PfSense 2.2.6 IPSec VPN Moblie Clients AES-128 nicht möglich?

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

28.02.2016 um 21:25 Uhr, 3336 Aufrufe, 29 Kommentare

Folgendes Setup:

PfSense mit Site2Site VPN zur Fritzbox und mobilen Clients (IPSec)

Phase 1 bei der Fritte ist mit AES-256 konfiguriert.

Phase 1 bei den Clients ist mit AES-128 konfiguriert.

Fehlermeldung der PfSense bei der Clienteinwahl: kein passendes Proposal. (Man kann sehen, dass StrongSwan AES-256 erwartet, trotz anderer Einstellung in der GUI.

Stelle ich den Client auf AES-256 klappt die Einwahl.
Stelle ich die Phase1 für die Site2Site Einwahl auf AES-128 klappt die Client-Einwahl auch wieder. Aber natürlich kann die FB mit dem Proposal dann nichts anfangen, ;-) face-wink

Es sieht also so aus, als ob die PfSense die Proposals für die Phase-1 der Clienteinwahl aus den Settings der anderen Phase1 ausliest.

Merkwürdig, oder?

Hat noch jemand diese Probleme?
29 Antworten
Mitglied: Dobby
29.02.2016 um 00:14 Uhr
Hallo,

Stelle ich den Client auf AES-256 klappt die Einwahl.
Weil vorher die Einwahl funktioniert hat, und die Lease der Sitzung wohl noch aktiv
ist kommt sie eben wieder schnell zu Stande.

Gruß
Dobby

Bitte warten ..
Mitglied: the-buccaneer
29.02.2016 um 07:18 Uhr
Eben nicht. Die Clienteinwahl hatte ja nicht geklappt. Oder versteh ich dich falsxh?
Bitte warten ..
Mitglied: aqui
29.02.2016, aktualisiert um 10:19 Uhr
Rennt die pfSense auf einem ALIX Bord mit dedizierter Crypto HW sprich 2Dxx Boards ?
Wenn das der Fall ist und diese Hardware, wie es sein sollte, in den Miscellaneous Settings aktiviert wurde, dann supportet die pfSense nur AES 128.
Bei allen anderen Boards z.B. APU1D usw. entfällt das natürlich.
Du kannst sonst den Dubug Lever auf der pfSense in den "Advanced Settings" unter IPsec hochsetzen um einen detailiertern Debug Output im Syslog zu bekommen.
Bitte warten ..
Mitglied: the-buccaneer
29.02.2016 um 22:37 Uhr
@aqui: Die PfSense rennt wie beim mir (intern) immer auf einem FSC S400.

Ich stell den Duduk-Level nochmal höher, ;-) face-wink aber der Fehler ist ja klar definiert: Sie erwartet AES-256 trotz eingestelltem AES-128. Offenbar werden aktuell verschiedene Einstellungen für verschiedene Interfaces nicht unterstützt. (?)
Magst Du das mal nachstellen ob das reproduzierbar ist?

Hat denn wirklich keiner eine PfSense im Einsatz, die verschiedene Algorithmen für die statische und die mobile Verbindung verwendet?

Schön ist aber am StrongSwan, dass er das Proposal der Gegenseite im Log abbildet und ich so endlich mal erfahren konnte, was die Frittzbox mit meinem Setting real supportet. Da ist AES-128 übrigens dabei, auch wenn keine Verbindung zustandekommt.

Bug
Bitte warten ..
Mitglied: aqui
02.03.2016 um 17:45 Uhr
Mmmmhhh...wenn du AES-128 und AES-256 anhakst, dann sollte das Proposal eigentlich beide Optionen anbieten. Partner einigen sich dann immer auf das größte gemeinsame Vielfache.
Ich werde die pfSense im Praxistutorial mal für Client Dialin konfigurieren und dir dann berichten.
Bitte warten ..
Mitglied: the-buccaneer
08.03.2016 um 01:18 Uhr
Achtung: Site2Site AES-256 Client AES-128.

Berichte mal. Bin neugierig. ;-) face-wink
Bitte warten ..
Mitglied: the-buccaneer
19.05.2016 um 01:45 Uhr
Och aqui... "Long time no see..."

