IOS stellt keine Verbindung zu IKEv2 VPN auf pfSense her
Moin,
ich habe vor längerer Zeit auf einer pfSense 2.3 einen IPsec VPN Server (IKE V2, EAP-MSChapv2) eingerichtet.
Die Konfiguration habe ich exakt anhand dieses Tutorials durchgeführt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Bei der Umsetzung habe ich besonders auf folgende Konfigurationen geachtet, da diese iOS/OS X spezifisch sind:
Phase 1:
Encryption algorithm: 3DES
Hash algorithm: SHA 1
Phase 2:
Encryption algorithms AES Auto und 3DES
Windows 7/10 Betriebssysteme können sich ohne Probleme mit der pfSense verbinden. Alles prima.
Mit einen iPad (iOS 10.1) kann ich mich dagegen nicht verbinden. Der Button in den Einstellungen wechselt immer nur für den Bruchteil einer Sekunde auf "verbinden..." und geht dann wieder aus.
Das iPad habe ich gemäß dieser Anleitung (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#iOS_9.2B_Setup ..) eingerichtet.
Im Log der pfSense gibt es bei so einem Verbindungsversuch folgende Einträge:
Mir sind da direkt die Einträge "DH group MODP_2048 inacceptable, requesting MODP_1024", "received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding" und "peer supports MOBIKE, but disabled in config" ins Auge gefallen, da diese etwas negatives beschreiben. Allerdings reichen meine Kenntnisse über IPSec nicht aus, um die Einträge zu deuten.
Hat jemand eine Idee, an welcher Stelle es klemmen könnte?
Gibt es die Möglichkeit aus dem iPad noch weitere Informationen zu gewinnen? Fehlermeldungen? Logs?
Vielen Dank schon einmal.
ich habe vor längerer Zeit auf einer pfSense 2.3 einen IPsec VPN Server (IKE V2, EAP-MSChapv2) eingerichtet.
Die Konfiguration habe ich exakt anhand dieses Tutorials durchgeführt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
Bei der Umsetzung habe ich besonders auf folgende Konfigurationen geachtet, da diese iOS/OS X spezifisch sind:
Phase 1:
Encryption algorithm: 3DES
Hash algorithm: SHA 1
Phase 2:
Encryption algorithms AES Auto und 3DES
Windows 7/10 Betriebssysteme können sich ohne Probleme mit der pfSense verbinden. Alles prima.
Mit einen iPad (iOS 10.1) kann ich mich dagegen nicht verbinden. Der Button in den Einstellungen wechselt immer nur für den Bruchteil einer Sekunde auf "verbinden..." und geht dann wieder aus.
Das iPad habe ich gemäß dieser Anleitung (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#iOS_9.2B_Setup ..) eingerichtet.
Im Log der pfSense gibt es bei so einem Verbindungsversuch folgende Einträge:
Jan 18 12:18:11 charon 08[JOB] <con1|197> deleting half open IKE_SA after timeout
Jan 18 12:17:42 charon 13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (280 bytes)
Jan 18 12:17:42 charon 13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (544 bytes)
Jan 18 12:17:42 charon 13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (544 bytes)
Jan 18 12:17:42 charon 13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (544 bytes)
Jan 18 12:17:42 charon 13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(4/4) ]
Jan 18 12:17:42 charon 13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(3/4) ]
Jan 18 12:17:42 charon 13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(2/4) ]
Jan 18 12:17:42 charon 13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(1/4) ]
Jan 18 12:17:42 charon 13[ENC] <con1|197> splitting IKE message with length of 1740 bytes into 4 fragments
Jan 18 12:17:42 charon 13[ENC] <con1|197> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Jan 18 12:17:42 charon 13[IKE] <con1|197> sending end entity cert "C=DE, ST=Hamburg, L=Hamburg, O=Die Firma GmbH, E=admin@die-firma.de, CN=vpn.die-firma.de"
Jan 18 12:17:42 charon 13[IKE] <con1|197> authentication of 'vpn.die-firma.de' (myself) with RSA signature successful
Jan 18 12:17:42 charon 13[IKE] <con1|197> peer supports MOBIKE, but disabled in config
Jan 18 12:17:42 charon 13[IKE] <con1|197> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Jan 18 12:17:42 charon 13[IKE] <con1|197> initiating EAP_IDENTITY method (id 0x00)
Jan 18 12:17:42 charon 13[CFG] <con1|197> selected peer config 'con1'
Jan 18 12:17:42 charon 13[CFG] <197> looking for peer configs matching 201.08.15.23[vpn.die-firma.de]...13.37.13.37[192.168.112.50]
