28 charon 08[CFG] received stroke: add connection 'bypasslan'
Jan 3 20:48:28 charon 07[CFG] deleted connection 'con2000'
Jan 3 20:48:28 charon 07[CFG] received stroke: delete connection 'con2000'
Jan 3 20:48:28 ipsec_starter 26988 trap policy 'con2000' unrouted
Jan 3 20:48:28 charon 08[CHD] CHILD_SA con2000{147} state change: ROUTED => DESTROYING
Jan 3 20:48:28 charon 08[CFG] received stroke: unroute 'con2000'
Jan 3 20:48:28 charon 07[CFG] deleted connection 'bypasslan'
Jan 3 20:48:28 charon 07[CFG] received stroke: delete connection 'bypasslan'
Jan 3 20:48:28 ipsec_starter 26988 shunt policy 'bypasslan' uninstalled
Jan 3 20:48:28 charon 08[CFG] received stroke: unroute 'bypasslan'
Jan 3 20:48:28 charon 10[CFG] rereading crls from '/usr/local/etc/ipsec.d/crls'
Jan 3 20:48:28 charon 10[CFG] rereading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Jan 3 20:48:28 charon 10[CFG] rereading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Jan 3 20:48:28 charon 10[CFG] rereading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Jan 3 20:48:28 charon 10[CFG] rereading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Jan 3 20:48:28 charon 10[CFG] loaded IKE secret for %any 192.168.178.254
Jan 3 20:48:28 charon 10[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
Jan 3 20:48:28 charon 10[CFG] rereading secrets
Jan 3 20:42:49 charon 08[CFG] vici client 5831 disconnected
Jan 3 20:42:49 charon 08[CFG] vici client 5831 requests: list-sas
Jan 3 20:42:49 charon 08[CFG] vici client 5831 registered for: list-sa
Jan 3 20:42:49 charon 10[CFG] vici client 5831 connected
Jan 3 20:42:44 charon 09[CFG] vici client 5830 disconnected
Jan 3 20:42:44 charon 09[CFG] vici client 5830 requests: list-sas
Jan 3 20:42:44 charon 11[CFG] vici client 5830 registered for: list-sa
Jan 3 20:42:44 charon 09[CFG] vici client 5830 connected
Jan 3 20:42:39 charon 14[CFG] vici client 5829 disconnected
Jan 3 20:42:39 charon 15[CFG] vici client 5829 requests: list-sas
Jan 3 20:42:39 charon 12[CFG] vici client 5829 registered for: list-sa
Jan 3 20:42:39 charon 14[CFG] vici client 5829 connected
Jan 3 20:42:33 charon 13[CFG] vici client 5828 disconnected
Jan 3 20:42:33 charon 07[CFG] vici client 5828 requests: list-sas
Jan 3 20:42:33 charon 07[CFG] vici client 5828 registered for: list-sa
Jan 3 20:42:33 charon 16[CFG] vici client 5828 connected
Jan 3 20:42:28 charon 06[CFG] vici client 5827 disconnected
Jan 3 20:42:28 charon 06[CFG] vici client 5827 requests: list-sas
Jan 3 20:42:28 charon 06[CFG] vici client 5827 registered for: list-sa
Jan 3 20:42:28 charon 08[CFG] vici client 5827 connected
Jan 3 20:42:23 charon 05[CFG] vici client 5826 disconnected
Jan 3 20:42:23 charon 05[CFG] vici client 5826 requests: list-sas
Jan 3 20:42:23 charon 09[CFG] vici client 5826 registered for: list-sa
Jan 3 20:42:23 charon 05[CFG] vici client 5826 connected
Jan 3 20:42:17 charon 12[CFG] vici client 5825 disconnected
Jan 3 20:42:17 charon 14[CFG] vici client 5825 requests: list-sas
Jan 3 20:42:17 charon 13[CFG] vici client 5825 registered for: list-sa
Jan 3 20:42:17 charon 12[CFG] vici client 5825 connected
Jan 3 20:42:12 charon 07[CFG] vici client 5824 disconnected
Jan 3 20:42:12 charon 10[CFG] vici client 5824 requests: list-sas
Jan 3 20:42:12 charon 10[CFG] vici client 5824 registered for: list-sa
Jan 3 20:42:12 charon 16[CFG] vici client 5824 connected
Jan 3 20:42:07 charon 11[CFG] vici client 5823 disconnected
Jan 3 20:42:07 charon 11[CFG] vici client 5823 requests: list-sas
Jan 3 20:42:07 charon 11[CFG] vici client 5823 registered for: list-sa
Jan 3 20:42:07 charon 06[CFG] vici client 5823 connected
Jan 3 20:42:01 charon 15[CFG] vici client 5822 disconnected
Jan 3 20:42:01 charon 15[CFG] vici client 5822 requests: list-sas
Jan 3 20:42:01 charon 05[CFG] vici client 5822 registered for: list-sa
Jan 3 20:42:01 charon 15[CFG] vici client 5822 connectedDann habe ich nachgelesen, warum es diesen nicht passenden Identifier mit NAT geben könnte.
Nachdem ich die Netgate Tshoot-Dokumente befolgt hatte, änderte ich die Peer-IP-Adresse in Phase 1 von Peer-IP-Adresse auf IP-Adresse, wie man auf dem Screenshot sehen kann.
Hier findet man die Protokolle von ISAKMP Debugger und Pfsense IPsec.
