16
PFSense 2.2.3 IPSec Site-2-Site Tunnel brechen mit hinzufügen Moblie-Clients weg
Moin Zusammen,
gegeben ist eine PFSense 2.2.3
Standleitung 20MBit
Ich habe 4 VPN Tunnel die super laufen.
Möchte ich jetzt aber Mobile Clients hinzufügen, brechen diese ab.
Stelle ich die Clients auf den Mode Main laufen die Tunnel.
Stelle ich den Mode auf agressiv, was ich eigentlich möchte, brechen diese weg.
ich habe hier im Forum gelesen, dass bei der Version 2.2.x die Phase 1 PSK's identisch sein müssen. Gilt das auch für die Mode Einstellungen?
Hat jemand eine Idee oder Denkanstoß für mich?
LG Jenni
gegeben ist eine PFSense 2.2.3
Standleitung 20MBit
Ich habe 4 VPN Tunnel die super laufen.
Möchte ich jetzt aber Mobile Clients hinzufügen, brechen diese ab.
Stelle ich die Clients auf den Mode Main laufen die Tunnel.
Stelle ich den Mode auf agressiv, was ich eigentlich möchte, brechen diese weg.
ich habe hier im Forum gelesen, dass bei der Version 2.2.x die Phase 1 PSK's identisch sein müssen. Gilt das auch für die Mode Einstellungen?
Hat jemand eine Idee oder Denkanstoß für mich?
LG Jenni
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 317139
Url: https://administrator.de/contentid/317139
Printed on: April 19, 2024 at 15:04 o'clock
16 Comments
Latest comment
Welche Mobile Client IPsec VPN Software verwendest du und wie ist deren Konfig ??
Was sagt das Log wenn du dich mit einem Client im Agressive Mode einwählst ?
Deine Infos sind recht spärlich für eine zielführende Hilfe
Was sagt das Log wenn du dich mit einem Client im Agressive Mode einwählst ?
Deine Infos sind recht spärlich für eine zielführende Hilfe
Hallo aqui,
Ich würde gerne den Shrew Soft VPN Client verwenden wollen.
Ausgangssituation war, dass ich die 4 Site-2-Site Tunnel hatte.
Jetzt möchte ich gerne auch den Mobile Client Access über IPSec laufen lassen.
Also eben auf der PFSense Richtung VPN->IPSec navigiert.
Dort auf Mobile Clients geklickt.
Den Button Enable IPsec Mobile Client Supportgeklickt.
Danach sagt die PFSense.
Support for IPsec Mobile clients is enabled but a Phase1 definition was not found.
Please click Create to define one.
Also Phase 1 und 2 angelegt
Phase 1
Phase 2
So jetzt das Ganze nochmal mit Apply bestätigen... (dachte ich mir Fertig)
...und nach dem Bestätigen brechen die 4 bestehenden Tunnel zusammen und kommen nicht mehr hoch!
der Jenni
Ps: Ich würde dir gerne was an Logs liefern, aber bis dahin komme ich leider nicht
Ich würde gerne den Shrew Soft VPN Client verwenden wollen.
Ausgangssituation war, dass ich die 4 Site-2-Site Tunnel hatte.
Jetzt möchte ich gerne auch den Mobile Client Access über IPSec laufen lassen.
Also eben auf der PFSense Richtung VPN->IPSec navigiert.
Dort auf Mobile Clients geklickt.
Den Button Enable IPsec Mobile Client Supportgeklickt.
Danach sagt die PFSense.
Support for IPsec Mobile clients is enabled but a Phase1 definition was not found.
Please click Create to define one.
Also Phase 1 und 2 angelegt
Phase 1
- Authentication method: Mutual PSK
- Negotiation mode: aggressive
- My identifier: My IP address
- Peer identfier: User Distinguished Name, vpnusers@example.com
- Pre-Shared Key: aaabbbccc (Use something much longer and more random!)
