IPSEC (VPN) PFSense 2.5x zu Windows Server 2016 (Routing und RAS)

Hallo,

ich versuche schon seit ewiger Zeit ein VPN-Tunnel zwischen einen PFSense-Router und einem entfernten Windows VPN-Server aufzubauen.
Die PFSense ist WAN-Seitig hinter einem Cable-Modem, wo entsprechende Port-Freigaben gesetzt sind (500, 4500), was jedoch nur zum Erfolg
in der Main-Method führt. Jedoch bekomme ich im Quick den Fehler:

Oct 18 02:34:02 charon 93517 14[CFG] vici client 89 disconnected
Oct 18 02:34:02 charon 93517 14[CHD] <con100000|5> CHILD_SA con100000{9} state change: CREATED => DESTROYING
Oct 18 02:34:02 charon 93517 14[IKE] <con100000|5> received INVALID_ID_INFORMATION error notify
Oct 18 02:34:02 charon 93517 14[ENC] <con100000|5> parsed INFORMATIONAL_V1 request 2682747967 [ HASH N(INVAL_ID) ]
Oct 18 02:34:02 charon 93517 14[NET] <con100000|5> received packet: from 45.xxx.xxx.143[4500] to 192.168.0.10[4500] (76 bytes)
Oct 18 02:34:02 charon 93517 15[NET] <con100000|5> sending packet: from 192.168.0.10[4500] to 45.xxx.xxx.143[4500] (308 bytes)
Oct 18 02:34:02 charon 93517 15[ENC] <con100000|5> generating QUICK_MODE request 3021442098 [ HASH SA No KE ID ID ]
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> 10.20.0.0/24|/0
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> proposing traffic selectors for other:
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> 10.20.1.0/24|/0
Oct 18 02:34:02 charon 93517 15[CFG] <con100000|5> proposing traffic selectors for us:



Cable-Modem
  • PFSense als DMZ-Host
  • Ports 500 (UDP) , 4500 (UDP) und ESP durchgereicht

PFSense
  • IKE-V1 Client
  • IPSEC-Interface: WAN
  • Local-ID:192.168.0.10 (Meine-IP)
  • Remote-ID; Peer-IP (45.xxx.xxx.143)
  • Preshared-Key

Result:

con100000: #5 ID: 192.168.0.10Host: 192.168.0.10:4500
SPI: cbdfb2cc5117ea3f NAT-T ID: 45.xxx.xxx.143
Host: 45.*.*.143:4500
SPI: 48ba4ad7bab09128 IKEv1
initiator Reauth: 23316s (06:28:36) 3DES_CBC
HMAC_SHA1_96
PRF_HMAC_SHA1
MODP_1024 ESTABLISHED
Vor 611 Sekunden 00:10:11

Content-Key: 1400196051

Url: https://administrator.de/contentid/1400196051

Ausgedruckt am: 27.11.2021 um 07:11 Uhr

Mitglied: hacktor
hacktor 18.10.2021 aktualisiert um 08:22:41 Uhr
Goto Top
Windows unterstützt keinen Aggressive Mode mit IPSec bei IKEv1, switche daher besser gleich auf das modernere IKEv2.
Mitglied: aqui
aqui 18.10.2021 aktualisiert um 09:20:00 Uhr
Goto Top
Kollege @hacktor hat Recht. Halte dich an das hiesige Tutorial und nutze IKEv2 für die Einrichtung auf der pfSense bzw. OPNsense dann kommt das auch sofort zum Fliegen !
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Und...wenn du Port_Forwarding machst ist das kein Modem sondern immer ein Router. Ein reines Modem kann niemals IP Forwarding. Zw. Modem und Router ist technisch ein großer Unterschied. Weisst du als Admin und Netzwerk Profi ja auch selber...
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement8 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

general
Sicherheit beim Online-BankingWeyershausenVor 12 StundenAllgemeinSicherheitsgrundlagen18 Kommentare

Hallo, in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Reinigung der Apple Watch gelöst honeybeeVor 1 TagFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...