ISAKMP Debugger
dedusvgw001#
*Jan 3 20:39:13.131: ISAKMP (0): received packet from <pfsense ipv4 Public ip> dport 500 sport 500 Global (N) NEW SA
*Jan 3 20:39:13.131: ISAKMP: Created a peer struct for <pfsense ipv4 Public ip>, peer port 500
*Jan 3 20:39:13.131: ISAKMP: New peer created peer = 0x3EB80304 peer_handle = 0x8000000C
*Jan 3 20:39:13.135: ISAKMP: Locking peer struct 0x3EB80304, refcount 1 for crypto_isakmp_process_block
*Jan 3 20:39:13.135: ISAKMP: local port 500, remote port 500
*Jan 3 20:39:13.135: ISAKMP:(0):insert sa successfully sa = 237C8BCC
*Jan 3 20:39:13.135: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Jan 3 20:39:13.135: ISAKMP:(0):Old State = IKE_READY New State = IKE_R_MM1
*Jan 3 20:39:13.135: ISAKMP:(0): processing SA payload. message ID = 0
*Jan 3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.135: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan 3 20:39:13.135: ISAKMP:(0): vendor ID is XAUTH
*Jan 3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.135: ISAKMP:(0): vendor ID is DPD
*Jan 3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.135: ISAKMP:(0): processing IKE frag vendor id payload
*Jan 3 20:39:13.135: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan 3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.135: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan 3 20:39:13.135: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan 3 20:39:13.135: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.135: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan 3 20:39:13.135: ISAKMP:(0): vendor ID is NAT-T v2
*Jan 3 20:39:13.135: ISAKMP:(0):found peer pre-shared key matching <pfsense ipv4 Public ip>
*Jan 3 20:39:13.135: ISAKMP:(0): local preshared key found
*Jan 3 20:39:13.135: ISAKMP : Scanning profiles for xauth ... PFSENSE
*Jan 3 20:39:13.135: ISAKMP:(0):Checking ISAKMP transform 1 against priority 5 policy
*Jan 3 20:39:13.135: ISAKMP: encryption AES-CBC
*Jan 3 20:39:13.135: ISAKMP: keylength of 256
*Jan 3 20:39:13.135: ISAKMP: hash SHA256
*Jan 3 20:39:13.135: ISAKMP: default group 14
*Jan 3 20:39:13.135: ISAKMP: auth pre-share
*Jan 3 20:39:13.135: ISAKMP: life type in seconds
*Jan 3 20:39:13.135: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*Jan 3 20:39:13.135: ISAKMP:(0):atts are acceptable. Next payload is 0
*Jan 3 20:39:13.135: ISAKMP:(0):Acceptable atts:actual life: 86400
*Jan 3 20:39:13.135: ISAKMP:(0):Acceptable atts:life: 0
*Jan 3 20:39:13.135: ISAKMP:(0):Fill atts in sa vpi_length:4
*Jan 3 20:39:13.135: ISAKMP:(0):Fill atts in sa life_in_seconds:86400
*Jan 3 20:39:13.135: ISAKMP:(0):Returning Actual lifetime: 86400
*Jan 3 20:39:13.135: ISAKMP:(0)::Started lifetime timer: 86400.
*Jan 3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.235: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch
*Jan 3 20:39:13.235: ISAKMP:(0): vendor ID is XAUTH
*Jan 3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.235: ISAKMP:(0): vendor ID is DPD
*Jan 3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.235: ISAKMP:(0): processing IKE frag vendor id payload
*Jan 3 20:39:13.235: ISAKMP:(0):Support for IKE Fragmentation not enabled
*Jan 3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.235: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Jan 3 20:39:13.235: ISAKMP (0): vendor ID is NAT-T RFC 3947
*Jan 3 20:39:13.235: ISAKMP:(0): processing vendor id payload
*Jan 3 20:39:13.235: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
*Jan 3 20:39:13.235: ISAKMP:(0): vendor ID is NAT-T v2
*Jan 3 20:39:13.235: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Jan 3 20:39:13.235: ISAKMP:(0):Old State = IKE_R_MM1 New State = IKE_R_MM1
*Jan 3 20:39:13.235: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
*Jan 3 20:39:13.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan 3 20:39:13.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 3 20:39:13.235: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Jan 3 20:39:13.235: ISAKMP:(0):Old State = IKE_R_MM1 New State = IKE_R_MM2
*Jan 3 20:39:23.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan 3 20:39:23.235: ISAKMP (0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
*Jan 3 20:39:23.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan 3 20:39:23.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan 3 20:39:23.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 3 20:39:33.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan 3 20:39:33.235: ISAKMP (0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
*Jan 3 20:39:33.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan 3 20:39:33.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan 3 20:39:33.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 3 20:39:43.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan 3 20:39:43.235: ISAKMP (0): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
*Jan 3 20:39:43.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan 3 20:39:43.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan 3 20:39:43.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 3 20:39:53.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan 3 20:39:53.235: ISAKMP (0): incrementing error counter on sa, attempt 4 of 5: retransmit phase 1
*Jan 3 20:39:53.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan 3 20:39:53.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan 3 20:39:53.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 3 20:40:03.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan 3 20:40:03.235: ISAKMP (0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
*Jan 3 20:40:03.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP
*Jan 3 20:40:03.235: ISAKMP:(0): sending packet to <pfsense ipv4 Public ip> my_port 500 peer_port 500 (R) MM_SA_SETUP
*Jan 3 20:40:03.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 3 20:40:13.235: ISAKMP:(0): retransmitting phase 1 MM_SA_SETUP...
