androxin
Goto Top

IOS stellt keine Verbindung zu IKEv2 VPN auf pfSense her

Moin,

ich habe vor längerer Zeit auf einer pfSense 2.3 einen IPsec VPN Server (IKE V2, EAP-MSChapv2) eingerichtet.
Die Konfiguration habe ich exakt anhand dieses Tutorials durchgeführt: https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2

Bei der Umsetzung habe ich besonders auf folgende Konfigurationen geachtet, da diese iOS/OS X spezifisch sind:
Phase 1:
Encryption algorithm: 3DES
Hash algorithm: SHA 1

Phase 2:
Encryption algorithms AES Auto und 3DES

Windows 7/10 Betriebssysteme können sich ohne Probleme mit der pfSense verbinden. Alles prima.
Mit einen iPad (iOS 10.1) kann ich mich dagegen nicht verbinden. Der Button in den Einstellungen wechselt immer nur für den Bruchteil einer Sekunde auf "verbinden..." und geht dann wieder aus.

Das iPad habe ich gemäß dieser Anleitung (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#iOS_9.2B_Setup ..) eingerichtet.


Im Log der pfSense gibt es bei so einem Verbindungsversuch folgende Einträge:

Jan 18 12:18:11	charon		08[JOB] <con1|197> deleting half open IKE_SA after timeout
Jan 18 12:17:42	charon		13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (280 bytes)
Jan 18 12:17:42	charon		13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (544 bytes)
Jan 18 12:17:42	charon		13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (544 bytes)
Jan 18 12:17:42	charon		13[NET] <con1|197> sending packet: from 201.08.15.23[4500] to 13.37.13.37[61621] (544 bytes)
Jan 18 12:17:42	charon		13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(4/4) ]
Jan 18 12:17:42	charon		13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(3/4) ]
Jan 18 12:17:42	charon		13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(2/4) ]
Jan 18 12:17:42	charon		13[ENC] <con1|197> generating IKE_AUTH response 1 [ EF(1/4) ]
Jan 18 12:17:42	charon		13[ENC] <con1|197> splitting IKE message with length of 1740 bytes into 4 fragments
Jan 18 12:17:42	charon		13[ENC] <con1|197> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Jan 18 12:17:42	charon		13[IKE] <con1|197> sending end entity cert "C=DE, ST=Hamburg, L=Hamburg, O=Die Firma GmbH, E=admin@die-firma.de, CN=vpn.die-firma.de"  
Jan 18 12:17:42	charon		13[IKE] <con1|197> authentication of 'vpn.die-firma.de' (myself) with RSA signature successful  
Jan 18 12:17:42	charon		13[IKE] <con1|197> peer supports MOBIKE, but disabled in config
Jan 18 12:17:42	charon		13[IKE] <con1|197> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Jan 18 12:17:42	charon		13[IKE] <con1|197> initiating EAP_IDENTITY method (id 0x00)
Jan 18 12:17:42	charon		13[CFG] <con1|197> selected peer config 'con1'  
Jan 18 12:17:42	charon		13[CFG] <197> looking for peer configs matching 201.08.15.23[vpn.die-firma.de]...13.37.13.37[192.168.112.50]
Jan 18 12:17:42	charon		13[ENC] <197> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Jan 18 12:17:42	charon		13[NET] <197> received packet: from 13.37.13.37[61621] to 201.08.15.23[4500] (492 bytes)
Jan 18 12:17:41	charon		13[NET] <197> sending packet: from 201.08.15.23[500] to 13.37.13.37[61620] (341 bytes)
Jan 18 12:17:41	charon		13[ENC] <197> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Jan 18 12:17:41	charon		13[IKE] <197> sending cert request for "C=DE, ST=Hamburg, L=Hamburg, O=Die Firma GmbH, E=admin@die-firma.de, CN=internal-ca"  
Jan 18 12:17:41	charon		13[IKE] <197> remote host is behind NAT
Jan 18 12:17:41	charon		13[IKE] <197> 13.37.13.37 is initiating an IKE_SA
Jan 18 12:17:41	charon		13[ENC] <197> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Jan 18 12:17:41	charon		13[NET] <197> received packet: from 13.37.13.37[61620] to 201.08.15.23[500] (476 bytes)
Jan 18 12:17:41	charon		11[NET] <196> sending packet: from 201.08.15.23[500] to 13.37.13.37[61620] (38 bytes)
Jan 18 12:17:41	charon		11[ENC] <196> generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Jan 18 12:17:41	charon		11[IKE] <196> DH group MODP_2048 inacceptable, requesting MODP_1024
Jan 18 12:17:41	charon		11[IKE] <196> remote host is behind NAT
Jan 18 12:17:41	charon		11[IKE] <196> 13.37.13.37 is initiating an IKE_SA
Jan 18 12:17:41	charon		11[ENC] <196> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Jan 18 12:17:41	charon		11[NET] <196> received packet: from 13.37.13.37[61620] to 201.08.15.23[500] (604 bytes)


Mir sind da direkt die Einträge "DH group MODP_2048 inacceptable, requesting MODP_1024", "received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding" und "peer supports MOBIKE, but disabled in config" ins Auge gefallen, da diese etwas negatives beschreiben. Allerdings reichen meine Kenntnisse über IPSec nicht aus, um die Einträge zu deuten.