Haste das mal getestet? Das ist noch immer ungelöst und da wir uns hier langsam zum deutschen pfSense Forum mausern... ;-) face-wink
Auf der 2.1.x mit Racoon ging das noch problemlos.

Und erzähl mir jetzt nix von 2.3 ;-) face-wink (oder hat sich die StrongSwan Version geändert?)

LG
Buc
Bitte warten ..
Mitglied: aqui
19.05.2016 um 15:11 Uhr
Nee... zu faul und wenig Zeit.... Mal sehen wenns regnet am Wochenende. :-) face-smile
Ich habe jetzt sogar ein freies APU1D jetzt zum Testen hier....
Bitte warten ..
Mitglied: orcape
02.06.2016 um 17:39 Uhr
Hi Aqui,
Ich habe jetzt sogar ein freies APU1D jetzt zum Testen hier....
Ja wie schön für Dich...;-) face-wink
Leider habe ich beim Verbindungsversuch IPSec zwischen pfSense-Alix (AES-128, leider 256 nicht möglich) und einer Fritte 3370 das gleiche Problem wie @the-buccaneer. Alles Config-Versuche erfolglos.:-( face-sad
Ich habe mir als "Alternative" zur Fritte nun einen E4200 in der Bucht ersteigert, um mit DD-WRT zu "kontern". Leider eine V2 erwischt :-( face-sad und nix DD-WRT.
Bin nun an der Config für OpenWRT mit OpenVPN am "rummurksen", gestaltet sich schon fast wie "Fritzbox".:-) face-smile
Gruß orcape
Bitte warten ..
Mitglied: aqui
02.06.2016, aktualisiert um 17:53 Uhr
Verbindungsversuch IPSec zwischen pfSense-Alix (AES-128, leider 256 nicht möglich)
Das ist leider etwas doppeldeutig... :-( face-sad
  • Was meinst du Client VPN oder Site to Site ? Oder beides parallel ?
  • Auf einem ALIX 2Dxx ist nur AES 128 möglich weil der interne Cryptochip nicht mehr kann. Das 2Dxx macht die Verschlüsselung sehr performant in HW. 256 geht mit dem APU1D aber fehlerlos, da in SW.
  • Das es mit 128 klappt kannst du HIER ja sehen !
  • AES 256 funktioniert aber mit APU1D, getestet mit dem latest 2.3.1_p1 Patch. (Site to Site zu Cisco)
Fritzbox IPsec ist doch echt easy geworden mit der neuesten Firmware. Da ist nichtmal mehr die extra Software erforderlich. 3 Klicks im GUI et voila...schon ist IPsec online. Siehe Tutorial oben...
Kollege Buc meint aber die Client VPN Seite bzw. das gleichzeitige Site to Site UND Client VPN auf einer Box denke ich.
Ich habe bis dato nur Site to Site getestet.
Bitte warten ..
Mitglied: the-buccaneer
03.06.2016 um 03:02 Uhr
Richtig. Ich meinte (und meine) das gleichzeitige AES 256 auf einer site2site und ein AES 128 auf einer parallel installierten mobilen IPSec Einwahl.
Das klappt nicht mit der 2.2.6.
Der StrongSwan will auf beiden Connections dieselbe Verschlüsselung. Und denselben PSK. (Warum auch immer, sicher ein Bug)

Die FB sollte aber witzigerweise doch auch 128 bit unterstützen, wie ich aus den Aushandlungsprotokollen ershehen konnte, die ja in StrongSwan angezeigt werden. (mindestens auf der aktuellen Firmware)
Mein Tip (ungetestet) wäre also mal nur diese Verbindung auf AES128 laufen zu lassen. Debug-Level etwas hochstellen.
https://doc.pfsense.org/index.php/IPsec_Troubleshooting

und auch auf der Fritte mal sehen, was der fehler ist. Wenn es in Richtung "Hash-Fehler" geht, nochmal den PSK auf beiden Seiten eingeben. ;-) face-wink