*Jan 3 20:40:13.235: ISAKMP:(0):peer does not do paranoid keepalives.
*Jan 3 20:40:13.235: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (R) MM_SA_SETUP (peer <pfsense ipv4 Public ip>)
*Jan 3 20:40:13.235: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (R) MM_SA_SETUP (peer <pfsense ipv4 Public ip>)
*Jan 3 20:40:13.235: ISAKMP:(0):Deleting the unauthenticated sa
*Jan 3 20:40:13.235: ISAKMP:(0):Unlocking peer struct 0x3EB80304 for isadb_mark_sa_deleted(), count 0
*Jan 3 20:40:13.235: ISAKMP:(0):Deleting the peer struct for unauthenticated sa
*Jan 3 20:40:13.235: ISAKMP: Deleting peer node by peer_reap for <pfsense ipv4 Public ip>: 3EB80304
*Jan 3 20:40:13.235: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jan 3 20:40:13.235: ISAKMP:(0):Old State = IKE_R_MM2 New State = IKE_DEST_SAPfsense Ipsec logs
Jan 3 21:12:37 charon 16[CFG] vici client 5883 disconnected
Jan 3 21:12:37 charon 09[CFG] vici client 5883 requests: list-sas
Jan 3 21:12:37 charon 09[CFG] vici client 5883 registered for: list-sa
Jan 3 21:12:37 charon 15[CFG] vici client 5883 connected
Jan 3 21:12:32 charon 11[CFG] vici client 5882 disconnected
Jan 3 21:12:32 charon 10[CFG] vici client 5882 requests: list-sas
Jan 3 21:12:32 charon 06[CFG] vici client 5882 registered for: list-sa
Jan 3 21:12:32 charon 11[CFG] vici client 5882 connected
Jan 3 21:12:26 charon 12[CFG] vici client 5881 disconnected
Jan 3 21:12:26 charon 05[CFG] vici client 5881 requests: list-sas
Jan 3 21:12:26 charon 05[CFG] vici client 5881 registered for: list-sa
Jan 3 21:12:26 charon 08[CFG] vici client 5881 connected
Jan 3 21:12:26 charon 08[IKE] <con2000|215> IKE_SA con2000[215] state change: CONNECTING => DESTROYING
Jan 3 21:12:26 charon 08[IKE] <con2000|215> destroying IKE_SA in state CONNECTING without notification
Jan 3 21:12:26 charon 07[CFG] received stroke: terminate 'con2000'
Jan 3 21:12:26 charon 08[NET] <con2000|215> sending packet: from 10.0.0.26[500] to <Fritzbox Public IPv4>[500] (184 bytes)
Jan 3 21:12:26 charon 08[ENC] <con2000|215> generating ID_PROT request 0 [ SA V V V V V ]
Jan 3 21:12:26 charon 08[CFG] <con2000|215> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jan 3 21:12:26 charon 08[IKE] <con2000|215> IKE_SA con2000[215] state change: CREATED => CONNECTING
Jan 3 21:12:26 charon 08[IKE] <con2000|215> initiating Main Mode IKE_SA con2000[215] to <Fritzbox Public IPv4>
Jan 3 21:12:26 charon 08[IKE] <con2000|215> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 3 21:12:26 charon 08[IKE] <con2000|215> sending NAT-T (RFC 3947) vendor ID
Jan 3 21:12:26 charon 08[IKE] <con2000|215> sending FRAGMENTATION vendor ID
Jan 3 21:12:26 charon 08[IKE] <con2000|215> sending DPD vendor ID
Jan 3 21:12:26 charon 08[IKE] <con2000|215> sending XAuth vendor ID
Jan 3 21:12:26 charon 08[IKE] <con2000|215> activating ISAKMP_NATD task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> activating ISAKMP_CERT_POST task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> activating MAIN_MODE task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> activating ISAKMP_CERT_PRE task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> activating ISAKMP_VENDOR task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> activating new tasks
Jan 3 21:12:26 charon 08[IKE] <con2000|215> queueing QUICK_MODE task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> queueing ISAKMP_NATD task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> queueing ISAKMP_CERT_POST task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> queueing MAIN_MODE task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> queueing ISAKMP_CERT_PRE task
Jan 3 21:12:26 charon 08[IKE] <con2000|215> queueing ISAKMP_VENDOR task
Jan 3 21:12:26 charon 05[CFG] received stroke: initiate 'con2000'
Jan 3 21:12:24 charon 15[CFG] vici client 5880 disconnected
Jan 3 21:12:24 charon 15[CFG] vici client 5880 requests: list-sas
Jan 3 21:12:24 charon 15[CFG] vici client 5880 registered for: list-sa
Jan 3 21:12:24 charon 16[CFG] vici client 5880 connected
Jan 3 21:12:18 charon 10[CFG] vici client 5879 disconnected
Jan 3 21:12:18 charon 10[CFG] vici client 5879 requests: list-sas
Jan 3 21:12:18 charon 13[CFG] vici client 5879 registered for: list-sa
Jan 3 21:12:18 charon 10[CFG] vici client 5879 connected
Jan 3 21:12:13 charon 12[CFG] vici client 5878 disconnected
