jenni
Goto Top

PFSense 2.2.3 IPSec Site-2-Site Tunnel brechen mit hinzufügen Moblie-Clients weg

Moin Zusammen,

gegeben ist eine PFSense 2.2.3
Standleitung 20MBit
Ich habe 4 VPN Tunnel die super laufen.

Möchte ich jetzt aber Mobile Clients hinzufügen, brechen diese ab.
Stelle ich die Clients auf den Mode Main laufen die Tunnel.
Stelle ich den Mode auf agressiv, was ich eigentlich möchte, brechen diese weg.

ich habe hier im Forum gelesen, dass bei der Version 2.2.x die Phase 1 PSK's identisch sein müssen. Gilt das auch für die Mode Einstellungen?

Hat jemand eine Idee oder Denkanstoß für mich?

LG Jenni
pfsensetunnel

Content-ID: 317139

Url: https://administrator.de/forum/pfsense-2-2-3-ipsec-site-2-site-tunnel-brechen-mit-hinzufuegen-moblie-clients-weg-317139.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

aqui
aqui 07.10.2016 aktualisiert um 12:38:56 Uhr
Goto Top
Welche Mobile Client IPsec VPN Software verwendest du und wie ist deren Konfig ??
Was sagt das Log wenn du dich mit einem Client im Agressive Mode einwählst ?
Deine Infos sind recht spärlich für eine zielführende Hilfe face-sad
jenni
jenni 07.10.2016 aktualisiert um 13:57:12 Uhr
Goto Top
Hallo aqui,

Ich würde gerne den Shrew Soft VPN Client verwenden wollen.

Ausgangssituation war, dass ich die 4 Site-2-Site Tunnel hatte.
Jetzt möchte ich gerne auch den Mobile Client Access über IPSec laufen lassen.

Also eben auf der PFSense Richtung VPN->IPSec navigiert.
Dort auf Mobile Clients geklickt.
Den Button Enable IPsec Mobile Client Supportgeklickt.

Danach sagt die PFSense.
Support for IPsec Mobile clients is enabled but a Phase1 definition was not found.
Please click Create to define one.

Also Phase 1 und 2 angelegt

Phase 1
  • Authentication method: Mutual PSK
  • Negotiation mode: aggressive
  • My identifier: My IP address
  • Peer identfier: User Distinguished Name, vpnusers@example.com
  • Pre-Shared Key: aaabbbccc (Use something much longer and more random!)
  • Policy Generation: Unique
  • Proposal Checking: Strict
  • Encryption Algorithm: AES 256
  • Hash Algorithm: SHA1
  • DH Key Group: 2
  • Lifetime: 28800
  • NAT Traversal: Force

Phase 2
  • Mode: Tunnel
  • Local Network: (the local network, e.g. LAN, or 0.0.0.0/0 to send everything over VPN)
  • Protocol: ESP
  • Encryption Algorithms: AES 256
  • Hash Algorithms: SHA1
  • PFS key group: off
  • Lifetime: 28800

So jetzt das Ganze nochmal mit Apply bestätigen... (dachte ich mir Fertig)

...und nach dem Bestätigen brechen die 4 bestehenden Tunnel zusammen und kommen nicht mehr hoch!

der Jenni

Ps: Ich würde dir gerne was an Logs liefern, aber bis dahin komme ich leider nicht
aqui
aqui 07.10.2016 aktualisiert um 14:41:03 Uhr
Goto Top
Ich würde gerne den Shrew Soft VPN Client verwenden wollen.
Warum der Konjunktiv ?? Verwendest du ihn oder nicht ? Das sollte fehlerlos mit der pfSense klappen.
Diese Tutorials beschreiben es:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und auch
https://www.shrew.net/support/Howto_pfSense
https://blog.andregasser.net/how-to-configure-ipsec-vpn-on-pfsense-for-u ...
Ich würde dir gerne was an Logs liefern, aber bis dahin komme ich leider nicht
Na ja das pfSense Log wirst du ja auslesen können, oder ?
jenni
jenni 07.10.2016 um 14:52:44 Uhr
Goto Top
Hallo aqui,

Danke für die Links,.
werde ich durcharbeiten!

Ich melde mich!
jenni
jenni 24.10.2016 um 11:35:19 Uhr
Goto Top
Hallo Aqui,

vielen Dank für deine Hilfe!
Es lag am PSKey. Dieser muss wohl bei der PFsense 2.2.3 überall gleich sein.

Da ich für den Tunnel auch andere Ports brauche, als 443 oder 80, die im Hotel-WLan offen sein sollten, habe ich mich für OpenVPN entschieden.
Der OpenVPN Server lauscht in meiner Konfiguration auf 443.

Gruß Jenni
aqui
aqui 24.10.2016 um 16:03:01 Uhr
Goto Top
Es lag am PSKey. Dieser muss wohl bei der PFsense 2.2.3 überall gleich sein.
Auf der ganzen Welt müssen Preshared Keys auf beiden Seiten gleich sein !!!
Kann das sein das du da irgendwas missverstanden hast ?!
peter2017
peter2017 20.11.2016 um 15:45:42 Uhr
Goto Top
Hallo aqui,

habe das selbe Problem wie "jenni" allerdings suche ich seit zig Monaten nach der Lösung, weil nämlich sämtliche Konfigurationsvorschläge und Tutorials genau 1:1 umgesetzt wurden und der Fehler trotzdem immer wieder auftrat.

Erst der Hinweis von "jenni" scheint das Problem/den grundsätzlichen Bug in pfsense zu lösen/umgehen.

Habe seit Ewigkeiten 5 LAN - LAN VPNs am Laufen, nun wollte ich vor Monaten zusätzlich den "IPSec Mobile Clients" ebenfalls den Zugang ermöglichen.