Aber du weisst das... Welche PfSense, welche FB-Firmware etc.pp.
Das ist immer schon kompliziert genug, wenn man direkt vor den Kisten hockt. Aber ohne die kisten zu kennen, naja...
LG
Buc
Bitte warten ..
Mitglied: orcape
03.06.2016 um 18:59 Uhr
Hi,
IPSec Site-to-Site Tunnel pfSense 2.3 zu Fritzbox 3370 FRITZ!OS:06.51
pfSense mit DSL feste-Ip, Fritzbox web.vodafone.de über Mobilfunk, HSPA IP-Adresse: 100.64.xxx.122, DynDNS
Einstellungen lt.Tutorial @Aqui.
Gruß orcape
Bitte warten ..
Mitglied: the-buccaneer
03.06.2016 um 19:51 Uhr
So und wenn du mir jetzt noch sagst, wie die Fehlermeldungen auf der Fritte und der pfSense lauten, könnte ich mal versuchen, das nachzustellen... oder dir einen sonstigen Tip geben evtl. vielleicht. ;-) face-wink

Und am besten noch die Konfigurationsdaten dazu zum abgleichen...

Buc
Bitte warten ..
Mitglied: orcape
03.06.2016 um 20:50 Uhr
Fritte
pfsense Logs...
Vor der pfSense ist eine 7490 in der Routerkaskade, Netz 192.168.219.0/24. IPSec ist da per Portforwarding freigeschaltet.
Bitte warten ..
Mitglied: the-buccaneer
03.06.2016, aktualisiert um 22:44 Uhr
Jun 3 20:43:16 charon 09[IKE] <1869> found 1 matching config, but none allows pre-shared key authentication using Aggressive Mode

Bitte checke in der PfSense Phase 1

Authentication Method. "Mutual PSK"

Negotiation Mode "Aggressive"

Ich habe mit der FB immer PFS im Einsatz. Z.B.: esp-all-all/ah-none/comp-all/pfs

Das ist in der PfSense in derPhase 2 zu konfigurieren mit PFS Group 2 und Lifetime 3600 sec.


Edith: Die Fritte liefert dir unter System auch Fehlermeldungen.

Und unter always_renew kannst du ruhig bei einer Site2Site Verbindung yes setzen.

Und dass das gesamte Internet via VPN über die Fritte erreichbar ist, ist gewollt?

Buc
Ausserdem fällt mir auf: Bei mir steht IMMER in der fb.cfg:
conn_type = conntype_lan
Bitte warten ..
Mitglied: orcape
04.06.2016 um 09:43 Uhr
Ich habe mit der FB immer PFS im Einsatz. Z.B.: esp-all-all/ah-none/comp-all/pfs
conn_type = conntype_lan
always_renew = yes;
Habe ich geändert, einzig verbliebene Fehlermeldung auf der pfSense.....
Auf der Fritte...
Fehler 203f = "authentication failed"
Und dass das gesamte Internet via VPN über die Fritte erreichbar ist, ist gewollt?
Nicht wirklich.;-) face-wink
Ok. ?
Bitte warten ..
Mitglied: aqui
04.06.2016, aktualisiert um 15:35 Uhr
NAT Traversal sollte eigentlich immer an sein !
@orcape
Kommt der Tunnel zustande und kannst du darüber pingen ?
Und...2te Frage: Hast du noch die nackte 2.3 oder schon die aktuelle 2.3.1 mit dem P1 Patch (2.3.1_p1) ??
Bitte warten ..
Mitglied: orcape
04.06.2016 um 16:25 Uhr
NAT Traversal sollte eigentlich immer an sein !
Ist wieder aktiv.
Kommt der Tunnel zustande und kannst du darüber pingen ?
Nein.
ipsec - Klicke auf das Bild, um es zu vergrößern
Und...2te Frage: Hast du noch die nackte 2.3 oder schon die aktuelle 2.3.1 mit dem P1 Patch (2.3.1_p1) ??
2.3
Bitte warten ..
Mitglied: aqui
04.06.2016, aktualisiert um 16:28 Uhr
Ooops...liegt das jetzt am Krypto Set oder warum nicht ??
Irgendwelche relevanten Error Meldungen von der FB und/oder pfSense Seite ?
Installier mal den latest Patch.
Bitte warten ..
Mitglied: orcape
04.06.2016 um 16:57 Uhr
Ooops...liegt das jetzt am Krypto Set oder warum nicht ??
Nun, ich geh mal davon aus, das Du hier wohl nicht unrecht hast.
Seit 2.3 tut sich die pfSense auf dem ALIX mehr als schwer, was Änderungen per GUI betrifft.
Ich greife z.Zt. per OpenVPN auf die pf zu und da ist eine Änderung mehr wie zähflüssig.
Es laufen 4 OVPN Tunnel drauf. Ich glaube schon fast, das das Teil seit 2.3 etwas überfordert ist.
Bitte warten ..
Mitglied: orcape
04.06.2016 um 19:55 Uhr
Habe gerade auf 2.3.1 aktualisiert. War wohl keine so blendende Idee.:-( face-sad
Drei meiner Tunnel, alles Site-to-Site (AES-128-CBC und BF-CBC) sind mit "Krypto Problemen" ausgestiegen. Einzig der Linux-Client zur pfSense funktioniert noch. Welchem Umstand das nun wieder zu verdanken ist? Dem ALIX oder der Tatsache das 2.3.1 noch nicht "reif" ist für die Praxis?
Bitte warten ..
Mitglied: the-buccaneer
05.06.2016 um 01:30 Uhr
PfSense aktualisieren? ;-) face-wink Hihii. ;-) face-wink
Aktuell wohl nicht sooo stabil.

