14
IKEv2 VPN Authentifizierungsfehler
Hallo und Guten Abend,
folgendes Problem:
Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Leider sagt mir mein Windows-Rechner:
Und die PfSense sagt im Log:
Etwas Googeln brachte micht zum Ergebnis dass entweder das Zertifikat oder der Anmeldename falsch sein. Beide habe ich aber überprüft. Die CA ist unter "Vertrauenswürdige Stammzertifikate" am Client-PC installiert und der Benutzer ist 100% richtig unter "Pre-Shared-Keys ausgewählt.
Irgendwelche Vorschläge?
VG
Christian
folgendes Problem:
Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Leider sagt mir mein Windows-Rechner:
IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.Und die PfSense sagt im Log:
15[ENC] <con4|10> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ] Etwas Googeln brachte micht zum Ergebnis dass entweder das Zertifikat oder der Anmeldename falsch sein. Beide habe ich aber überprüft. Die CA ist unter "Vertrauenswürdige Stammzertifikate" am Client-PC installiert und der Benutzer ist 100% richtig unter "Pre-Shared-Keys ausgewählt.
Irgendwelche Vorschläge?
VG
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327988
Url: https://administrator.de/contentid/327988
Ausgedruckt am: 21.11.2024 um 15:11 Uhr
14 Kommentare
Neuester Kommentar
Leider sagt mir mein Windows-Rechner:
Der Windows Rechner muss das auch sagen, denn der Win bordeigene VPN Client kann nur L2TP was aber die pFSense nicht supportet. Die macht nur native IPsec was bei Windows aber eine externen Client erfrodert wie den Klassiker Shrew Client z.B.Windows selber kann nur L2TO over IPsec was aber nicht mit native IPsec kompatibel ist.
Die Frage also WAS machst du da genau ?? Hast du einen separaten Client ?
Zertifikate spielen keinerlei Rolle wenn du, wie allgemein üblich, mit Preshared Keys (Passwörtern) arbeitest.
Hallo,
habe mich wohl nicht deutlich ausgedrückt...
Ich versuche KEINE L2TP/iPSEC Verbindung aufzubauen. Obwohl ich hier einhacken muss, denn der bordeigene Win VPN Client kann zwar kein natives ipSEC, dafür aber die pfSense L2TP/ipSEC.
Aber zurück zum Thema:
Ich versuche eine IKEv2 - Verbindung herzustellen. Dabei kann man den Boardeigenen Win VPN Client verwenden. (Es muss allerdings die CA als vertrauenswürdige Stammzertifizierungsstelle in Windows installiert werden.
Steht aber so in dieser Anleitung: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Problem ist aber weiterhin, dass irgendwin Authentifizierungsfehler vorliegt...
VG
Christian
habe mich wohl nicht deutlich ausgedrückt...
Ich versuche KEINE L2TP/iPSEC Verbindung aufzubauen. Obwohl ich hier einhacken muss, denn der bordeigene Win VPN Client kann zwar kein natives ipSEC, dafür aber die pfSense L2TP/ipSEC.
Aber zurück zum Thema:
Ich versuche eine IKEv2 - Verbindung herzustellen. Dabei kann man den Boardeigenen Win VPN Client verwenden. (Es muss allerdings die CA als vertrauenswürdige Stammzertifizierungsstelle in Windows installiert werden.
Steht aber so in dieser Anleitung: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Problem ist aber weiterhin, dass irgendwin Authentifizierungsfehler vorliegt...
VG
Christian
Einhacken ?? Warum denn gleich so brutal...? Du meintest sicher den einhaken, oder ?
Das L2TP der pfSense ist aber kein L2TP over IPsec. Da gibt es wieder einen Unterschied. Gut möglich das die mittlerweile auch L2TP over IPsec supporten bis zur 2.3er Version ging das aber nicht da ging nur native L2TP was aber dann wiede rnicht mit dem Win eigenen Client funktioniert.
L2TP ist so ein Problemkind....
Aber du hast ja nun selbst den Thread auf gelöst geklickt, was war denn der goldene Kniff um es zu lösen ??
Das L2TP der pfSense ist aber kein L2TP over IPsec. Da gibt es wieder einen Unterschied. Gut möglich das die mittlerweile auch L2TP over IPsec supporten bis zur 2.3er Version ging das aber nicht da ging nur native L2TP was aber dann wiede rnicht mit dem Win eigenen Client funktioniert.
L2TP ist so ein Problemkind....
Aber du hast ja nun selbst den Thread auf gelöst geklickt, was war denn der goldene Kniff um es zu lösen ??
Also Windows ab 7 kann IPSEC sogar mit IKEv2 mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.
Gruß
Andi
https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.
Gruß
Andi
mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
Aber eben nur im Zusammenhang mit L2TP over IPsec. Er supportet kein native IPsec. Ein großer Unterschied.mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
Aber eben nur im Zusammenhang mit L2TP over IPsec. Er supportet kein native IPsec. Ein großer Unterschied.Also Windows ab 7 kann IPSEC sogar mit IKEv2 mit dem eingebauten Client, wenn auch nicht perfekt bzw. eher umständlich:
https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.
Also ich habe hier ne Windows 7 und 10 Maschiene stehen. Sowohl als auch funktioniert das ganze nicht weil er an der Authentifizierung scheitert. Die CA habe ich bereits unter "Computer" und nicht "Benutzer" installiert. Bin etwas ratlos... Habe die oben verlinkte Anleitung ganz genau befolgt.https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Bezüglich des Fehlers falls der noch existiert bitte prüfen ob die CA unter den Stammzertifizierungstellen der Maschine installiert ist, mit den Benutzer Stammzertifizierungsstellen geht es nämlich nicht. Außerdem prüfen ob die Cipher auch so eingestellt sind wie in der Beschreibung, standardmäßig bietet Windows nämlich nicht viel anderes an.
