15
OPNSense VPN IKEv2. läuft einfach nicht
Hallo zusammen,
ich habe die IPsec VPN-Anleitung von aqui nun wirklich penibel genau nachgebaut - meine ich zumindest, denn ich bring es einfach nicht zum Laufen und komme mit dem Client (Windows 10 VPN Bordmittel) nicht über die nichtssagende "konnte nicht hergestellt werden da der Remoteserver nicht antwortet" - Fehlermeldung hinaus.
Was sind denn sinnvollerweise die nächsten Schritte, damit mir ein freundlicher Experte weiterhelfen kann? Gibt es eine Logfile-Funktion die ich aktivieren kann?
Wenn ich beim Windows10 - Client Benutzername und Kennwort leer lasse, verbindet er sich wohl, fragt dann eben nach Benutzername/Kennwort und schmeißt mich dann immer wieder raus.
OPNsense 22.7.10_2-amd64
Zertifikat:
X509v3 Subject Alternative Name: DNS:OPNsense, IP Address:194.XXX.YY.ZZ, DNS:OPNsense.pfruendeweg.4
IPsec Tunnel Phase 1 Kennung "bedeutender Name" OPNsense.pfruendeweg.4
mit der dazu gehörigen Zertifikat...
Und ja, Kennung und PSK hab ich natürlich auch gesetzt und keine Tippfehler drin.
Hab meines Erachtens alle Schritte genau kontrolliert und komm nicht weiter.
Vielleicht kann mir jemand helfen bzw. sagen, wo genau dass ich suchen muss.
SG Christof
ich habe die IPsec VPN-Anleitung von aqui nun wirklich penibel genau nachgebaut - meine ich zumindest, denn ich bring es einfach nicht zum Laufen und komme mit dem Client (Windows 10 VPN Bordmittel) nicht über die nichtssagende "konnte nicht hergestellt werden da der Remoteserver nicht antwortet" - Fehlermeldung hinaus.
Was sind denn sinnvollerweise die nächsten Schritte, damit mir ein freundlicher Experte weiterhelfen kann? Gibt es eine Logfile-Funktion die ich aktivieren kann?
Wenn ich beim Windows10 - Client Benutzername und Kennwort leer lasse, verbindet er sich wohl, fragt dann eben nach Benutzername/Kennwort und schmeißt mich dann immer wieder raus.
OPNsense 22.7.10_2-amd64
Zertifikat:
X509v3 Subject Alternative Name: DNS:OPNsense, IP Address:194.XXX.YY.ZZ, DNS:OPNsense.pfruendeweg.4
IPsec Tunnel Phase 1 Kennung "bedeutender Name" OPNsense.pfruendeweg.4
mit der dazu gehörigen Zertifikat...
Und ja, Kennung und PSK hab ich natürlich auch gesetzt und keine Tippfehler drin.
Hab meines Erachtens alle Schritte genau kontrolliert und komm nicht weiter.
Vielleicht kann mir jemand helfen bzw. sagen, wo genau dass ich suchen muss.
SG Christof
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5190139942
Url: https://administrator.de/contentid/5190139942
Printed on: April 26, 2024 at 06:04 o'clock
15 Comments
Latest comment
So... jetzt habe ich in den "Tunneleinstellungen" noch eine Checkbox gefunden - "IPsec aktivieren"
Jetzt habe ich zumindest eine neue Fehlermeldung:
"IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel"
... und nu?
Jetzt habe ich zumindest eine neue Fehlermeldung:
"IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel"
... und nu?
Hallo,
Aufruf per FQDN oder IP?
DNS zeigt auf korrekte IP?
Genutzte Port(s) korrekt weitergeleitet (wenn nicht per IPv6 verbunden werden soll)?
Was steht in den LOGs am VPN Server?
VPN Seerver aktuell gepatcht?
Windows Client aktuell gepatcht?
VPN Server lässt welche Auths zu?
Funktioniert deine VPN Server Konfig nachweisslich und getestet?
Im Verbindungsweg spielen alle Firewalls mit bzw. sind korrekt eingerichtet?
Deine Router sind richtig konfiguriert?
https://learn.microsoft.com/en-us/troubleshoot/windows-client/networking ...
https://support.microsoft.com/en-us/windows/connect-to-a-vpn-in-windows- ...
