bmitsol
Goto Top

IKEv2 VPN Authentifizierungsfehler

Hallo und Guten Abend,

folgendes Problem:

Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2

Leider sagt mir mein Windows-Rechner:
IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.

Und die PfSense sagt im Log:
15[ENC] <con4|10> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ] 

Etwas Googeln brachte micht zum Ergebnis dass entweder das Zertifikat oder der Anmeldename falsch sein. Beide habe ich aber überprüft. Die CA ist unter "Vertrauenswürdige Stammzertifikate" am Client-PC installiert und der Benutzer ist 100% richtig unter "Pre-Shared-Keys ausgewählt.


Irgendwelche Vorschläge?


VG
Christian

Content-Key: 327988

Url: https://administrator.de/contentid/327988

Printed on: July 14, 2024 at 16:07 o'clock

Member: aqui
aqui Jan 30, 2017 updated at 20:04:14 (UTC)
Goto Top
Leider sagt mir mein Windows-Rechner:
Der Windows Rechner muss das auch sagen, denn der Win bordeigene VPN Client kann nur L2TP was aber die pFSense nicht supportet. Die macht nur native IPsec was bei Windows aber eine externen Client erfrodert wie den Klassiker Shrew Client z.B.
Windows selber kann nur L2TO over IPsec was aber nicht mit native IPsec kompatibel ist.
Die Frage also WAS machst du da genau ?? Hast du einen separaten Client ?
Zertifikate spielen keinerlei Rolle wenn du, wie allgemein üblich, mit Preshared Keys (Passwörtern) arbeitest.
Member: bmitsol
bmitsol Jan 30, 2017 at 20:54:18 (UTC)
Goto Top
Hallo,

habe mich wohl nicht deutlich ausgedrückt...

Ich versuche KEINE L2TP/iPSEC Verbindung aufzubauen. Obwohl ich hier einhacken muss, denn der bordeigene Win VPN Client kann zwar kein natives ipSEC, dafür aber die pfSense L2TP/ipSEC.

Aber zurück zum Thema:
Ich versuche eine IKEv2 - Verbindung herzustellen. Dabei kann man den Boardeigenen Win VPN Client verwenden. (Es muss allerdings die CA als vertrauenswürdige Stammzertifizierungsstelle in Windows installiert werden.

Steht aber so in dieser Anleitung: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2

Problem ist aber weiterhin, dass irgendwin Authentifizierungsfehler vorliegt...


VG
Christian
Member: aqui
aqui Jan 31, 2017 at 08:36:53 (UTC)
Goto Top
Einhacken ?? Warum denn gleich so brutal...? Du meintest sicher den einhaken, oder ?
Das L2TP der pfSense ist aber kein L2TP over IPsec. Da gibt es wieder einen Unterschied. Gut möglich das die mittlerweile auch L2TP over IPsec supporten bis zur 2.3er Version ging das aber nicht da ging nur native L2TP was aber dann wiede rnicht mit dem Win eigenen Client funktioniert.
L2TP ist so ein Problemkind....

Aber du hast ja nun selbst den Thread auf gelöst geklickt, was war denn der goldene Kniff um es zu lösen ??
Member: AndiEoh
AndiEoh Jan 31, 2017 at 11:03:47 (UTC)
Goto Top
Also Windows ab 7 kann IPSEC sogar mit IKEv2 mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:

https://wiki.strongswan.org/projects/strongswan/wiki/Windows7

Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.

Gruß

Andi
Member: aqui
aqui Feb 01, 2017 at 09:28:27 (UTC)
Goto Top
mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
Aber eben nur im Zusammenhang mit L2TP over IPsec. Er supportet kein native IPsec. Ein großer Unterschied.
Member: bmitsol
bmitsol Feb 02, 2017 at 08:00:32 (UTC)
Goto Top
mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
Aber eben nur im Zusammenhang mit L2TP over IPsec. Er supportet kein native IPsec. Ein großer Unterschied.
Sicher? Ist es nicht so dass der integrierte Client mit IKEv2 natives iPSec unterstützt?

Also Windows ab 7 kann IPSEC sogar mit IKEv2 mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.
Also ich habe hier ne Windows 7 und 10 Maschiene stehen. Sowohl als auch funktioniert das ganze nicht weil er an der Authentifizierung scheitert. Die CA habe ich bereits unter "Computer" und nicht "Benutzer" installiert. Bin etwas ratlos... Habe die oben verlinkte Anleitung ganz genau befolgt.