Mein Vorschlag: Wenn du nicht die 2.3.x aus irgendeinem Grund brauchst / willst, nimm eine saubere Neuinstallation der 2.2.6 und spiele deine gesicherte Konfiguration ein.
2.1.x ist auch noch eine Wahl, wenn du bestimmte packages nicht brauchst und gewillt bist, diie Fixes händisch durchzusehen und eine Entscheidung zur Sicherheit zu treffen.
Das Einspielen der gesicherten Konfig. funktioniert nämlich seit jeher stabil...
Lösche die IPSec VPN Verbindungen. (Alle!)
Starte neu.

Danach neu anlegen, wie beschrieben und empfohlen.

Wenn du da keinen Fehler einbaust rennt das auch mit der Fritte auf AES-128.
Fast sicher. ;-) face-wink

OVPN ist wohl etwas CPU--lastiger als IPSec. Nun gut. Also 2.2.x und fertsch. ;-) face-wink

Buc
Bitte warten ..
Mitglied: orcape
05.06.2016 um 09:56 Uhr
Danke für die Info. Die CPU-Last auf dem ALIX spricht dann auch Bände. Also, return to 2.2.6 und für die Zukunft dann mal eine andere Hardware für die pfSense, denn das ALIX ist bei der Anzahl der Tunnel wohl schon etwas überfordert.
Gruß orcape
Bitte warten ..
Mitglied: BitBurg
05.06.2016, aktualisiert um 23:08 Uhr
Hallo buccaneer,

" Richtig. Ich meinte (und meine) das gleichzeitige AES 256 auf einer site2site und ein AES 128 auf einer parallel installierten mobilen IPSec Einwahl. Das klappt nicht mit der 2.2.6. Der StrongSwan will auf beiden Connections dieselbe Verschlüsselung. Und denselben PSK. (Warum auch immer, sicher ein Bug)"

Um das bei der Pfsense zu testen, habe ich folgenden Aufbau benutzt:

bucc-lab2 - Klicke auf das Bild, um es zu vergrößern

Der Linux-Server (Debian/Strongswan 5.2.1) und die Pfsense (2.2.6) sind in VirtualBox, der Cisco-Router in GNS3 installiert. Der Client ist mein PC und R1 ist mein physikalischer Router mit NAT-Loopback. Die Captures habe ich an der Pfsense gemacht.

Verbindungsaufbau mit Shrew:
ike-shrew - Klicke auf das Bild, um es zu vergrößern

Verbindungsaufbau mit Linux/Cisco:
ike-strongswan - Klicke auf das Bild, um es zu vergrößern

Bei beiden Verbindungen habe ich einen anderen Pre-shared Key. Wenn du also schon eine funktionierende Verbindung mit der Fritzbox herstellen kannst, müsste das mit der Clienteinwahl auch funktionieren.