Gruß,
Peter
Zitat von @maximus80:
ich habe die IPsec VPN-Anleitung von aqui nun wirklich penibel genau nachgebaut -
Welche Anleitung von @aqui meinst du denn? @aqui hat einige excellente Anleitungen verfasst,ich habe die IPsec VPN-Anleitung von aqui nun wirklich penibel genau nachgebaut -
Was sind denn sinnvollerweise die nächsten Schritte, damit mir ein freundlicher Experte weiterhelfen kann? Gibt es eine Logfile-Funktion die ich aktivieren kann?
Schon mal ins Ereigniss Protokoll geschaut?OPNsense 22.7.10_2-amd64
Was nutzt du jetzt tatsächlich? Windows Client VPN oder dritthersteller VPN?Hab meines Erachtens alle Schritte genau kontrolliert und komm nicht weiter.
Deine genutzten Internet Provider machen beide IPv4/IPv6 CGNAT usw.?Aufruf per FQDN oder IP?
DNS zeigt auf korrekte IP?
Genutzte Port(s) korrekt weitergeleitet (wenn nicht per IPv6 verbunden werden soll)?
Was steht in den LOGs am VPN Server?
VPN Seerver aktuell gepatcht?
Windows Client aktuell gepatcht?
VPN Server lässt welche Auths zu?
Funktioniert deine VPN Server Konfig nachweisslich und getestet?
Im Verbindungsweg spielen alle Firewalls mit bzw. sind korrekt eingerichtet?
Deine Router sind richtig konfiguriert?
https://learn.microsoft.com/en-us/troubleshoot/windows-client/networking ...
https://support.microsoft.com/en-us/windows/connect-to-a-vpn-in-windows- ...
Gruß,
Peter
Guten Morgen,
Ich meinte diese Anleitung:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich nutze die OPNsense 22.7.10_2 auf einem eigenen Mini-PC, auf dieser möchte ich den VPN-Zugang ins eigene Netzwerk für externe Clients (Homeoffice etc.) wieder einrichten. Den alten Router, der "nur" L2TP IPSec konnte (da hat es immer anstandslos funktioniert) habe ich ausrangiert.
Die Verbindung von den externen Clients soll mit den Windows Bordmitteln erfolgen, also keine separate Software.
Verbindung zum Internet besteht (IPv4 mit statischer IP-Adresse), funktioniert auch alles. IPv6 habe ich deaktiviert.
OPNSense aktuell gepatcht, Windows10-Client ebenso. Auf dem Client ist bereits 22H2 installiert, der Patch KB5010793 wird hierfür gar nicht mehr angeboten.
Und das ist das Logfile der OPNsense:
2023-01-03T09:25:44 Informational charon 15[JOB] <con1|14> deleting half open IKE_SA with 89.144.204.187 after timeout
2023-01-03T09:25:14 Informational charon 15[NET] <con1|14> sending packet: from 194.208.15.26[4500] to 89.144.204.187[53066] (564 bytes)
2023-01-03T09:25:14 Informational charon 15[NET] <con1|14> sending packet: from 194.208.15.26[4500] to 89.144.204.187[53066] (1236 bytes)
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> generating IKE_AUTH response 1 [ EF(2/2) ]
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> generating IKE_AUTH response 1 [ EF(1/2) ]
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> splitting IKE message (1728 bytes) into 2 fragments
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> sending end entity cert "C=AT, ST=Vorarlberg, L=Rankweil, O=maxiimmo GmbH, E=christof.heinzle@maxiimmo.at, CN=OPNsense.pfruendeweg.4"
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> authentication of 'OPNsense.pfruendeweg.4' (myself) with RSA signature successful
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> peer supports MOBIKE
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> initiating EAP_IDENTITY method (id 0x00)
2023-01-03T09:25:14 Informational charon 15[CFG] <con1|14> selected peer config 'con1'
2023-01-03T09:25:14 Informational charon 15[CFG] <14> looking for peer configs matching 194.208.15.26[%any]...89.144.204.187[192.168.57.63]
2023-01-03T09:25:14 Informational charon 15[IKE] <14> received 67 cert requests for an unknown ca
