IPsec mobiler Nutzer ipV4 Verkehr via ipV6 Tunnel pfsense
Hallo zusammen,
folgend der Anleitung IPsec mobile VPN konnte ich Grundsätzlich eine Verbindung zwischen Handy and PFsense via IPsec IKEv2 aufbauen. Mein Internetprovider Deutsche Glasfaser bietet nur eine öffentliche IPv6 Adresse, da das inzwischen auch von den meisten Mobilfunkanbietern unterstützt wird sollte das aber kein Hindernis mehr sein um auf Heimnetz zuzugreifen.
Beide Endpunkte (Android 12 StrongSwan, PFsense) unterstützen V6 und die Verbindung wird auch aufgebaut. Über diesen V6 Tunnel möchte ich dann V4 Traffic leiten. Der Screenshot oben zeigt die Aufgebaute Verbindung Tunnel endpoints V6, SRC / DST V4. Nur gehen keinen Daten über die Verbindung.
Als Referenz mit OpenVPN funktioniert es in dem Scenario, mir ist nicht klar was ich für IPSec ergänzen müsste..
Dank dem Hinweis von @aqui habe ich die Verbindung dann auf VTI umgestellt, allerdings scheint es hier ein Problem mit der Vergabe der IPs zu geben, "no virtual IP found"
Unter Client Configuration (mode-cfg) sind virtuelle Adresspools konfiguriert.
Gibt es noch eine andere Stelle wo ich die Adressen konfigurieren muss?
Danke & Gruß
folgend der Anleitung IPsec mobile VPN konnte ich Grundsätzlich eine Verbindung zwischen Handy and PFsense via IPsec IKEv2 aufbauen. Mein Internetprovider Deutsche Glasfaser bietet nur eine öffentliche IPv6 Adresse, da das inzwischen auch von den meisten Mobilfunkanbietern unterstützt wird sollte das aber kein Hindernis mehr sein um auf Heimnetz zuzugreifen.
Beide Endpunkte (Android 12 StrongSwan, PFsense) unterstützen V6 und die Verbindung wird auch aufgebaut. Über diesen V6 Tunnel möchte ich dann V4 Traffic leiten. Der Screenshot oben zeigt die Aufgebaute Verbindung Tunnel endpoints V6, SRC / DST V4. Nur gehen keinen Daten über die Verbindung.
Als Referenz mit OpenVPN funktioniert es in dem Scenario, mir ist nicht klar was ich für IPSec ergänzen müsste..
Dank dem Hinweis von @aqui habe ich die Verbindung dann auf VTI umgestellt, allerdings scheint es hier ein Problem mit der Vergabe der IPs zu geben, "no virtual IP found"
....
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> IKE_SA con1[2] established between 2a00:xxxxxx[pfSense.xxx]...2a00:xxxxx[VTI]
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> IKE_SA con1[2] state change: CONNECTING => ESTABLISHED
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> scheduling rekeying in 25698s
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> maximum IKE_SA lifetime 28578s
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> sending end entity cert "CN=VTI, C=DE, ST=VTI, L=VTI, O=VTI, OU=VTI"
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> peer requested virtual IP %any
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> no virtual IP found for %any requested by 'VTI'
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> peer requested virtual IP %any6
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> no virtual IP found for %any6 requested by 'VTI'
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> proposing traffic selectors for us:
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> 192.168.4.1/32|/0
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> 0.0.0.0/0|/0
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> ::/0|/0
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> proposing traffic selectors for other:
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> 192.168.4.2/32|/0
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> 0.0.0.0/0|/0
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> ::/0|/0
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> candidate "con1" with prio 15+15
Jun 8 17:10:48 charon 4489 09[CFG] <con1|2> found matching child config "con1" with prio 30
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> configuration payload negotiation failed, no CHILD_SA built
Jun 8 17:10:48 charon 4489 09[IKE] <con1|2> failed to establish CHILD_SA, keeping IKE_SA
Jun 8 17:10:48 charon 4489 09[ENC] <con1|2> generating IKE_AUTH response 1 [ IDr CERT AUTH N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(INT_ADDR_FAIL) ]
....
Unter Client Configuration (mode-cfg) sind virtuelle Adresspools konfiguriert.
Virtual Address PoolProvide a virtual IP address to clients
192.168.2.0 / 24
Virtual IPv6 Address PoolProvide a virtual IPv6 address to clients
2001::00 /120
Gibt es noch eine andere Stelle wo ich die Adressen konfigurieren muss?
Danke & Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3020090436
Url: https://administrator.de/contentid/3020090436
Ausgedruckt am: 19.12.2024 um 10:12 Uhr