Jan 3 21:12:13 charon 06[CFG] vici client 5878 requests: list-sas
Jan 3 21:12:13 charon 07[CFG] vici client 5878 registered for: list-sa
Jan 3 21:12:13 charon 12[CFG] vici client 5878 connected
Jan 3 21:12:08 charon 08[CFG] vici client 5877 disconnected
Jan 3 21:12:08 charon 14[CFG] vici client 5877 requests: list-sas
Jan 3 21:12:08 charon 14[CFG] vici client 5877 registered for: list-sa
Jan 3 21:12:08 charon 05[CFG] vici client 5877 connected
Jan 3 21:12:02 charon 09[CFG] vici client 5876 disconnected
Jan 3 21:12:02 charon 09[CFG] vici client 5876 requests: list-sas
Jan 3 21:12:02 charon 09[CFG] vici client 5876 registered for: list-sa
Jan 3 21:12:02 charon 15[CFG] vici client 5876 connected
Jan 3 21:11:57 charon 11[CFG] vici client 5875 disconnected
Jan 3 21:11:57 charon 11[CFG] vici client 5875 requests: list-sas
Jan 3 21:11:57 charon 10[CFG] vici client 5875 registered for: list-sa
Jan 3 21:11:57 charon 11[CFG] vici client 5875 connected
Jan 3 21:11:52 charon 07[CFG] vici client 5874 disconnected
Jan 3 21:11:52 charon 12[CFG] vici client 5874 requests: list-sas
Jan 3 21:11:52 charon 07[CFG] vici client 5874 registered for: list-sa
Jan 3 21:11:52 charon 08[CFG] vici client 5874 connected
Jan 3 21:11:25 charon 16[CFG] vici client 5873 disconnected
Jan 3 21:11:25 charon 16[CFG] vici client 5873 requests: list-sas
Jan 3 21:11:25 charon 16[CFG] vici client 5873 registered for: list-sa
Jan 3 21:11:25 charon 15[CFG] vici client 5873 connected
Jan 3 21:11:19 charon 13[CFG] vici client 5872 disconnected
Jan 3 21:11:19 charon 13[CFG] vici client 5872 requests: list-sas
Jan 3 21:11:19 charon 13[CFG] vici client 5872 registered for: list-sa
Jan 3 21:11:19 charon 10[CFG] vici client 5872 connected
Jan 3 21:11:15 charon 12[CFG] vici client 5871 disconnected
Jan 3 21:11:15 charon 06[CFG] vici client 5871 requests: list-sas
Jan 3 21:11:15 charon 08[CFG] vici client 5871 registered for: list-sa
Jan 3 21:11:14 charon 12[CFG] vici client 5871 connected
Jan 3 21:11:13 ipsec_starter 26988 'con2000' routed
Jan 3 21:11:13 charon 07[CHD] CHILD_SA con2000{154} state change: CREATED => ROUTED
Jan 3 21:11:13 charon 07[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_12_128/NO_EXT_SEQ, ESP:AES_GCM_8_128/NO_EXT_SEQ
Jan 3 21:11:13 charon 07[CFG] received stroke: route 'con2000'
Jan 3 21:11:13 charon 05[CFG] added configuration 'con2000'
Jan 3 21:11:13 charon 05[CFG] keyexchange=ikev1
Jan 3 21:11:13 charon 05[CFG] mediation=no
Jan 3 21:11:13 charon 05[CFG] sha256_96=no
Jan 3 21:11:13 charon 05[CFG] dpdaction=3
Jan 3 21:11:13 charon 05[CFG] dpdtimeout=60
Jan 3 21:11:13 charon 05[CFG] dpddelay=10
Jan 3 21:11:13 charon 05[CFG] esp=aes256-sha1-modp2048,aes256-sha256-modp2048,aes192-sha1-modp2048,aes192-sha256-modp2048,aes128-sha1-modp2048,aes128-sha256-modp2048,aes128gcm128-sha1-modp2048,aes128gcm128-sha256-modp2048,aes128gcm96-sha1-modp2048,aes128gcm96-sha256-modp2048,aes128gcm64-sha1-modp2048,aes128gcm64-sha256-modp2048!
Jan 3 21:11:13 charon 05[CFG] ike=aes256-sha256-modp2048!
Jan 3 21:11:13 charon 05[CFG] rightid=192.168.178.254
Jan 3 21:11:13 charon 05[CFG] rightauth=psk
Jan 3 21:11:13 charon 05[CFG] rightsubnet=192.168.188.0/24
Jan 3 21:11:13 charon 05[CFG] right=<myfritzbox.ddns.net>
Jan 3 21:11:13 charon 05[CFG] leftid=10.0.0.26
Jan 3 21:11:13 charon 05[CFG] leftauth=psk
Jan 3 21:11:13 charon 05[CFG] leftsubnet=10.0.0.0/28
Jan 3 21:11:13 charon 05[CFG] left=10.0.0.26
Jan 3 21:11:13 charon 05[CFG] conn con2000
Jan 3 21:11:13 charon 05[CFG] received stroke: add connection 'con2000'
Jan 3 21:11:13 ipsec_starter 26988 'bypasslan' shunt PASS policy installed
Jan 3 21:11:13 charon 08[CFG] received stroke: route 'bypasslan'
Jan 3 21:11:13 charon 07[CFG] added configuration 'bypasslan'
Jan 3 21:11:13 charon 07[CFG] mediation=no
Jan 3 21:11:13 charon 07[CFG] sha256_96=no
Jan 3 21:11:13 charon 07[CFG] dpdtimeout=150
Jan 3 21:11:13 charon 07[CFG] dpddelay=30
Jan 3 21:11:13 charon 07[CFG] rightsubnet=10.0.0.0/28
Jan 3 21:11:13 charon 07[CFG] right=%any
Jan 3 21:11:13 charon 07[CFG] leftsubnet=10.0.0.0/28
Jan 3 21:11:13 charon 07[CFG] left=%any
Jan 3 21:11:13 charon 07[CFG] conn bypasslan
Jan 3 21:11:13 charon 07[CFG] received stroke: add connection 'bypasslan' Und hier ist der letzte Stand meiner pfsense
funktionierte sogar die Phase 1 nicht mehr.