Hat jemand eine Idee, an welcher Stelle es klemmen könnte?
Gibt es die Möglichkeit aus dem iPad noch weitere Informationen zu gewinnen? Fehlermeldungen? Logs?

Vielen Dank schon einmal.

Content-ID: 326730

Url: https://administrator.de/forum/ios-stellt-keine-verbindung-zu-ikev2-vpn-auf-pfsense-her-326730.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

brammer
brammer 18.01.2017 um 12:51:30 Uhr
Goto Top
Hallo,

DH group MODP_2048 inacceptable, requesting MODP_1024", "

sagt doch deutlich um was es geht
Die Diffie Hellman group mit 2048 Bit Key wird nicht akzeptiert .... er benötigt einen 1024 bit Schlüssel...

brammer
Pjordorf
Pjordorf 18.01.2017 um 12:53:08 Uhr
Goto Top
Hallo,

Zitat von @Androxin:
Das iPad habe ich gemäß dieser Anleitung (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2#iOS_9.2B_Setup ..) eingerichtet.
Deine Anleitung bezieht sich da auf das iOS 9.2. Dein genutztes iOS ist aber schon 10.xxx. Apfel hat einiges in der 10er Version geändert. PPPT z.B. wurde ersatzlos entfernt. Ob sich da noch mehr geändert hat?
http://www.techradar.com/news/phone-and-communications/mobile-phones/io ...
https://9to5mac.com/2016/09/13/ios-10-new-features/
http://www.macworld.co.uk/review/ios-apps/ios-10-vs-ios-9-comparison-re ...
https://www.heise.de/security/meldung/iOS-10-und-macOS-Sierra-Apple-schn ...

Gruß,
Peter
aqui
aqui 18.01.2017 aktualisiert um 13:36:31 Uhr
Goto Top
Das Tutorial dazu hast du gelesen ?
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Rennt fehlerfrei mit iOS 10.x
Androxin
Androxin 18.01.2017 um 14:13:13 Uhr
Goto Top
In der Phase 1 ist die DH Group auf 2 (1024 bit) gestellt.

Wo kommen denn die 2048 her?
Androxin
Androxin 18.01.2017 um 14:16:03 Uhr
Goto Top
Laut diesem Dokument (https://support.apple.com/de-de/HT201533) müsste es eigentlich funktionieren:

Ihr Gerät kann die folgenden Protokolle und Authentifizierungsmethoden nutzen:
L2TP/IPSec mit Benutzerauthentifizierung durch MS-CHAPV2-Passwort, RSA SecurID oder CryptoCard sowie Geräteauthentifizierung durch Shared Secret (symmetrischer Schlüssel).
Androxin
Androxin 31.01.2017 um 22:26:38 Uhr
Goto Top
Hallo, ich bin das Tutorial gerade mal durchgegagen.

In deiner Anleitung verwendest du IKE v1. Das beherrscht das iPad nicht mehr (nur noch IKEv2 (ohne PreShared Key), IPSec, L2TP).

Ändert man die Einstellung in der pfSense einfach von v1 nach v2, kann das iPad auch nichts damit anfangen. Außerdem gibt es dort gar keine Möglichkeit den in deinem Tutorial verwendeten PreShared Key einzugeben. Es gibt nur einen Benutzernamen oder wahlweise ein Zertifikat.
aqui
aqui 01.02.2017 um 10:11:51 Uhr
Goto Top
Böses Faul... Danke für den Hinweis. Ist mir noch gar nicht aufgefallen. Ich werde die Konfig dementsprechend auf IKEv2 anpassen.
Androxin
Androxin 02.02.2017 um 07:29:18 Uhr
Goto Top
Laut dieses Threads sollte mein ursprünglicher Plan übrigens auf gehen.
Leider tut er das nicht.

Könnte es ggf. damit zutun haben, dass ich bei der Erstellung des Zertifikats nur einen CommonName (vpn.firma.de) und kein SAN vergeben habe?
aqui
aqui 15.02.2017 aktualisiert um 14:52:35 Uhr
Goto Top
Könnte gut sein. Ich teste das mal mit IKEv2. Obwohl ich die Konfig aus dem Tutorial mit dem aktuell letzten iOS auf einem iPhone 5s getestet habe.
Das sollte ja dann auch nur IKEv2 können wie das iPad. Möglich aber das das in den zig Szenarien hier mit dem Cisco verwechselt hatte und den dahinter hatte... Zu viele Tunnel IPs hier... face-wink
Androxin
Androxin 15.02.2017 um 15:14:42 Uhr
Goto Top
Hey,

doch, das iPad kann ikev2. Allerdings gibt es schlicht kein Eingabefeld für einen PSK. Zumindest habe ich noch keines gefunden.

Über den Apple Configurator soll es wohl trotzdem gehen...
aqui
aqui 23.02.2017 um 13:22:35 Uhr
Goto Top
Es gibt ein aktuelles IKEv2 HowTo im pfSense Forum:
https://forum.pfsense.org/index.php?topic=106433.0
Mit der aktuellen iOS Version 10.2.1 getestet und rennt fehlerlos !
Androxin
Androxin 23.02.2017 um 15:30:19 Uhr
Goto Top
Hey, vielen Dank für den Hinweis.

Das ist aber wieder mit User Zertifikat. face-sad