IKEv2 VPN Authentifizierungsfehler
Hallo und Guten Abend,
folgendes Problem:
Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Leider sagt mir mein Windows-Rechner:
Und die PfSense sagt im Log:
Etwas Googeln brachte micht zum Ergebnis dass entweder das Zertifikat oder der Anmeldename falsch sein. Beide habe ich aber überprüft. Die CA ist unter "Vertrauenswürdige Stammzertifikate" am Client-PC installiert und der Benutzer ist 100% richtig unter "Pre-Shared-Keys ausgewählt.
Irgendwelche Vorschläge?
VG
Christian
folgendes Problem:
Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Leider sagt mir mein Windows-Rechner:
IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.
Und die PfSense sagt im Log:
15[ENC] <con4|10> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Etwas Googeln brachte micht zum Ergebnis dass entweder das Zertifikat oder der Anmeldename falsch sein. Beide habe ich aber überprüft. Die CA ist unter "Vertrauenswürdige Stammzertifikate" am Client-PC installiert und der Benutzer ist 100% richtig unter "Pre-Shared-Keys ausgewählt.
Irgendwelche Vorschläge?
VG
Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327988
Url: https://administrator.de/forum/ikev2-vpn-authentifizierungsfehler-327988.html
Ausgedruckt am: 27.12.2024 um 19:12 Uhr
14 Kommentare
Neuester Kommentar
Leider sagt mir mein Windows-Rechner:
Der Windows Rechner muss das auch sagen, denn der Win bordeigene VPN Client kann nur L2TP was aber die pFSense nicht supportet. Die macht nur native IPsec was bei Windows aber eine externen Client erfrodert wie den Klassiker Shrew Client z.B.Windows selber kann nur L2TO over IPsec was aber nicht mit native IPsec kompatibel ist.
Die Frage also WAS machst du da genau ?? Hast du einen separaten Client ?
Zertifikate spielen keinerlei Rolle wenn du, wie allgemein üblich, mit Preshared Keys (Passwörtern) arbeitest.
Einhacken ?? Warum denn gleich so brutal...? Du meintest sicher den einhaken, oder ?
Das L2TP der pfSense ist aber kein L2TP over IPsec. Da gibt es wieder einen Unterschied. Gut möglich das die mittlerweile auch L2TP over IPsec supporten bis zur 2.3er Version ging das aber nicht da ging nur native L2TP was aber dann wiede rnicht mit dem Win eigenen Client funktioniert.
L2TP ist so ein Problemkind....
Aber du hast ja nun selbst den Thread auf gelöst geklickt, was war denn der goldene Kniff um es zu lösen ??
Das L2TP der pfSense ist aber kein L2TP over IPsec. Da gibt es wieder einen Unterschied. Gut möglich das die mittlerweile auch L2TP over IPsec supporten bis zur 2.3er Version ging das aber nicht da ging nur native L2TP was aber dann wiede rnicht mit dem Win eigenen Client funktioniert.
L2TP ist so ein Problemkind....
Aber du hast ja nun selbst den Thread auf gelöst geklickt, was war denn der goldene Kniff um es zu lösen ??
Also Windows ab 7 kann IPSEC sogar mit IKEv2 mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.
Gruß
Andi
https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.
Gruß
Andi
Nach meinen Information supportet der aktuelle, bordeigene VPN Client unter Windows KEIN native IPsec. Es erfordert immer einen 3rd Party Client um das zu realisieren !
Der bordeigene Client kann außer SSL, PPTP nur L2TP over IPsec. Letzteres ist nicht kompatibel zu native IPsec.
Der bordeigene Client kann außer SSL, PPTP nur L2TP over IPsec. Letzteres ist nicht kompatibel zu native IPsec.
Sowohl als auch funktioniert das ganze nicht weil er an der Authentifizierung scheitert.
Ist auch kein Wunder und zu erwarten. Ein L2TP Client kann KEIN native IPsec.P.S. DIe Frage ist nicht gelöst, bin nur auf den Button gekommen.
Das kann man als Thread Owner auch immer wieder rückgängig machen ! Verwirrt leider die Teilnehmer hier
Der in Windows mitgelieferte (Agile) VPN Client kann "natives" IPSEC ohne L2TP seit Windows 7. Wir haben genau das hier mit unserer Pfsense am laufen mit Authentifizierung per Zertifikate.
Folgende Punkte sind wichtig:
- Im Serverzertifikat muss der DNS Name stehen und mit dem in den Einstellungen des VPN Clients übereinstimmen
- Im Client Zertifikat muss der Client Name im subject und als alternate DNS name stehen
Dann sollte es funktionieren.
Gruß
Andi
Folgende Punkte sind wichtig:
- Im Serverzertifikat muss der DNS Name stehen und mit dem in den Einstellungen des VPN Clients übereinstimmen
- Im Client Zertifikat muss der Client Name im subject und als alternate DNS name stehen
Dann sollte es funktionieren.
Gruß
Andi
Der "Client Name" ist im Prinzip lediglich ein String, nicht zwingend der Hostname oder gar der FQDN. Wichtig ist das dieser "Client Name" eindeutig ist und identisch sowohl im "Common Name" als auch im "Alternate Name" (FQDN or Hostname) eingetragen wird. Wir setzen diesen Name auch noch als "Descriptive name" wobei ich keine Ahnung habe ob das an der Stelle notwendig ist oder nicht.
Gruß
Andi
Gruß
Andi