Das ist ja auch vollkommen logisch, denn RFC 1918 IP Adressen sind im Internet nicht geroutet. Niemals darf man also die IP Adressen der lokalen Koppelnetze als Peers angeben, das das dann in die Hode geht weiss auch ein Laie.Als Peer Adressen müssen immer die jeweils öffentlichen IPs des Vodafone Routers bzw. der FritzBox an ihren WAN/Internet Ports angegeben werden.
Ich stelle das Testsetup nochmal nach mit jeweils einem einfachen NAT Router davor.
Ich wollte sagen, dass die private IP im öffentlichen Internet natürlich keinen Sinn macht und ein Laie das auch wissen würde.
Die Netgate Dokumentation legt mir jedoch nahe, dass strongsWAN die tatsächliche private IP vor NAT als Identifier für die korrekte Abstimmung braucht. Ich habe noch einen anderen Cisco RV340 Router bei einem Kollegen von mir. Vielleicht werde ich den morgen auch ausprobieren. So ist AWS zum Testen aus dem Weg.
Und schon jetzt vielen Dank für die proaktive Hilfe. !!
Die Netgate Dokumentation legt mir jedoch nahe, dass strongsWAN die tatsächliche private IP vor NAT als Identifier für die korrekte Abstimmung braucht. Ich habe noch einen anderen Cisco RV340 Router bei einem Kollegen von mir. Vielleicht werde ich den morgen auch ausprobieren. So ist AWS zum Testen aus dem Weg.
Und schon jetzt vielen Dank für die proaktive Hilfe. !!
Du kannst den Identifier ja auch ganz einfach auf einen Usernamen umstellen statt IP, das fixt das Problem auch im Handumdrehen.
Versuche einmal den Cisco als allgemeinen IPsec Responder zu konfigurieren, das er mit einer dynamischen Crypto Map jegliche eingehenden VPN Peers, egal mit welcher Absender IP annimmt. Das eliminiert die IP Authentisierungs Problematik bei Peers mit dynamischen oder CGN IPs.
!
crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
match identity address 0.0.0.0
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto dynamic-map PFSENSEDYN 10
set transform-set LABSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
crypto map PFSENSE 5 ipsec-isakmp dynamic PFSENSEDYN
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
crypto map PFSENSE
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.16 0.0.0.15
!
(Das "no proxy-arp" vom GigEth0/0 entfernen !)
Auch das führt sofort zum Erfolg. Auch mit 2 lokalen NAT Routern dazwischen !!
Cisco Konfig:
!crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
match identity address 0.0.0.0
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto dynamic-map PFSENSEDYN 10
set transform-set LABSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
crypto map PFSENSE 5 ipsec-isakmp dynamic PFSENSEDYN
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
crypto map PFSENSE
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.16 0.0.0.15
!
(Das "no proxy-arp" vom GigEth0/0 entfernen !)
pfSense Phase 1 Konfig:
pfSense Phase 2 Konfig:
Auch das führt sofort zum Erfolg. Auch mit 2 lokalen NAT Routern dazwischen !!
Endlich ist der Tunnel aufgebaut!!! Obwohl ich wieder den gleichen Fehler erhielt
IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4> überein
Ich habe den Tunnel komplett gelöscht und neu erstellt.
Ich musste die Peer-Adresse wert von Peer IP Address auf IP Address ändern. Vielleicht hast du eine ältere Version von Pfsense?
Danach war der Tunnel aufgebaut. Allerdings kann ich die Tunnelendpunkte(10.0.0.26/192.168.178.254) und die LAN IP's(192.168.188.254) nicht anpingen. Vielleicht sollte es dann funktionieren, wenn ich die Geräte im LAN habe und der Traffic initiiert wird?
Hier die show crypto Ausgaben des Cisco-Routers
aber ich danke dir wirklich für deine Bemühungen und so schnelle Reaktionen und die detaillierten Lösungen. Dies wäre das erste Mal, dass ich eine so hilfreiche Antwort in einem Forum sehe, das ich bis jetzt gefunden habe. wirklich Toll!!
Vielen Dank
Vicky
IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4> überein
Ich habe den Tunnel komplett gelöscht und neu erstellt.
Ich musste die Peer-Adresse wert von Peer IP Address auf IP Address ändern. Vielleicht hast du eine ältere Version von Pfsense?
Hier die show crypto Ausgaben des Cisco-Routers
aber ich danke dir wirklich für deine Bemühungen und so schnelle Reaktionen und die detaillierten Lösungen. Dies wäre das erste Mal, dass ich eine so hilfreiche Antwort in einem Forum sehe, das ich bis jetzt gefunden habe. wirklich Toll!!