2023-01-03T09:25:14 Informational charon 15[IKE] <14> received cert request for "C=AT, ST=Vorarlberg, L=Rankweil, O=maxiimmo GmbH, E=christof.heinzle@maxiimmo.at, CN=OPNsense.pfruendeweg.4"
2023-01-03T09:25:14 Informational charon 15[ENC] <14> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
2023-01-03T09:25:14 Informational charon 15[ENC] <14> received fragment #4 of 4, reassembled fragmented IKE message (1696 bytes)
2023-01-03T09:25:14 Informational charon 15[ENC] <14> parsed IKE_AUTH request 1 [ EF(4/4) ]
2023-01-03T09:25:14 Informational charon 15[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (212 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received fragment #3 of 4, waiting for complete IKE message
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_AUTH request 1 [ EF(3/4) ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (580 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received fragment #2 of 4, waiting for complete IKE message
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_AUTH request 1 [ EF(2/4) ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (580 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received fragment #1 of 4, waiting for complete IKE message
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_AUTH request 1 [ EF(1/4) ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (580 bytes)
2023-01-03T09:25:14 Informational charon 16[NET] <14> sending packet: from 194.208.15.26[500] to 89.144.204.187[64174] (353 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
2023-01-03T09:25:14 Informational charon 16[IKE] <14> sending cert request for "C=AT, ST=Vorarlberg, L=Rankweil, O=maxiimmo GmbH, E=christof.heinzle@maxiimmo.at, CN=maxiimmo_CA"
2023-01-03T09:25:14 Informational charon 16[IKE] <14> remote host is behind NAT
2023-01-03T09:25:14 Informational charon 16[CFG] <14> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
2023-01-03T09:25:14 Informational charon 16[IKE] <14> 89.144.204.187 is initiating an IKE_SA
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
2023-01-03T09:25:14 Informational charon 16[IKE] <14> received Vid-Initial-Contact vendor ID
2023-01-03T09:25:14 Informational charon 16[IKE] <14> received MS-Negotiation Discovery Capable vendor ID
2023-01-03T09:25:14 Informational charon 16[IKE] <14> received MS NT5 ISAKMPOAKLEY v9 vendor ID
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[64174] to 194.208.15.26[500] (624 bytes)
Also so wie ich das lese, kommt eine Verbindung zustande, Client schickt wohl alle Zertifikate raus, davon ist eines gültig - authentication of 'OPNsense.pfruendeweg.4' (myself) with RSA signature successful
Phase 1 wird gestartet... und dann geht nix weiter
Zumindest interpretiere ich so die letzte Zeile "deleting half open IKE_SA with 89.144.204.187 after timeout"
Authentifizierung gem. Anleitung EAP-MSCHAPV2, Verschlüsselung AES 256, SHA256, Schlüsselgruppe 1024 bits und 2048 bits (ist zwar eigentlich nur für Windows-Clients, aber ich hab die Schlüsselgruppe 14 auch mal aktiviert. Das hat aber keine Auswirkung im konkreten Fall.
Gruß, Christof
Ich meinte diese Anleitung:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich nutze die OPNsense 22.7.10_2 auf einem eigenen Mini-PC, auf dieser möchte ich den VPN-Zugang ins eigene Netzwerk für externe Clients (Homeoffice etc.) wieder einrichten. Den alten Router, der "nur" L2TP IPSec konnte (da hat es immer anstandslos funktioniert) habe ich ausrangiert.
Die Verbindung von den externen Clients soll mit den Windows Bordmitteln erfolgen, also keine separate Software.
Verbindung zum Internet besteht (IPv4 mit statischer IP-Adresse), funktioniert auch alles. IPv6 habe ich deaktiviert.
OPNSense aktuell gepatcht, Windows10-Client ebenso. Auf dem Client ist bereits 22H2 installiert, der Patch KB5010793 wird hierfür gar nicht mehr angeboten.