Jan 18 12:17:42 charon 13[ENC] <197> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Jan 18 12:17:42 charon 13[NET] <197> received packet: from 13.37.13.37[61621] to 201.08.15.23[4500] (492 bytes)
Jan 18 12:17:41 charon 13[NET] <197> sending packet: from 201.08.15.23[500] to 13.37.13.37[61620] (341 bytes)
Jan 18 12:17:41 charon 13[ENC] <197> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Jan 18 12:17:41 charon 13[IKE] <197> sending cert request for "C=DE, ST=Hamburg, L=Hamburg, O=Die Firma GmbH, E=admin@die-firma.de, CN=internal-ca"
Jan 18 12:17:41 charon 13[IKE] <197> remote host is behind NAT
Jan 18 12:17:41 charon 13[IKE] <197> 13.37.13.37 is initiating an IKE_SA
Jan 18 12:17:41 charon 13[ENC] <197> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Jan 18 12:17:41 charon 13[NET] <197> received packet: from 13.37.13.37[61620] to 201.08.15.23[500] (476 bytes)
Jan 18 12:17:41 charon 11[NET] <196> sending packet: from 201.08.15.23[500] to 13.37.13.37[61620] (38 bytes)
Jan 18 12:17:41 charon 11[ENC] <196> generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Jan 18 12:17:41 charon 11[IKE] <196> DH group MODP_2048 inacceptable, requesting MODP_1024
Jan 18 12:17:41 charon 11[IKE] <196> remote host is behind NAT
Jan 18 12:17:41 charon 11[IKE] <196> 13.37.13.37 is initiating an IKE_SA
Jan 18 12:17:41 charon 11[ENC] <196> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Jan 18 12:17:41 charon 11[NET] <196> received packet: from 13.37.13.37[61620] to 201.08.15.23[500] (604 bytes)
Mir sind da direkt die Einträge "DH group MODP_2048 inacceptable, requesting MODP_1024", "received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding" und "peer supports MOBIKE, but disabled in config" ins Auge gefallen, da diese etwas negatives beschreiben. Allerdings reichen meine Kenntnisse über IPSec nicht aus, um die Einträge zu deuten.
Hat jemand eine Idee, an welcher Stelle es klemmen könnte?
Gibt es die Möglichkeit aus dem iPad noch weitere Informationen zu gewinnen? Fehlermeldungen? Logs?
Vielen Dank schon einmal.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 326730
Url: https://administrator.de/forum/ios-stellt-keine-verbindung-zu-ikev2-vpn-auf-pfsense-her-326730.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
http://www.techradar.com/news/phone-and-communications/mobile-phones/io ...
https://9to5mac.com/2016/09/13/ios-10-new-features/
http://www.macworld.co.uk/review/ios-apps/ios-10-vs-ios-9-comparison-re ...
https://www.heise.de/security/meldung/iOS-10-und-macOS-Sierra-Apple-schn ...
Gruß,
Peter
Zitat von @Androxin:
Das iPad habe ich gemäß dieser Anleitung (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#iOS_9.2B_Setup ..) eingerichtet.
Deine Anleitung bezieht sich da auf das iOS 9.2. Dein genutztes iOS ist aber schon 10.xxx. Apfel hat einiges in der 10er Version geändert. PPPT z.B. wurde ersatzlos entfernt. Ob sich da noch mehr geändert hat?Das iPad habe ich gemäß dieser Anleitung (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#iOS_9.2B_Setup ..) eingerichtet.
http://www.techradar.com/news/phone-and-communications/mobile-phones/io ...
https://9to5mac.com/2016/09/13/ios-10-new-features/
http://www.macworld.co.uk/review/ios-apps/ios-10-vs-ios-9-comparison-re ...
https://www.heise.de/security/meldung/iOS-10-und-macOS-Sierra-Apple-schn ...
Gruß,
Peter
Das Tutorial dazu hast du gelesen ?
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Rennt fehlerfrei mit iOS 10.x
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Rennt fehlerfrei mit iOS 10.x
Könnte gut sein. Ich teste das mal mit IKEv2. Obwohl ich die Konfig aus dem Tutorial mit dem aktuell letzten iOS auf einem iPhone 5s getestet habe.
Das sollte ja dann auch nur IKEv2 können wie das iPad. Möglich aber das das in den zig Szenarien hier mit dem Cisco verwechselt hatte und den dahinter hatte... Zu viele Tunnel IPs hier...
Das sollte ja dann auch nur IKEv2 können wie das iPad. Möglich aber das das in den zig Szenarien hier mit dem Cisco verwechselt hatte und den dahinter hatte... Zu viele Tunnel IPs hier...
Es gibt ein aktuelles IKEv2 HowTo im pfSense Forum:
https://forum.pfsense.org/index.php?topic=106433.0
Mit der aktuellen iOS Version 10.2.1 getestet und rennt fehlerlos !
https://forum.pfsense.org/index.php?topic=106433.0
Mit der aktuellen iOS Version 10.2.1 getestet und rennt fehlerlos !