Vielen Dank
Vicky
Glückwunsch ! 👏
Getestet mit der aktuellen Version 2.4.5p1 ! Der Cisco hat eine IOS Version 15.6.3M6
Wie gesagt mit beiden Konfig Versionen auf Cisco Seite kommt ein VPN Tunnel auch mit davor kaskadierten NAT Routern fehlerfrei zustande OHNE diese Konfig Tricksereien mit der manuellen Angabe der IP Adresse.
Man kann leider schon ahnen wo hier der (vermutliche) Kardinalsfehler ist... !!! 😟
Dein oben geschildertes Design FritzBox 6490 und Vodafone "Modem" ist wahrscheinlich falsch !! Das "Modem" ist in Wahrheit gar kein "Modem" sondern (vermutlich) auch ein weiterer NAT Router auf den die 6490 FritzBox via "vorhandenem Internet" sprich LAN-1 Konfig zugreift !! Also nicht nur ein Gerät wie in der Zeichnung sondern zwei. Kann das sein ??
Wäre in dem Falle dann leider mal wieder ein schönes Beispiel was in einem Forum passieren kann wenn man laienhaft den Begriff "Modem" und Router verwechselt und so ein technischer Sachverhalt ggf. falsch geschildert wird.
Wenn dem wirklich so ist, hättest du dann dort doppeltes NAT (Router Kaskade) und dann stimmt natürlich die WAN IP der FritzBox niemals mehr mit der öffentlichen IP des Vodafone NAT Routers davor überein, so das es zu dieser Fehlermeldung kommt.
Ob dem so ist und das Vodafone "Modem" in Wahrheit gar kein NUR Modem (Bridge) ist sondern auch ein NAT Router solltest du dringenst nochmal abklären. In dem Falle wäre nämlich die FritzBox ein völlig überflüssiger "Durchlauferhitzer" der nur Performance frisst und den man dann besser aus dem Design entsorgt und den Cisco dann direkt am Kabelrouter betreibt...?!
Wie gesagt...nur eine Vermutung aber vieles spricht dafür.
Oder auf dem Cisco Router CLI einen Ping ala
ping 10.0.0.26 source GigabitEthernet0/1
initiieren damit der Tunnel eröffnet wird.
Wäre ja jetzt oberpeinlich wenn es vielleicht nur daran gescheitert wäre...?! 🧐
(10.0.0.26 jetzt weil es oben stand und weil unbekannt ist welches Subnetz du auf der pfSense nutzt. Bei .26 als Hostadresse vermutlich 10.0.0.16/28 ?!
Auch hier noch ein Tip am Rande: Gateway Adressen sind niemals "mittendrin" um diese wichtigen IPs vor Überschneidungen zu schützen. Sinnigerweise nimmt der kundige Netzwerker immer einer der IPs "ganz oben" oder "ganz unten" im Hostbereich des Subnetzes. .17 oder .30 dann in deinem Falle sollte das .16/28er Netz richtig sein).
Vielleicht hast du eine ältere Version von Pfsense?
Nein !Getestet mit der aktuellen Version 2.4.5p1 ! Der Cisco hat eine IOS Version 15.6.3M6
Wie gesagt mit beiden Konfig Versionen auf Cisco Seite kommt ein VPN Tunnel auch mit davor kaskadierten NAT Routern fehlerfrei zustande OHNE diese Konfig Tricksereien mit der manuellen Angabe der IP Adresse.
IDir '192.168.178.254' does not match to '<Fritzbox Public IPv4> überein
Das ist auch logisch das diese Message kommt. Du hast vermutlich fälschlicherweise als remote Peer IP immer die 192.168.178.254 in der pfSense eingetragen was ja falsch ist. Wie oben mehrfach geschrieben MUSS dort die öffentliche IP am WAN Port des Internet Routers hin. Fragt sich nur WER nun der wirkliche Internet Router ist ???Man kann leider schon ahnen wo hier der (vermutliche) Kardinalsfehler ist... !!! 😟
Dein oben geschildertes Design FritzBox 6490 und Vodafone "Modem" ist wahrscheinlich falsch !! Das "Modem" ist in Wahrheit gar kein "Modem" sondern (vermutlich) auch ein weiterer NAT Router auf den die 6490 FritzBox via "vorhandenem Internet" sprich LAN-1 Konfig zugreift !! Also nicht nur ein Gerät wie in der Zeichnung sondern zwei. Kann das sein ??
Wäre in dem Falle dann leider mal wieder ein schönes Beispiel was in einem Forum passieren kann wenn man laienhaft den Begriff "Modem" und Router verwechselt und so ein technischer Sachverhalt ggf. falsch geschildert wird.
Wenn dem wirklich so ist, hättest du dann dort doppeltes NAT (Router Kaskade) und dann stimmt natürlich die WAN IP der FritzBox niemals mehr mit der öffentlichen IP des Vodafone NAT Routers davor überein, so das es zu dieser Fehlermeldung kommt.
Ob dem so ist und das Vodafone "Modem" in Wahrheit gar kein NUR Modem (Bridge) ist sondern auch ein NAT Router solltest du dringenst nochmal abklären. In dem Falle wäre nämlich die FritzBox ein völlig überflüssiger "Durchlauferhitzer" der nur Performance frisst und den man dann besser aus dem Design entsorgt und den Cisco dann direkt am Kabelrouter betreibt...?!
Wie gesagt...nur eine Vermutung aber vieles spricht dafür.
Allerdings kann ich die Tunnelendpunkte(10.0.0.26/192.168.178.254) und die LAN IP's(192.168.188.254) nicht anpingen.