- Policy Generation: Unique
- Proposal Checking: Strict
- Encryption Algorithm: AES 256
- Hash Algorithm: SHA1
- DH Key Group: 2
- Lifetime: 28800
- NAT Traversal: Force
Phase 2
- Mode: Tunnel
- Local Network: (the local network, e.g. LAN, or 0.0.0.0/0 to send everything over VPN)
- Protocol: ESP
- Encryption Algorithms: AES 256
- Hash Algorithms: SHA1
- PFS key group: off
- Lifetime: 28800
So jetzt das Ganze nochmal mit Apply bestätigen... (dachte ich mir Fertig)
...und nach dem Bestätigen brechen die 4 bestehenden Tunnel zusammen und kommen nicht mehr hoch!
der Jenni
Ps: Ich würde dir gerne was an Logs liefern, aber bis dahin komme ich leider nicht
Ich würde gerne den Shrew Soft VPN Client verwenden wollen.
Warum der Konjunktiv ?? Verwendest du ihn oder nicht ? Das sollte fehlerlos mit der pfSense klappen.Diese Tutorials beschreiben es:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und auch
https://www.shrew.net/support/Howto_pfSense
https://blog.andregasser.net/how-to-configure-ipsec-vpn-on-pfsense-for-u ...
Ich würde dir gerne was an Logs liefern, aber bis dahin komme ich leider nicht
Na ja das pfSense Log wirst du ja auslesen können, oder ?
Hallo aqui,
Danke für die Links,.
werde ich durcharbeiten!
Ich melde mich!
Danke für die Links,.
werde ich durcharbeiten!
Ich melde mich!
Hallo Aqui,
vielen Dank für deine Hilfe!
Es lag am PSKey. Dieser muss wohl bei der PFsense 2.2.3 überall gleich sein.
Da ich für den Tunnel auch andere Ports brauche, als 443 oder 80, die im Hotel-WLan offen sein sollten, habe ich mich für OpenVPN entschieden.
Der OpenVPN Server lauscht in meiner Konfiguration auf 443.
Gruß Jenni
vielen Dank für deine Hilfe!
Es lag am PSKey. Dieser muss wohl bei der PFsense 2.2.3 überall gleich sein.
Da ich für den Tunnel auch andere Ports brauche, als 443 oder 80, die im Hotel-WLan offen sein sollten, habe ich mich für OpenVPN entschieden.
Der OpenVPN Server lauscht in meiner Konfiguration auf 443.
Gruß Jenni
Es lag am PSKey. Dieser muss wohl bei der PFsense 2.2.3 überall gleich sein.
Auf der ganzen Welt müssen Preshared Keys auf beiden Seiten gleich sein !!!Kann das sein das du da irgendwas missverstanden hast ?!
Hallo aqui,
habe das selbe Problem wie "jenni" allerdings suche ich seit zig Monaten nach der Lösung, weil nämlich sämtliche Konfigurationsvorschläge und Tutorials genau 1:1 umgesetzt wurden und der Fehler trotzdem immer wieder auftrat.
Erst der Hinweis von "jenni" scheint das Problem/den grundsätzlichen Bug in pfsense zu lösen/umgehen.
Habe seit Ewigkeiten 5 LAN - LAN VPNs am Laufen, nun wollte ich vor Monaten zusätzlich den "IPSec Mobile Clients" ebenfalls den Zugang ermöglichen.
Sobald man die Phase 1 für die "Mobile Clients" erstellt und speichert, brechen sämtliche LAN-LAN VPNs nach kurzer Zeit automatisch ab und lassen sich auch nicht mehr neu starten - egal was man anstellt.
Deaktiviert man die Phase1 der Mobilen Clients bauen sich die LAN-LAN VPNs wieder automatisch auf - laufen also wieder einwandfrei.
Die einzelnen LAN-LAN VPNs haben jeweils eigene Preshared Keys - natürlich an beiden Enden jeweils die gleichen Preshared Keys, ansonsten kommt natürlich keine Verbindung zu Stande.
Also 5 Verbindungen von pfsense nach - Standort A (Preshared Key "X"); pfsense - Standort B (Preshared Key "Y"), usw. = jeweils andere Prehshared Keys.