Und das ist das Logfile der OPNsense:
2023-01-03T09:25:44 Informational charon 15[JOB] <con1|14> deleting half open IKE_SA with 89.144.204.187 after timeout
2023-01-03T09:25:14 Informational charon 15[NET] <con1|14> sending packet: from 194.208.15.26[4500] to 89.144.204.187[53066] (564 bytes)
2023-01-03T09:25:14 Informational charon 15[NET] <con1|14> sending packet: from 194.208.15.26[4500] to 89.144.204.187[53066] (1236 bytes)
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> generating IKE_AUTH response 1 [ EF(2/2) ]
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> generating IKE_AUTH response 1 [ EF(1/2) ]
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> splitting IKE message (1728 bytes) into 2 fragments
2023-01-03T09:25:14 Informational charon 15[ENC] <con1|14> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> sending end entity cert "C=AT, ST=Vorarlberg, L=Rankweil, O=maxiimmo GmbH, E=christof.heinzle@maxiimmo.at, CN=OPNsense.pfruendeweg.4"
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> authentication of 'OPNsense.pfruendeweg.4' (myself) with RSA signature successful
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> peer supports MOBIKE
2023-01-03T09:25:14 Informational charon 15[IKE] <con1|14> initiating EAP_IDENTITY method (id 0x00)
2023-01-03T09:25:14 Informational charon 15[CFG] <con1|14> selected peer config 'con1'
2023-01-03T09:25:14 Informational charon 15[CFG] <14> looking for peer configs matching 194.208.15.26[%any]...89.144.204.187[192.168.57.63]
2023-01-03T09:25:14 Informational charon 15[IKE] <14> received 67 cert requests for an unknown ca
2023-01-03T09:25:14 Informational charon 15[IKE] <14> received cert request for "C=AT, ST=Vorarlberg, L=Rankweil, O=maxiimmo GmbH, E=christof.heinzle@maxiimmo.at, CN=OPNsense.pfruendeweg.4"
2023-01-03T09:25:14 Informational charon 15[ENC] <14> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
2023-01-03T09:25:14 Informational charon 15[ENC] <14> received fragment #4 of 4, reassembled fragmented IKE message (1696 bytes)
2023-01-03T09:25:14 Informational charon 15[ENC] <14> parsed IKE_AUTH request 1 [ EF(4/4) ]
2023-01-03T09:25:14 Informational charon 15[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (212 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received fragment #3 of 4, waiting for complete IKE message
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_AUTH request 1 [ EF(3/4) ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (580 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received fragment #2 of 4, waiting for complete IKE message
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_AUTH request 1 [ EF(2/4) ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (580 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received fragment #1 of 4, waiting for complete IKE message
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_AUTH request 1 [ EF(1/4) ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[53066] to 194.208.15.26[4500] (580 bytes)
2023-01-03T09:25:14 Informational charon 16[NET] <14> sending packet: from 194.208.15.26[500] to 89.144.204.187[64174] (353 bytes)
2023-01-03T09:25:14 Informational charon 16[ENC] <14> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
2023-01-03T09:25:14 Informational charon 16[IKE] <14> sending cert request for "C=AT, ST=Vorarlberg, L=Rankweil, O=maxiimmo GmbH, E=christof.heinzle@maxiimmo.at, CN=maxiimmo_CA"
2023-01-03T09:25:14 Informational charon 16[IKE] <14> remote host is behind NAT
2023-01-03T09:25:14 Informational charon 16[CFG] <14> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
2023-01-03T09:25:14 Informational charon 16[IKE] <14> 89.144.204.187 is initiating an IKE_SA
2023-01-03T09:25:14 Informational charon 16[ENC] <14> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
2023-01-03T09:25:14 Informational charon 16[IKE] <14> received Vid-Initial-Contact vendor ID
2023-01-03T09:25:14 Informational charon 16[IKE] <14> received MS-Negotiation Discovery Capable vendor ID
2023-01-03T09:25:14 Informational charon 16[IKE] <14> received MS NT5 ISAKMPOAKLEY v9 vendor ID
2023-01-03T09:25:14 Informational charon 16[ENC] <14> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
2023-01-03T09:25:14 Informational charon 16[NET] <14> received packet: from 89.144.204.187[64174] to 194.208.15.26[500] (624 bytes)
Also so wie ich das lese, kommt eine Verbindung zustande, Client schickt wohl alle Zertifikate raus, davon ist eines gültig - authentication of 'OPNsense.pfruendeweg.4' (myself) with RSA signature successful
Phase 1 wird gestartet... und dann geht nix weiter
Zumindest interpretiere ich so die letzte Zeile "deleting half open IKE_SA with 89.144.204.187 after timeout"
Authentifizierung gem. Anleitung EAP-MSCHAPV2, Verschlüsselung AES 256, SHA256, Schlüsselgruppe 1024 bits und 2048 bits (ist zwar eigentlich nur für Windows-Clients, aber ich hab die Schlüsselgruppe 14 auch mal aktiviert. Das hat aber keine Auswirkung im konkreten Fall.