Das kann gut möglich sein wenn das Windows Rechner sind. 2 mögliche Fehlerursachen:- ICMP ist in der Windows Firewall nicht aktiviert: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
- Du hast in den pfSense Firewall Regeln auf dem LAN oder IPsec Interface ggf. ICMP (Ping) geblockt
Vielleicht sollte es dann funktionieren, wenn ich die Geräte im LAN habe und der Traffic initiiert wird?
Ja, das ist in der Tat so. Der Tunnel wird nur aufgebaut wenn relevanter Traffic dafür da ist. Du musst dazu logischerweise auf der pfSense immer im Menü Status -> IPsec den Connect Button klicken um das zwangsweise zu initiieren wenn du kein aktives Client Netz für den Tunnel traffic hast.Oder auf dem Cisco Router CLI einen Ping ala
ping 10.0.0.26 source GigabitEthernet0/1
initiieren damit der Tunnel eröffnet wird.
Wäre ja jetzt oberpeinlich wenn es vielleicht nur daran gescheitert wäre...?! 🧐
(10.0.0.26 jetzt weil es oben stand und weil unbekannt ist welches Subnetz du auf der pfSense nutzt. Bei .26 als Hostadresse vermutlich 10.0.0.16/28 ?!
Auch hier noch ein Tip am Rande: Gateway Adressen sind niemals "mittendrin" um diese wichtigen IPs vor Überschneidungen zu schützen. Sinnigerweise nimmt der kundige Netzwerker immer einer der IPs "ganz oben" oder "ganz unten" im Hostbereich des Subnetzes. .17 oder .30 dann in deinem Falle sollte das .16/28er Netz richtig sein).
Du kannst dir den ganzen Kasperkram über die IP basierte Peer Identifikation auch sparen wenn du das auf einen User/FQDN String umstellst. Das erleichtert das VPN Setup indem es dich von jeglicher Peer IP Adressierung unabhängig macht und ist bei dynamischen Provider IPs oder DS-Lite/CGN Anschlüssen so oder so immer die bessere Option !
!
crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
self-identity user-fqdn cisco@intern
match identity user-fqdn pfsense@intern
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto dynamic-map PFSENSEDYN 10
set transform-set VPNSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
crypto map PFSENSE 5 ipsec-isakmp dynamic PFSENSEDYN
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
crypto map PFSENSE
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.16 0.0.0.15
!
(ACHTUNG: "10.0.0.16 0.0.0.15" in der ACL wenn dein lokales LAN an der pfSense 10.0.0.16/28 ist ! (pfSense IP 10.0.0.26 /28 (255.255.255.240). Ist geraten aus den o.a. Screenshots.)
Auch das führt sofort zum Erfolg egal wieviel Router Kaskaden man dazwischen hat oder nicht:
Cisco Konfig anpassen:
!crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
self-identity user-fqdn cisco@intern
match identity user-fqdn pfsense@intern
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto dynamic-map PFSENSEDYN 10
set transform-set VPNSET2
set isakmp-profile PFSENSE
match address vpnpfsense
!
crypto map PFSENSE 5 ipsec-isakmp dynamic PFSENSEDYN
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
crypto map PFSENSE
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
ip access-list extended vpnpfsense
permit ip 192.168.188.0 0.0.0.255 10.0.0.16 0.0.0.15
!
(ACHTUNG: "10.0.0.16 0.0.0.15" in der ACL wenn dein lokales LAN an der pfSense 10.0.0.16/28 ist ! (pfSense IP 10.0.0.26 /28 (255.255.255.240). Ist geraten aus den o.a. Screenshots.)
pfSense Phase 1 anpassen:
Auch das führt sofort zum Erfolg egal wieviel Router Kaskaden man dazwischen hat oder nicht:
Die Königsklasse im VPN sind natürlich virtuelle Tunnel Interfaces (VTI).
Sie bieten den großen Vorteil das sie aus Router oder Firewall Sicht wie ganz normale Interfaces behandelt werden und man dann mit dynamischen Routing Protokollen wie BGP, OSPF oder RIPv2 arbeiten kann. Ein zusätzlicher Pluspunkt ist der Multicast Routing (PIM) Support über diese Interfaces um so Medien wie Audio und Video via VPN zu streamen. Klassifizierungs ACLs usw. entfallen ebenso.
Ein weiterer Vorteil ist das andere IP Protokolle über diese Tunnel übertragen werden können. Z.B. IPv6 über einen reinen IPv4 Tunnel und umgekehrt was z.B. bei DS-Lite Anschlüssen von Vorteil sein kann.
Die 2 folgenden Foren Tutorials beschreiben solche VPN Setups mit VTIs mit Cisco Routern und pfSense Firewalls:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPv6 über Cisco IPv4 IPsec Tunnel
Off Topic hier einmal wie so eine VTI Konfiguration auf deine VPN Konfiguration bezogen aussähe:
!
crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
self-identity user-fqdn cisco@intern
match identity user-fqdn pfsense@intern
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto ipsec profile PFSENSEVTI
set transform-set VPNSET2
set isakmp-profile PFSENSE
!
interface Tunnel0
ip address 172.27.99.1 255.255.255.252
tunnel source GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel destination dynamic
tunnel protection ipsec profile PFSENSEVTI
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
Phase 1 bleibt bestehen, lediglich Phase 2 (General Settings) muss angepasst werden:
Dann erscheint automatisch ein neues virtuelles Interface was man in den "Assignments" der Firewall durch Klick auf "Add" hinzufügen muss:
Jetzt kann man entweder dynamisches Routing oder auch statisches Routing über dieses Interface laufen lassen. Bei statischen Routen muss natürlich das VTI Tunnel Interface auch noch als Gateway in der pfSense eingerichtet werden.