P.S. DIe Frage ist nicht gelöst, bin nur auf den Button gekommen.
Nach meinen Information supportet der aktuelle, bordeigene VPN Client unter Windows KEIN native IPsec. Es erfordert immer einen 3rd Party Client um das zu realisieren !
Der bordeigene Client kann außer SSL, PPTP nur L2TP over IPsec. Letzteres ist nicht kompatibel zu native IPsec.
Der bordeigene Client kann außer SSL, PPTP nur L2TP over IPsec. Letzteres ist nicht kompatibel zu native IPsec.
Sowohl als auch funktioniert das ganze nicht weil er an der Authentifizierung scheitert.
Ist auch kein Wunder und zu erwarten. Ein L2TP Client kann KEIN native IPsec.P.S. DIe Frage ist nicht gelöst, bin nur auf den Button gekommen.
Das kann man als Thread Owner auch immer wieder rückgängig machen ! Verwirrt leider die Teilnehmer hier Es erfordert immer einen 3rd Party Client um das zu realisieren !
Welcher wäre da zu empfehlen?Der bordeigene Client kann außer SSL, PPTP nur L2TP over IPsec. Letzteres ist nicht kompatibel zu native IPsec.
Warum behaupten dann dieda was anderes?https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#Windows_Client ...
Sowohl als auch funktioniert das ganze nicht weil er an der Authentifizierung scheitert.
Ok. Ok. Ich glaubs ja schon...Ist auch kein Wunder und zu erwarten. Ein L2TP Client kann KEIN native IPsec.
P.S. DIe Frage ist nicht gelöst, bin nur auf den Button gekommen.
Das kann man als Thread Owner auch immer wieder rückgängig machen ! Verwirrt leider die Teilnehmer hierWelchen Client kann ich jetzt guten Gewissens verwenden? shrew Soft?
Offen für Vorschläge
EDIT:
Sicher dass der Windows - CLient das nicht kann.
Laut Microsoft unterstützt der nämlich IPSec/IKEv2 (ohne L2TP), also im Prinzip natives ipSEc.
Siehe hier: https://technet.microsoft.com/de-de/library/ff687731(v=ws.10).aspx
Sicher dass der Windows - CLient das nicht kann.
Laut Microsoft unterstützt der nämlich IPSec/IKEv2 (ohne L2TP), also im Prinzip natives ipSEc.
Siehe hier: https://technet.microsoft.com/de-de/library/ff687731(v=ws.10).aspx
Der in Windows mitgelieferte (Agile) VPN Client kann "natives" IPSEC ohne L2TP seit Windows 7. Wir haben genau das hier mit unserer Pfsense am laufen mit Authentifizierung per Zertifikate.
Folgende Punkte sind wichtig:
- Im Serverzertifikat muss der DNS Name stehen und mit dem in den Einstellungen des VPN Clients übereinstimmen
- Im Client Zertifikat muss der Client Name im subject und als alternate DNS name stehen
Dann sollte es funktionieren.
Gruß
Andi
Folgende Punkte sind wichtig:
- Im Serverzertifikat muss der DNS Name stehen und mit dem in den Einstellungen des VPN Clients übereinstimmen
- Im Client Zertifikat muss der Client Name im subject und als alternate DNS name stehen
Dann sollte es funktionieren.
Gruß
Andi
Wir haben genau das hier mit unserer Pfsense am laufen mit Authentifizierung per Zertifikate.
Das wäre, wenn es denn wirklich stimmt, in jedem Falle doch mal ein Tutorial wert hier. Das wird sicher vielen Usern hier helfen. Für das Gros der User würden simple PSKs reichen.
Wenn tatsächlich Bedarf da ist kann ich mir die Mühe ja mal machen...
Werde mal schauen ob ich nächste Woche in der Mittagspause was auf die Reihe kriege.
Gruß
Andi
Werde mal schauen ob ich nächste Woche in der Mittagspause was auf die Reihe kriege.
Gruß
Andi
Hallo zusammen,
vielen Dank für die Antworten. Da die Verbindung schnell stehen musste, hab ich mich kurzfristig für OpenVPN entschieden (was übrigens hervorragend funktionier).
Dennoch der Vollständigkeit halber der Grund an dem es meines Erachtens gelegen hätte:
VG
Christian
vielen Dank für die Antworten. Da die Verbindung schnell stehen musste, hab ich mich kurzfristig für OpenVPN entschieden (was übrigens hervorragend funktionier).
Dennoch der Vollständigkeit halber der Grund an dem es meines Erachtens gelegen hätte:
Im Serverzertifikat muss der DNS Name stehen und mit dem in den Einstellungen des VPN Clients übereinstimmen
Das habe ich gemacht.Im Client Zertifikat muss der Client Name im subject und als alternate DNS name stehen
Hier hängt es... aber was ist denn der "Client Name" ? Computername?VG
Christian
Der "Client Name" ist im Prinzip lediglich ein String, nicht zwingend der Hostname oder gar der FQDN. Wichtig ist das dieser "Client Name" eindeutig ist und identisch sowohl im "Common Name" als auch im "Alternate Name" (FQDN or Hostname) eingetragen wird. Wir setzen diesen Name auch noch als "Descriptive name" wobei ich keine Ahnung habe ob das an der Stelle notwendig ist oder nicht.
Gruß
Andi
Gruß
Andi