Sobald man die Phase 1 für die "Mobile Clients" erstellt und speichert, brechen sämtliche LAN-LAN VPNs nach kurzer Zeit automatisch ab und lassen sich auch nicht mehr neu starten - egal was man anstellt.

Deaktiviert man die Phase1 der Mobilen Clients bauen sich die LAN-LAN VPNs wieder automatisch auf - laufen also wieder einwandfrei.

Die einzelnen LAN-LAN VPNs haben jeweils eigene Preshared Keys - natürlich an beiden Enden jeweils die gleichen Preshared Keys, ansonsten kommt natürlich keine Verbindung zu Stande.

Also 5 Verbindungen von pfsense nach - Standort A (Preshared Key "X"); pfsense - Standort B (Preshared Key "Y"), usw. = jeweils andere Prehshared Keys.

Sobald man nun "IPSEC Mobile Clients" aktiviert und die Phase 1 der Mobilen Verbindung mit einem eigenen Preshared Key definiert, funktionieren sämtliche LAN-LAN VPNs nicht mehr, sondern nur noch die VPN Verbindung für die MobilenClients.

Den TIpp von jenni habe ich nun aufgegriffen und bei einer LAN-LAN VPN Verbindung getestet. Dort habe ich den Preshared Key der Mobilen Clients ebenfalls in der pfsense Box für die Verbindung zu Standort A eingetragen.

Sofort baute sich die LAN-LAN VPN Verbindung zu Standort A wieder auf und auch die Mobile Client VPN Verbindung stand noch. Nur die anderen LAN-LAN VPNs funktionierten immer noch nicht.

Die IPSec Programmierung in pfsense Version 2.3.2_1 (und auch davor) scheint ziemlicher Murcks zu sein. Wie ist es sonst zu erklären, dass nun die LAN-LAN VPN Verbindung zu Standort A aufgebaut wird, obwohl auf beiden Seiten pfsense -Standort und Standort-A unterschiedliche Preshared Keys verwendet werden und trotzdem steht die Verbindung?! Auch die der mobilien Clients funktioniert, nur die anderen VPNs der LAN-LAN Kopplungen funktioeren nicht, es sei denn ich trage dort ebenfalls den selben Preshared Key wie bei der Mobile Client-Verbindung ein.

Also für sämtliche Verbindungen "nur" einen Preshared Key?!
aqui
aqui 20.11.2016 um 15:47:27 Uhr
Goto Top
OK, für LAN zu LAN Tunnel kannst du natürlich andere PSKs verwenden als für die Mobile Clients das ist klar.
Sorry, das war dann ein Missverständnis.
jenni
jenni 23.11.2016 aktualisiert um 11:24:41 Uhr
Goto Top
Servus,

ist das herrlich,
Ein Leidensgenosse face-smile

Mein Tipp: Bau einen OpenVPN Server auf!

OK, für LAN zu LAN Tunnel kannst du natürlich andere PSKs verwenden als für die Mobile Clients das ist klar.
Sorry, das war dann ein Missverständnis.
Kein Problem, habe es überlebt ;)
aqui
aqui 23.11.2016 um 11:56:11 Uhr
Goto Top
Den OVPN Server muss er nicht "aufbauen", denn den hat die pfSense ja auch gleich mit an Bord face-wink
Sorry aber hier kommt es bei diversen pfSensen und APU1 Board mit ca. 10 VPN LAN2LAN Tunneln und IPsec Dialin parallel zu keinerlei Abbrüchen. Werder IPsec noch OVPN noch im Mix.
peter2017
peter2017 23.11.2016 um 12:08:00 Uhr
Goto Top
Dank dem Hinweis von jenni laufen jetzt VPN LAN-LAN Tunnel und IPSec xauth Dialin, allerdings nur mit dem selben Pre-Sharedkey. Komisch, dass es bei Dir aqui scheinbar auch anders funktioniert.

Abbrüche bei IPSEC gab es bisher nie, wenn die Verbindung einmal steht, dann steht Sie auch. Wollte nur bei der Anbindung flexibler sein und da fehlte mir die Verbindung der Mobile Clients einfach.

Damit hatte ich mich bereits seit Monaten beschäftigt und den Eintrag von Jenni gibt es hier ja erst seit Oktober. Im ganzen Netz ist zu dieser Problematik nämlich nichts zu finden.
jenni
jenni 23.11.2016 um 13:52:14 Uhr
Goto Top
Hallo aqui,

Den OVPN Server muss er nicht "aufbauen", denn den hat die pfSense ja auch gleich mit an Bord face-wink
Sorry aber hier kommt es bei diversen pfSensen und APU1 Board mit ca. 10 VPN LAN2LAN Tunneln und IPsec Dialin parallel zu
keinerlei Abbrüchen. Werder IPsec noch OVPN noch im Mix.

Welche Version der pfSense setzt du ein?
Hast du auch Mobile Clients?

Gruß
der jenni
Herbrich19
Herbrich19 23.11.2016 um 13:55:59 Uhr
Goto Top
Giebt es eigentlich OpenVPN Clients für Android von Offizieller Seite??
jenni
jenni 23.11.2016 um 14:14:53 Uhr
Goto Top
Zitat von @Herbrich19:

Giebt es eigentlich OpenVPN Clients für Android von Offizieller Seite??

Schon mal im Store eingegeben? "openvpn"
Herbrich19
Herbrich19 23.11.2016 um 14:16:22 Uhr
Goto Top
Ok, vielen herzlichen Dank und lieben Gruß,
J Herbrich
aqui
aqui 23.11.2016 um 17:09:47 Uhr
Goto Top
Wenn man das hiesige Tutorial sich mal ansieht sieht man sogar einen Screenshot von Android und iPhone !!!
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router