Bei Verwendung von dynamischen Routing Protokollen (OSPF, RIPv2 etc.) entfällt das natürlich.
Weitere Details dazu findest du in den obigen Tutorials.
Wenn's das denn nun war bleibt zum Schluß nur noch:
Wie kann ich einen Beitrag als gelöst markieren?
Sie bieten den großen Vorteil das sie aus Router oder Firewall Sicht wie ganz normale Interfaces behandelt werden und man dann mit dynamischen Routing Protokollen wie BGP, OSPF oder RIPv2 arbeiten kann. Ein zusätzlicher Pluspunkt ist der Multicast Routing (PIM) Support über diese Interfaces um so Medien wie Audio und Video via VPN zu streamen. Klassifizierungs ACLs usw. entfallen ebenso.
Ein weiterer Vorteil ist das andere IP Protokolle über diese Tunnel übertragen werden können. Z.B. IPv6 über einen reinen IPv4 Tunnel und umgekehrt was z.B. bei DS-Lite Anschlüssen von Vorteil sein kann.
Die 2 folgenden Foren Tutorials beschreiben solche VPN Setups mit VTIs mit Cisco Routern und pfSense Firewalls:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPv6 über Cisco IPv4 IPsec Tunnel
Off Topic hier einmal wie so eine VTI Konfiguration auf deine VPN Konfiguration bezogen aussähe:
Cisco VPN Konfig mit VTI Tunnel Interface:
!crypto keyring PFSENSEAWS
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim1234
!
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp profile PFSENSE
description IPsec VPN pfSense
keyring PFSENSEAWS
self-identity user-fqdn cisco@intern
match identity user-fqdn pfsense@intern
!
crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set VPNSET2 esp-aes esp-sha256-hmac
mode tunnel
!
crypto ipsec profile PFSENSEVTI
set transform-set VPNSET2
set isakmp-profile PFSENSE
!
interface Tunnel0
ip address 172.27.99.1 255.255.255.252
tunnel source GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel destination dynamic
tunnel protection ipsec profile PFSENSEVTI
!
interface GigabitEthernet0/0
description WAN Port zur FritzBox
ip address 192.168.178.254 255.255.255.0
!
interface GigabitEthernet0/1
description Local LAN
ip address 192.168.188.254 255.255.255.0
!
pfSense VPN Konfig mit VTI Tunnel Interface:
Phase 1 bleibt bestehen, lediglich Phase 2 (General Settings) muss angepasst werden:Bei Verwendung von dynamischen Routing Protokollen (OSPF, RIPv2 etc.) entfällt das natürlich.
Wenn's das denn nun war bleibt zum Schluß nur noch:
Wie kann ich einen Beitrag als gelöst markieren?
Danke!! Ich werde es heute versuchen und die Ergebnisse hier posten.
Wir sind gespannt... 😉
OK, da ich immer Probleme mit der Pfsense in der AWS-Cloud hatte. Ich habe es einfach entfernt. Also habe ich statt pfsense einen alten kleinen Dual-WAN-VPN-Router von Cisco RV042 verwendet. Hat nur 50 Euro gekostet. Und es hat mein Leben einfacher gemacht. Ich habe die statische IPV4 Konfiguration für den Cisco 2921-Router verwendet und dann den Gateway-to-Gateway-VPN-Tunnel auf dem RV042-Router konfiguriert und alles hat ohne Probleme funktioniert!!
Ich habe auch die Client-to-Gateway-Konfiguration auf dem RV042 für den Software-VPN-Client hinzugefügt und es funktioniert nahtlos und ohne Probleme.
Ich nehme also die Pfsense heraus und verwende stattdessen nur den Cisco RV042 dual WAN VPN router. Bei Bedarf kann ich die Konfiguration posten, damit sie für andere hilfreich ist.
Nochmals vielen Dank aqui, dass du bis zum Ende geblieben bist.
Ich habe hier viel gelernt!!
Ich habe auch die Client-to-Gateway-Konfiguration auf dem RV042 für den Software-VPN-Client hinzugefügt und es funktioniert nahtlos und ohne Probleme.
Ich nehme also die Pfsense heraus und verwende stattdessen nur den Cisco RV042 dual WAN VPN router. Bei Bedarf kann ich die Konfiguration posten, damit sie für andere hilfreich ist.
Nochmals vielen Dank aqui, dass du bis zum Ende geblieben bist.
Ich habe hier viel gelernt!!
Es gibt halt viele Wege nach Rom....oder zu einer Lösung. 😉
Generell funktioniert aber eine IPsec VPN Kopplung von pfSense oder OPNsense mit einem Cisco Router fehlerfrei und ohne jegliche Probleme. Und das sowohl für IKEv1 als auch für IKEv2!!
Case closed ! Und bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Generell funktioniert aber eine IPsec VPN Kopplung von pfSense oder OPNsense mit einem Cisco Router fehlerfrei und ohne jegliche Probleme. Und das sowohl für IKEv1 als auch für IKEv2!!
Ich habe hier viel gelernt!!
Das ist die Hauptsache ! 👍Case closed ! Und bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