Gruß, Christof
konnte nicht hergestellt werden da der Remoteserver nicht antwortet
Besagt das deine OPNsense gar nicht antwortet auf die IKEv2 Requests, sprich VPN Traffic kommt da gar nicht an.Dort muss ein Regelwerk mit den folgenden Regeln rein:
- PASS, Prot: UDP, Source: Any, Destination: FW_WAN_ip_address, Port: 500
- PASS, Prot: UDP, Source: Any, Destination: FW_WAN_ip_address, Port: 4500
- PASS, Prot: ESP, Source: Any, Destination: FW_WAN_ip_address
Diese Regeln erstellt die OPNsense IMMER automatisch!! Kann also normalerweise nicht der Fehler sein was sich unten ja auch bestätigt hat!
Betreibst du die FW in einer Router Kaskade oder mit einem NUR Modem direkt am Internet??
Wenn es eine Kaskade ist hast du die o.a. angegebenen Port Forwarding Regeln am NAT Router davor beachtet?
Ansonsten vermutlich ein Zertifikatsproblem!
WIE hast du das generiert?? Auf der OPNsense selber oder extern?
Die Fehlermeldung "konnte nicht hergestellt werden da der Remoteserver nicht antwortet" war sozusagen die erste, die hat sich aber erledigt, da ich in den "Tunneleinstellungen" wirklich die Checkbox "IPsec aktivieren" vergessen hatte.
Die Regeln in der Firewall hat es automatisch erstellt, jetzt sind sie sozusagen doppelt drin, da ich es selbst auch nochmal gemacht habe. (Siehe Screenshot)
Nein, keine Router Kaskade - Kabelmodem hängt am WAN-Port, fixe IP-Adresse.
Das Zertifikat habe ich gem. Deiner Anleitung auf der OPNsense selbst generiert.
Die Regeln in der Firewall hat es automatisch erstellt, jetzt sind sie sozusagen doppelt drin, da ich es selbst auch nochmal gemacht habe. (Siehe Screenshot)
Nein, keine Router Kaskade - Kabelmodem hängt am WAN-Port, fixe IP-Adresse.
Das Zertifikat habe ich gem. Deiner Anleitung auf der OPNsense selbst generiert.
jetzt sind sie sozusagen doppelt drin, da ich es selbst auch nochmal gemacht habe.
Die doppelten von dir solltest du dann in jedem Falle wieder entfernen! Sie sind so oder so fehlerhaft weil als Quellport dort unsinnigerweise auch die Ziel Ports angegeben sind.Kabelmodem hängt am WAN-Port, fixe IP-Adresse.
Nur nochmal nachgefragt:Das ist wirklich ein reines Modem und kein Router?? Sprich also die öffentliche IP Adresse liegt direkt am WAN Port der Firewall?
Hier nochmal ein wasserdicht funktionierendes Setup mit der OPNsense Version 22.7.10_2 und Test mit einem Win10 sowie Win11 Client 22H2.
Gültigkeitszeitraum ggf. anpassen! (Beispiel hier 3 Jahre)
...und in die Stammzertifikate gem. Tutorial in Win10/11 importieren
Gültigkeitszeitraum ggf. anpassen! (Beispiel hier 3 Jahre)
(Achtung: IP Adressfeld nur dann wenn feste IP am WAN Port vorhanden! Bei dyn. IPs weglassen!)
Status, Policy und Lease Statisik:
Dashboard:
Works as designed!!! 👍 😉
Mehr "Silbertablett" geht jetzt nicht mehr!
Table of contents
CA erstellen
Gültigkeitszeitraum ggf. anpassen! (Beispiel hier 3 Jahre)CA Zertifikat exportieren
...und in die Stammzertifikate gem. Tutorial in Win10/11 importierenServer Zertifikat erstellen
Gültigkeitszeitraum ggf. anpassen! (Beispiel hier 3 Jahre)FW GUI Access Zertifikat umstellen
Mobile IKEv2 VPN Phase 1, Phase 2 und User Setups
Phase 2
User anlegen
Check und Ping Check
Status, Policy und Lease Statisik:Ping und ipconfig -all Check
Fazit
Works as designed!!! 👍 😉Mehr "Silbertablett" geht jetzt nicht mehr!