P.S. DIe Frage ist nicht gelöst, bin nur auf den Button gekommen.
Member: aqui
aqui Feb 02, 2017 at 08:16:56 (UTC)
Goto Top
Nach meinen Information supportet der aktuelle, bordeigene VPN Client unter Windows KEIN native IPsec. Es erfordert immer einen 3rd Party Client um das zu realisieren !
Der bordeigene Client kann außer SSL, PPTP nur L2TP over IPsec. Letzteres ist nicht kompatibel zu native IPsec.
Sowohl als auch funktioniert das ganze nicht weil er an der Authentifizierung scheitert.
Ist auch kein Wunder und zu erwarten. Ein L2TP Client kann KEIN native IPsec.
P.S. DIe Frage ist nicht gelöst, bin nur auf den Button gekommen.
Das kann man als Thread Owner auch immer wieder rückgängig machen ! Verwirrt leider die Teilnehmer hier face-sad
Member: bmitsol
bmitsol Feb 04, 2017 at 09:23:02 (UTC)
Goto Top
Es erfordert immer einen 3rd Party Client um das zu realisieren !
Welcher wäre da zu empfehlen?

Der bordeigene Client kann außer SSL, PPTP nur L2TP over IPsec. Letzteres ist nicht kompatibel zu native IPsec.
Warum behaupten dann dieda was anderes?
https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#Windows_Client ...

Sowohl als auch funktioniert das ganze nicht weil er an der Authentifizierung scheitert.
Ist auch kein Wunder und zu erwarten. Ein L2TP Client kann KEIN native IPsec.
Ok. Ok. Ich glaubs ja schon...

P.S. DIe Frage ist nicht gelöst, bin nur auf den Button gekommen.
Das kann man als Thread Owner auch immer wieder rückgängig machen ! Verwirrt leider die Teilnehmer hier
Jap, hab ich auch gefunden, ist wieder auf ungelöst...

Welchen Client kann ich jetzt guten Gewissens verwenden? shrew Soft?

Offen für Vorschläge face-smile
Member: bmitsol
bmitsol Feb 04, 2017 at 11:05:02 (UTC)
Goto Top
EDIT:

Sicher dass der Windows - CLient das nicht kann.

Laut Microsoft unterstützt der nämlich IPSec/IKEv2 (ohne L2TP), also im Prinzip natives ipSEc.

Siehe hier: https://technet.microsoft.com/de-de/library/ff687731(v=ws.10).aspx
Member: AndiEoh
AndiEoh Feb 04, 2017 at 12:52:48 (UTC)
Goto Top
Der in Windows mitgelieferte (Agile) VPN Client kann "natives" IPSEC ohne L2TP seit Windows 7. Wir haben genau das hier mit unserer Pfsense am laufen mit Authentifizierung per Zertifikate.

Folgende Punkte sind wichtig:

- Im Serverzertifikat muss der DNS Name stehen und mit dem in den Einstellungen des VPN Clients übereinstimmen
- Im Client Zertifikat muss der Client Name im subject und als alternate DNS name stehen

Dann sollte es funktionieren.

Gruß

Andi
Member: aqui
aqui Feb 04, 2017 at 19:05:10 (UTC)
Goto Top
Wir haben genau das hier mit unserer Pfsense am laufen mit Authentifizierung per Zertifikate.
Das wäre, wenn es denn wirklich stimmt, in jedem Falle doch mal ein Tutorial wert hier. face-smile
Das wird sicher vielen Usern hier helfen. Für das Gros der User würden simple PSKs reichen.
Member: AndiEoh
AndiEoh Feb 05, 2017 at 12:16:40 (UTC)
Goto Top
Wenn tatsächlich Bedarf da ist kann ich mir die Mühe ja mal machen...

Werde mal schauen ob ich nächste Woche in der Mittagspause was auf die Reihe kriege.

Gruß

Andi
Member: bmitsol
bmitsol Feb 06, 2017 at 13:51:00 (UTC)
Goto Top
Hallo zusammen,

vielen Dank für die Antworten. Da die Verbindung schnell stehen musste, hab ich mich kurzfristig für OpenVPN entschieden (was übrigens hervorragend funktionier).

Dennoch der Vollständigkeit halber der Grund an dem es meines Erachtens gelegen hätte:

Im Serverzertifikat muss der DNS Name stehen und mit dem in den Einstellungen des VPN Clients übereinstimmen
Das habe ich gemacht.

Im Client Zertifikat muss der Client Name im subject und als alternate DNS name stehen
Hier hängt es... aber was ist denn der "Client Name" ? Computername?


VG
Christian
Member: AndiEoh
AndiEoh Feb 07, 2017 at 14:05:31 (UTC)
Goto Top
Der "Client Name" ist im Prinzip lediglich ein String, nicht zwingend der Hostname oder gar der FQDN. Wichtig ist das dieser "Client Name" eindeutig ist und identisch sowohl im "Common Name" als auch im "Alternate Name" (FQDN or Hostname) eingetragen wird. Wir setzen diesen Name auch noch als "Descriptive name" wobei ich keine Ahnung habe ob das an der Stelle notwendig ist oder nicht.

Gruß

Andi