Sobald man nun "IPSEC Mobile Clients" aktiviert und die Phase 1 der Mobilen Verbindung mit einem eigenen Preshared Key definiert, funktionieren sämtliche LAN-LAN VPNs nicht mehr, sondern nur noch die VPN Verbindung für die MobilenClients.
Den TIpp von jenni habe ich nun aufgegriffen und bei einer LAN-LAN VPN Verbindung getestet. Dort habe ich den Preshared Key der Mobilen Clients ebenfalls in der pfsense Box für die Verbindung zu Standort A eingetragen.
Sofort baute sich die LAN-LAN VPN Verbindung zu Standort A wieder auf und auch die Mobile Client VPN Verbindung stand noch. Nur die anderen LAN-LAN VPNs funktionierten immer noch nicht.
Die IPSec Programmierung in pfsense Version 2.3.2_1 (und auch davor) scheint ziemlicher Murcks zu sein. Wie ist es sonst zu erklären, dass nun die LAN-LAN VPN Verbindung zu Standort A aufgebaut wird, obwohl auf beiden Seiten pfsense -Standort und Standort-A unterschiedliche Preshared Keys verwendet werden und trotzdem steht die Verbindung?! Auch die der mobilien Clients funktioniert, nur die anderen VPNs der LAN-LAN Kopplungen funktioeren nicht, es sei denn ich trage dort ebenfalls den selben Preshared Key wie bei der Mobile Client-Verbindung ein.
Also für sämtliche Verbindungen "nur" einen Preshared Key?!
habe das selbe Problem wie "jenni" allerdings suche ich seit zig Monaten nach der Lösung, weil nämlich sämtliche Konfigurationsvorschläge und Tutorials genau 1:1 umgesetzt wurden und der Fehler trotzdem immer wieder auftrat.
Erst der Hinweis von "jenni" scheint das Problem/den grundsätzlichen Bug in pfsense zu lösen/umgehen.
Habe seit Ewigkeiten 5 LAN - LAN VPNs am Laufen, nun wollte ich vor Monaten zusätzlich den "IPSec Mobile Clients" ebenfalls den Zugang ermöglichen.
Sobald man die Phase 1 für die "Mobile Clients" erstellt und speichert, brechen sämtliche LAN-LAN VPNs nach kurzer Zeit automatisch ab und lassen sich auch nicht mehr neu starten - egal was man anstellt.
Deaktiviert man die Phase1 der Mobilen Clients bauen sich die LAN-LAN VPNs wieder automatisch auf - laufen also wieder einwandfrei.
Die einzelnen LAN-LAN VPNs haben jeweils eigene Preshared Keys - natürlich an beiden Enden jeweils die gleichen Preshared Keys, ansonsten kommt natürlich keine Verbindung zu Stande.
Also 5 Verbindungen von pfsense nach - Standort A (Preshared Key "X"); pfsense - Standort B (Preshared Key "Y"), usw. = jeweils andere Prehshared Keys.
Sobald man nun "IPSEC Mobile Clients" aktiviert und die Phase 1 der Mobilen Verbindung mit einem eigenen Preshared Key definiert, funktionieren sämtliche LAN-LAN VPNs nicht mehr, sondern nur noch die VPN Verbindung für die MobilenClients.
Den TIpp von jenni habe ich nun aufgegriffen und bei einer LAN-LAN VPN Verbindung getestet. Dort habe ich den Preshared Key der Mobilen Clients ebenfalls in der pfsense Box für die Verbindung zu Standort A eingetragen.
Sofort baute sich die LAN-LAN VPN Verbindung zu Standort A wieder auf und auch die Mobile Client VPN Verbindung stand noch. Nur die anderen LAN-LAN VPNs funktionierten immer noch nicht.
Die IPSec Programmierung in pfsense Version 2.3.2_1 (und auch davor) scheint ziemlicher Murcks zu sein. Wie ist es sonst zu erklären, dass nun die LAN-LAN VPN Verbindung zu Standort A aufgebaut wird, obwohl auf beiden Seiten pfsense -Standort und Standort-A unterschiedliche Preshared Keys verwendet werden und trotzdem steht die Verbindung?! Auch die der mobilien Clients funktioniert, nur die anderen VPNs der LAN-LAN Kopplungen funktioeren nicht, es sei denn ich trage dort ebenfalls den selben Preshared Key wie bei der Mobile Client-Verbindung ein.
