IPSEC (VPN) PFSense 2.5x zu Windows Server 2016 (Routing und RAS)
Hallo,
ich versuche schon seit ewiger Zeit ein VPN-Tunnel zwischen einen PFSense-Router und einem entfernten Windows VPN-Server aufzubauen.
Die PFSense ist WAN-Seitig hinter einem Cable-Modem, wo entsprechende Port-Freigaben gesetzt sind (500, 4500), was jedoch nur zum Erfolg
in der Main-Method führt. Jedoch bekomme ich im Quick den Fehler:
Oct 18 02:34:02 charon 93517 14[CFG] vici client 89 disconnected
Oct 18 02:34:02 charon 93517 14[CHD] <con100000|5> CHILD_SA con100000{9} state change: CREATED => DESTROYING
Oct 18 02:34:02 charon 93517 14[IKE] <con100000|5> received INVALID_ID_INFORMATION error notify
Oct 18 02:34:02 charon 93517 14[ENC] <con100000|5> parsed INFORMATIONAL_V1 request 2682747967 [ HASH N(INVAL_ID) ]
Oct 18 02:34:02 charon 93517 14[NET] <con100000|5> received packet: from 45.xxx.xxx.143[4500] to 192.168.0.10[4500] (76 bytes)
Oct 18 02:34:02 charon 93517 15[NET] <con100000|5> sending packet: from 192.168.0.10[4500] to 45.xxx.xxx.143[4500] (308 bytes)
Oct 18 02:34:02 charon 93517 15[ENC] <con100000|5> generating QUICK_MODE request 3021442098 [ HASH SA No KE ID ID ]
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> 10.20.0.0/24|/0
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> proposing traffic selectors for other:
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> 10.20.1.0/24|/0
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> proposing traffic selectors for us:
Cable-Modem
PFSense
Result:
con100000: #5 ID: 192.168.0.10Host: 192.168.0.10:4500
SPI: cbdfb2cc5117ea3f NAT-T ID: 45.xxx.xxx.143
Host: 45.*.*.143:4500
SPI: 48ba4ad7bab09128 IKEv1
initiator Reauth: 23316s (06:28:36) 3DES_CBC
HMAC_SHA1_96
PRF_HMAC_SHA1
MODP_1024 ESTABLISHED
Vor 611 Sekunden 00:10:11
ich versuche schon seit ewiger Zeit ein VPN-Tunnel zwischen einen PFSense-Router und einem entfernten Windows VPN-Server aufzubauen.
Die PFSense ist WAN-Seitig hinter einem Cable-Modem, wo entsprechende Port-Freigaben gesetzt sind (500, 4500), was jedoch nur zum Erfolg
in der Main-Method führt. Jedoch bekomme ich im Quick den Fehler:
Oct 18 02:34:02 charon 93517 14[CFG] vici client 89 disconnected
Oct 18 02:34:02 charon 93517 14[CHD] <con100000|5> CHILD_SA con100000{9} state change: CREATED => DESTROYING
Oct 18 02:34:02 charon 93517 14[IKE] <con100000|5> received INVALID_ID_INFORMATION error notify
Oct 18 02:34:02 charon 93517 14[ENC] <con100000|5> parsed INFORMATIONAL_V1 request 2682747967 [ HASH N(INVAL_ID) ]
Oct 18 02:34:02 charon 93517 14[NET] <con100000|5> received packet: from 45.xxx.xxx.143[4500] to 192.168.0.10[4500] (76 bytes)
Oct 18 02:34:02 charon 93517 15[NET] <con100000|5> sending packet: from 192.168.0.10[4500] to 45.xxx.xxx.143[4500] (308 bytes)
Oct 18 02:34:02 charon 93517 15[ENC] <con100000|5> generating QUICK_MODE request 3021442098 [ HASH SA No KE ID ID ]
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> 10.20.0.0/24|/0
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> proposing traffic selectors for other:
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> 10.20.1.0/24|/0
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> proposing traffic selectors for us:
Cable-Modem
- PFSense als DMZ-Host
- Ports 500 (UDP) , 4500 (UDP) und ESP durchgereicht
PFSense
- IKE-V1 Client
- IPSEC-Interface: WAN
- Local-ID:192.168.0.10 (Meine-IP)
- Remote-ID; Peer-IP (45.xxx.xxx.143)
- Preshared-Key
Result:
con100000: #5 ID: 192.168.0.10Host: 192.168.0.10:4500
SPI: cbdfb2cc5117ea3f NAT-T ID: 45.xxx.xxx.143
Host: 45.*.*.143:4500
SPI: 48ba4ad7bab09128 IKEv1
initiator Reauth: 23316s (06:28:36) 3DES_CBC
HMAC_SHA1_96
PRF_HMAC_SHA1
MODP_1024 ESTABLISHED
Vor 611 Sekunden 00:10:11
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1400196051
Url: https://administrator.de/contentid/1400196051
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Windows unterstützt keinen Aggressive Mode mit IPSec bei IKEv1, switche daher besser gleich auf das modernere IKEv2.
Kollege @149569 hat Recht. Halte dich an das hiesige Tutorial und nutze IKEv2 oder L2TP für die VPN Einrichtung auf der pfSense bzw. OPNsense dann kommt das auch sofort zum Fliegen !
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Alternativ geht das auch mit dem Windows bordeigenen L2TP VPN Protokoll:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Und...wenn du Port_Forwarding machst ist das kein Modem sondern immer ein Router. Ein reines Modem kann niemals IP Forwarding. Zw. Modem und Router ist technisch ein großer Unterschied. Weisst du als Admin und Netzwerk Profi ja sicher auch selber... 🧐
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Alternativ geht das auch mit dem Windows bordeigenen L2TP VPN Protokoll:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Und...wenn du Port_Forwarding machst ist das kein Modem sondern immer ein Router. Ein reines Modem kann niemals IP Forwarding. Zw. Modem und Router ist technisch ein großer Unterschied. Weisst du als Admin und Netzwerk Profi ja sicher auch selber... 🧐
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?