BB
Bitte warten ..
Mitglied: aqui
06.06.2016 um 08:54 Uhr
denn das ALIX ist bei der Anzahl der Tunnel wohl schon etwas überfordert.
Bitte welche Alix HW meinst du denn ?? 2Dxx Modelle oder das APU1 ?? Da ist ja ein erheblicher Unterschied !
Alix ist ja nun nicht gleich Alix...
Bitte warten ..
Mitglied: orcape
06.06.2016 um 17:38 Uhr
Bitte welche Alix HW meinst du denn ??
Na das 2D13, der Nachfolger APU sollte ja etwas mehr Reserven haben. Ich glaube nur, das ich mir das Teil mit Upgrade auf 2.3.1 in Sachen VPN fast komplett "totgelegt" habe. Der letzte von 4 Tunneln (Admin-Tunnel), vom Laptop zur pfSense war auch kurzzeitig "außer Gefecht". Die CPU-Anzeige pendelt mir sehr ungewöhnlich, recht oft zwischen 90 und 100% und dann geht nicht mehr viel auf dem GUI. Da muss ich wohl mal auf 2.2.6 zurücksetzen und das Backup einspielen. Leider bin ich im Moment nicht vor Ort.
Gruß orcape
Bitte warten ..
Mitglied: aqui
06.06.2016, aktualisiert um 18:31 Uhr
in Sachen VPN fast komplett "totgelegt" habe.
Hast du unter Diagnosis --> nanao BSD die Flash Operation auf Read Write gestellt und den Haken gesetzt das das permanent so sein soll.
Das verbessert die Antwortszeiten erheblich.
Die 2Ds haben aber das Problem das der Kryptochip intern nur max. 128 Bit supportet !
Hast du den in den Advanced Settings denn überhaupt aktiviert ?? (gxslb) und rebootet.
Das solltest du dringenst tun, ansonsten arbeitet das 2D13 rein in Software und logisch das es dann in die Knie geht.
Bitte warten ..
Mitglied: orcape
06.06.2016 um 19:50 Uhr
Hast du den in den Advanced Settings denn überhaupt aktiviert ?? (gxslb) und rebootet.
Ja logisch, steht wohl so auch in Deinem Tutorial.:-) face-smile
Zur Zeit geht von remote erst mal gar nix mehr, muss ich mir vor Ort anschauen und erst mal das Backup einspielen.
Dazu brauche ich aber erst mal ein Tiefdruckgebiet, bei dem derzeitigen Wetter sitzt es sich auf der Terrasse im Garten bei einem Bier einfach besser.;-) face-wink
Gruß orcape
Bitte warten ..
Mitglied: the-buccaneer
06.06.2016 um 23:05 Uhr
Hallo BitBurg!

Herzlichsten Dank! Das ist eine sehr hilfreiche Rückmeldung, die man leider zu selten bekommt, da die meisten eben das eigene Setting nicht 1:1 übertragbar im Einsatz haben und die Kollegen (incl. mir) nur selten den Nerv haben, mal was nachzubauen...)

Glaube mir, ich habe damals (und aktuell gerade wieder) einiges probiert, da ich das so nicht erwartet hätte.

nun grenzt sich der Fehler immerhin ein auf die Übernahme der Einstellungen nach einem Update.
Ursprünglich trat das auf nach einem Upgrade von der 2.1.5 auf die 2.2.6 jetzt trat es auf nach Rücksichern der Settings auf eine Neuinstallation der 2.2.6.
Beidesmal ist das: Settings Racoon --> Settings StrongSwan.

Evtl. müssten die User mit den PSK's neu angelegt werden (?)
Oder das komplette IPSec?

Da AES-128 sowieso nur eingerichtet wurde um ein iPhone zu supporten, das anders gar nicht wollte und der User aktuell noch nicht gemotzt hat mal abwarten... ;-) face-wink
So ist es erstmal erledigt mit der Anpassung des Shrews auf AES-256. (Was ja eh besser ist)

Trotzdem: Gut zu wissen!!!

Und orcape: Wir reissen uns hier am Rechner den A... auf und du sitzt mit einem Bier im Liegestuhl???
Na gut, nicht ganz, aber so ähnlich... ;-) face-wink

Mach ma, jeden Tag ist grad Gewitter. ;-) face-wink
Buc
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic22 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1048 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)14 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 21 StundenFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Microsoft
Datenkrake - Browser
DennisWeberVor 18 StundenErfahrungsberichtMicrosoft6 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...

LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 3 StundenFrageLAN, WAN, Wireless16 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...