sunny1081
Goto Top

IPsec mobiler Nutzer ipV4 Verkehr via ipV6 Tunnel pfsense

Hallo zusammen,

folgend der Anleitung IPsec mobile VPN konnte ich Grundsätzlich eine Verbindung zwischen Handy and PFsense via IPsec IKEv2 aufbauen. Mein Internetprovider Deutsche Glasfaser bietet nur eine öffentliche IPv6 Adresse, da das inzwischen auch von den meisten Mobilfunkanbietern unterstützt wird sollte das aber kein Hindernis mehr sein um auf Heimnetz zuzugreifen.

35d8f3ab01fb96e095cee013a8d72957

Beide Endpunkte (Android 12 StrongSwan, PFsense) unterstützen V6 und die Verbindung wird auch aufgebaut. Über diesen V6 Tunnel möchte ich dann V4 Traffic leiten. Der Screenshot oben zeigt die Aufgebaute Verbindung Tunnel endpoints V6, SRC / DST V4. Nur gehen keinen Daten über die Verbindung.

Als Referenz mit OpenVPN funktioniert es in dem Scenario, mir ist nicht klar was ich für IPSec ergänzen müsste..


Dank dem Hinweis von @aqui habe ich die Verbindung dann auf VTI umgestellt, allerdings scheint es hier ein Problem mit der Vergabe der IPs zu geben, "no virtual IP found"

....
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> IKE_SA con1[2] established between 2a00:xxxxxx[pfSense.xxx]...2a00:xxxxx[VTI]
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> IKE_SA con1[2] state change: CONNECTING => ESTABLISHED
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> scheduling rekeying in 25698s
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> maximum IKE_SA lifetime 28578s
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> sending end entity cert "CN=VTI, C=DE, ST=VTI, L=VTI, O=VTI, OU=VTI"  
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> peer requested virtual IP %any
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> no virtual IP found for %any requested by 'VTI'  
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> peer requested virtual IP %any6
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> no virtual IP found for %any6 requested by 'VTI'  
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> proposing traffic selectors for us:
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> 192.168.4.1/32|/0
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> 0.0.0.0/0|/0
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> ::/0|/0
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> proposing traffic selectors for other:
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> 192.168.4.2/32|/0
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> 0.0.0.0/0|/0
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> ::/0|/0
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> candidate "con1" with prio 15+15  
Jun 8 17:10:48	charon	4489	09[CFG] <con1|2> found matching child config "con1" with prio 30  
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> configuration payload negotiation failed, no CHILD_SA built
Jun 8 17:10:48	charon	4489	09[IKE] <con1|2> failed to establish CHILD_SA, keeping IKE_SA
Jun 8 17:10:48	charon	4489	09[ENC] <con1|2> generating IKE_AUTH response 1 [ IDr CERT AUTH N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(INT_ADDR_FAIL) ]
....

Unter Client Configuration (mode-cfg) sind virtuelle Adresspools konfiguriert.

Virtual Address PoolProvide a virtual IP address to clients
192.168.2.0 / 24

Virtual IPv6 Address PoolProvide a virtual IPv6 address to clients
2001::00 /120

Gibt es noch eine andere Stelle wo ich die Adressen konfigurieren muss?

Danke & Gruß

Content-ID: 3020090436

Url: https://administrator.de/contentid/3020090436

Ausgedruckt am: 19.12.2024 um 10:12 Uhr