Die doppelten von dir solltest du dann in jedem Falle wieder entfernen! Sie sind so oder so fehlerhaft weil als Quellport dort unsinnigerweise auch die Ziel Ports angegeben sind.
Definitiv ein Überbleibsel meiner diversen Versuche. Aber ich hab sie alle rausgelöscht.
Ich schmeiß jetzt sowieso nochmal komplett alles raus, inkl. Zertifikat, und fang anhand Deiner Anleitung nochmal neu an.
Nur nochmal nachgefragt:
Das ist wirklich ein reines Modem und kein Router?? Sprich also die öffentliche IP Adresse liegt direkt am WAN Port der Firewall?
Das ist wirklich ein reines Modem und kein Router?? Sprich also die öffentliche IP Adresse liegt direkt am WAN Port der Firewall?
Es ist definitiv ein reines Modem im Bridge-Mode. Kein NAT oder Router oder sonst was:
und fang anhand Deiner Anleitung nochmal neu an.
OPNsense Screenshots von laufenden Installationen findest du auch hier.
Guten Morgen,
zunächst mal vielen Dank für die Unterstützung und das Silbertablett.
Letztlich waren es drei Fehler:
1. böse, wenn man die super Anleitung nicht ultra-genau liest: Man muss nicht das Server-Zertifikat exportieren, sondern das Aussteller-Zertifikat. Ja, steht in der Anleitung, dann man auf den CA-Reiter klicken soll, aber dadurch dass der Schritt unterhalb der Erstellung des Server-Zertifikats steht, bin ich falsch abgebogen.
2. Einschub, obwohl natürlich keiner schuld ist, weder OPNSense noch aqui... Beim Suchen nach multiplen Fehlern natürlich sehr mühsam ist es, wenn man irgendwann feststellt, dass der eigene Hotspot vom Handy (verwendet um den externen Zugang zu simulieren/testen) eine Ursache ist. Ich komme mit dem Hotspot überall "ganz normal" ins Internet, aber bei VPN gabs immer nur einen Fehler. Mit dem Hotspot/Handy meines Nachbarn, der fieberhaft mitgerätselt hat, funktionierts... da muss man erst mal drauf kommen.
3. Vollbracht - VPN-Verbindung steht. Ping nicht möglich. In der Anleitung steht bei den Firewall-Regeln für IPSec:
ist dort eine allow all Regel vorhanden ist nichts zu tun... Kurz vor der finalen Verzweiflung nochmal schauen: Die von OPNSense hier automatisch angelegte "Allow All"-Regel ist nur ausgehend!
Also manuell noch eine Allow All-Regel eingehend definieren - und schon pingt es.
Also nochmal vielen Dank!
zunächst mal vielen Dank für die Unterstützung und das Silbertablett.
Letztlich waren es drei Fehler:
1. böse, wenn man die super Anleitung nicht ultra-genau liest: Man muss nicht das Server-Zertifikat exportieren, sondern das Aussteller-Zertifikat. Ja, steht in der Anleitung, dann man auf den CA-Reiter klicken soll, aber dadurch dass der Schritt unterhalb der Erstellung des Server-Zertifikats steht, bin ich falsch abgebogen.
2. Einschub, obwohl natürlich keiner schuld ist, weder OPNSense noch aqui... Beim Suchen nach multiplen Fehlern natürlich sehr mühsam ist es, wenn man irgendwann feststellt, dass der eigene Hotspot vom Handy (verwendet um den externen Zugang zu simulieren/testen) eine Ursache ist. Ich komme mit dem Hotspot überall "ganz normal" ins Internet, aber bei VPN gabs immer nur einen Fehler. Mit dem Hotspot/Handy meines Nachbarn, der fieberhaft mitgerätselt hat, funktionierts... da muss man erst mal drauf kommen.
3. Vollbracht - VPN-Verbindung steht. Ping nicht möglich. In der Anleitung steht bei den Firewall-Regeln für IPSec:
ist dort eine allow all Regel vorhanden ist nichts zu tun... Kurz vor der finalen Verzweiflung nochmal schauen: Die von OPNSense hier automatisch angelegte "Allow All"-Regel ist nur ausgehend!
Also manuell noch eine Allow All-Regel eingehend definieren - und schon pingt es.
Also nochmal vielen Dank!
Immer gerne und danke für das Feedback! Ich werde im Tutorial den Hinweis das CA Zertifikat zu importieren noch einmal deutlicher herausstellen.