Also für sämtliche Verbindungen "nur" einen Preshared Key?!
OK, für LAN zu LAN Tunnel kannst du natürlich andere PSKs verwenden als für die Mobile Clients das ist klar.
Sorry, das war dann ein Missverständnis.
Sorry, das war dann ein Missverständnis.
Servus,
ist das herrlich,
Ein Leidensgenosse
Mein Tipp: Bau einen OpenVPN Server auf!
ist das herrlich,
Ein Leidensgenosse
Mein Tipp: Bau einen OpenVPN Server auf!
OK, für LAN zu LAN Tunnel kannst du natürlich andere PSKs verwenden als für die Mobile Clients das ist klar.
Sorry, das war dann ein Missverständnis.
Kein Problem, habe es überlebt ;)Sorry, das war dann ein Missverständnis.
Den OVPN Server muss er nicht "aufbauen", denn den hat die pfSense ja auch gleich mit an Bord 
Sorry aber hier kommt es bei diversen pfSensen und APU1 Board mit ca. 10 VPN LAN2LAN Tunneln und IPsec Dialin parallel zu keinerlei Abbrüchen. Werder IPsec noch OVPN noch im Mix.
Sorry aber hier kommt es bei diversen pfSensen und APU1 Board mit ca. 10 VPN LAN2LAN Tunneln und IPsec Dialin parallel zu keinerlei Abbrüchen. Werder IPsec noch OVPN noch im Mix.
Dank dem Hinweis von jenni laufen jetzt VPN LAN-LAN Tunnel und IPSec xauth Dialin, allerdings nur mit dem selben Pre-Sharedkey. Komisch, dass es bei Dir aqui scheinbar auch anders funktioniert.
Abbrüche bei IPSEC gab es bisher nie, wenn die Verbindung einmal steht, dann steht Sie auch. Wollte nur bei der Anbindung flexibler sein und da fehlte mir die Verbindung der Mobile Clients einfach.
Damit hatte ich mich bereits seit Monaten beschäftigt und den Eintrag von Jenni gibt es hier ja erst seit Oktober. Im ganzen Netz ist zu dieser Problematik nämlich nichts zu finden.
Abbrüche bei IPSEC gab es bisher nie, wenn die Verbindung einmal steht, dann steht Sie auch. Wollte nur bei der Anbindung flexibler sein und da fehlte mir die Verbindung der Mobile Clients einfach.
Damit hatte ich mich bereits seit Monaten beschäftigt und den Eintrag von Jenni gibt es hier ja erst seit Oktober. Im ganzen Netz ist zu dieser Problematik nämlich nichts zu finden.
Hallo aqui,
Welche Version der pfSense setzt du ein?
Hast du auch Mobile Clients?
Gruß
der jenni
Den OVPN Server muss er nicht "aufbauen", denn den hat die pfSense ja auch gleich mit an Bord
Sorry aber hier kommt es bei diversen pfSensen und APU1 Board mit ca. 10 VPN LAN2LAN Tunneln und IPsec Dialin parallel zu
keinerlei Abbrüchen. Werder IPsec noch OVPN noch im Mix.
Sorry aber hier kommt es bei diversen pfSensen und APU1 Board mit ca. 10 VPN LAN2LAN Tunneln und IPsec Dialin parallel zu
keinerlei Abbrüchen. Werder IPsec noch OVPN noch im Mix.
Welche Version der pfSense setzt du ein?
Hast du auch Mobile Clients?
Gruß
der jenni
Giebt es eigentlich OpenVPN Clients für Android von Offizieller Seite??
Schon mal im Store eingegeben? "openvpn"
Ok, vielen herzlichen Dank und lieben Gruß,
J Herbrich
J Herbrich
Wenn man das hiesige Tutorial sich mal ansieht sieht man sogar einen Screenshot von Android und iPhone !!!
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