Wenns es das denn war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
Wenns es das denn war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
@aqui
Ich habe deine wasserdichte Konfiguration 1:1 übernommen. Jedoch scheitere ich beim Erstellen eines Users unter Pre-Shared Keys. Unter opnsense 23.1 sieht dieses Fenster so aus wie im Screenshot.
Was muss ich da eintragen um eine funktionierende VPN-Verbindung mit einem iPhone und macOS hinzubekommen?
Ich habe deine wasserdichte Konfiguration 1:1 übernommen. Jedoch scheitere ich beim Erstellen eines Users unter Pre-Shared Keys. Unter opnsense 23.1 sieht dieses Fenster so aus wie im Screenshot.
Was muss ich da eintragen um eine funktionierende VPN-Verbindung mit einem iPhone und macOS hinzubekommen?
Steht eigentlich alles im Tutorial unter dem Kapitel "Benutzername einrichten"!! Also nochmal ganz in Ruhe lesen und verstehen.
Ich setze zusätzlich nochmal einen Screenshot davon ins Tutorial!
- Local Identifier = Username (z.B. servusli1)
- Pre-Shared Key = das User Passwort (z.B. Geheim123)
- Type = EAP
@aqui
Jetzt klappt es.
Du hast jedoch in diesem Turtorial einige Differenzen warum es nicht funktionierte.
So funktioniert es bei mir:
Phase 1 proposal (Authentication)
Phase 2 proposal (SA/Key Exchange)
Was muss denn eingestellt werden um den ganzen Traffic durch den Tunnel zu senden?
So dass meine IP-Adresse von zu Hause angezeigt wird auf meinem iPhone wenn ich eine IP-Abfrage mache.
Es geht hauptsächlich darum, meine PiHole DNS-Server zu Hause auch unterwegs zu nutzen.
Wenn man den gesamten Traffic in den Tunnel legen kann wäre das sensationell.
Jetzt klappt es.
Du hast jedoch in diesem Turtorial einige Differenzen warum es nicht funktionierte.
So funktioniert es bei mir:
Phase 1 proposal (Authentication)
Phase 2 proposal (SA/Key Exchange)
Was muss denn eingestellt werden um den ganzen Traffic durch den Tunnel zu senden?
So dass meine IP-Adresse von zu Hause angezeigt wird auf meinem iPhone wenn ich eine IP-Abfrage mache.
Es geht hauptsächlich darum, meine PiHole DNS-Server zu Hause auch unterwegs zu nutzen.
Wenn man den gesamten Traffic in den Tunnel legen kann wäre das sensationell.
Jetzt klappt es.
👏👍 Glückwunsch! So sollte es sein...Du hast jedoch in diesem Turtorial einige Differenzen warum es nicht funktionierte.
Könntest du das etwas genauer spezifizieren, damit ich diese Fehler dann beseitigen kann?Ich vermute aber keinen Tutorialfehler sondern eher das du ggf. einen Anfängerfehler beim Setup der Phase 1 begangen hast und hier ggf. vergessen hast in den DH Gruppen einen 2ten Eintrag bzw. bei der OPNsense zusätzlich die DH Gruppe 14 vergessen hast mit einzutragen?!
Das Tutorial weisst extra in rot daraufhin das das bei Apple Clients zu beachten ist, da diese die DH14 Gruppe zwingend erfordern! Andernfalls kommt der VPN Tunnel nicht zustande.
Ein entsprechender, dedizierter OPNsense Screenshot im Tutorial zeigt dann noch einmal alle relevanten P1 und P2 Settings:
Deine jetzigen o.a. Einstellungen entsprechen ja nun auch genau dem was im Tutorial steht und abgebildet ist! Also ggf. doch keine "Differenzen" sondern ein PEBKAC Fehler?!? 😉
(Übrigens kannst du genau diese P1 und P2 Settings auch in der Umsetzung eines IKEv2 VPN Servers mit Linux nochmal nachvollziehen. Auch hier werkelt, genau wie bei der OPNsense, der Strongswan Charon IPsec Daemon im Hintergrund.)
Was muss denn eingestellt werden um den ganzen Traffic durch den Tunnel zu senden?
Das Tutorial zu diesem Punkt vielleicht noch einmal gaaanz in Ruhe durchlesen! 