c.r.s.
24.01.2015
view4018
view9
2
Goto Top

PfSense 2.2 verfügbar

AllgemeinSicherheitFirewall
Es ist soweit, die neue pfSense-Version ist da. Sie bringt einige spannende Änderungen mit, vor allem im Bereich VPN.

Dank IKEv2 und L2TP/IPsec ist es nun möglich, die integrierten Clients von Windows und Windows Phone zu nutzen.

https://blog.pfsense.org/?p=1546
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 261019

Url: https://administrator.de/contentid/261019

Ausgedruckt am: 15.11.2024 um 07:11 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
orcape
orcape 24.01.2015 um 20:13:43 Uhr
Goto Top
Hi,
und Danke für den Link.
Schnurrt super auf dem ALIX und ein paar "Schönheitskorrekturen" den GUI betreffend sind auch mit eingeflossen.
Gruß orcape
heart1
schicksal
schicksal 25.01.2015 um 17:58:58 Uhr
Goto Top
"Dank IKEv2 und L2TP/IPsec ist es nun möglich, die integrierten Clients von Windows und Windows Phone zu nutzen."


Gibt es da schon eine Anleitung,, ich hab es schon mal mit der Beta probiert, aber es bisweilen noch nicht hingebracht?
DCFan01
DCFan01 27.01.2015 aktualisiert um 12:24:34 Uhr
Goto Top
Das würde mich auch sehr interessieren.

Werde die Tage wieder mal ne PF SENSE auf nem schönen ALIX-Board in Betrieb nehmen, daer würde mich für die Road Warrior ein Howto zu neu implementierten VPN-Funktionen bzw Protokollen sehr interessieren, da der Shrew VPN Client bei einigen Rechnern bei mir immer wieder Probleme verursacht hat , warum auch immer...
C.R.S.
C.R.S. 27.01.2015 um 12:21:23 Uhr
Goto Top
Mir fehlt jetzt die Zeit, aber wenn man in die Konfigurationsdateien schaut, müsste eigentlich alles, was es schon zu strongSwan gibt, Anhaltspunkte liefern:

https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
dirkschwarz
dirkschwarz 30.01.2015 um 08:43:54 Uhr
Goto Top
Hallo zusammen,

hat das schon mal jemand hinbekommen?

"Dank IKEv2 und L2TP/IPsec ist es nun möglich, die integrierten Clients von Windows und Windows Phone zu nutzen".

..und Lust mal eine kleine Anleitung zu schreiben? Ich bekome es nicht hin!

Danke & Schönen Tag noch
schicksal
schicksal 30.01.2015 um 09:15:25 Uhr
Goto Top
Ich "spiele" mich auch schon seit einigen Tagen, hänge auch.
JudgeDredd
JudgeDredd 30.01.2015 um 12:29:48 Uhr
Goto Top
Hallo,

es geht hier zwar offensichtlich speziell um Windows ipSec Connect, aber ich stelle meine Frage mal in Bezug auf das pfSense Update.

Ich hatte eine funktionierenden ipSec Verbindung (Mutual PSK + Xauth) zwischen meiner pfSense und meinem Android Mobilgerät.
Seit dem besagten Update von 2.1.5 -> 2.2, funktioniert obiger Tunnel leider nicht mehr.
Ich habe testweise mal auf pfSense 2.1.5 zurückgedreht und alles war wieder berstens.

Offensichtlich hängt mein Problem mit dem neuen "strongSwan" zusammen.

Evtl. hat ja schon jemand meine Konstellation nach dem Update zum laufen gebracht und könnte mir mal seine Einstellungen "verraten".

Gruß,
Andreas
C.R.S.
C.R.S. 30.01.2015 um 20:59:11 Uhr
Goto Top
Für L2TP/IPsec gibt es eine Anleitung: https://doc.pfsense.org/index.php/L2TP/IPsec

IKEv2 habe ich jetzt mal von der Konfiguration her plausibel aufgesetzt und muss auch passen: Die Phase 1 scheitert immer an 13801, sowohl mit Computerzertifikaten, EAP-TLS als auch EAP-MSCHAP v2.

Jan 30 20:48:52 	charon: 16[MGR] check-in of IKE_SA successful.
Jan 30 20:48:52 	charon: 16[MGR] <con1|99> check-in of IKE_SA successful.
Jan 30 20:48:52 	charon: 05[NET] sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500]
Jan 30 20:48:52 	charon: 05[NET] sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500]
Jan 30 20:48:52 	charon: 16[MGR] checkin IKE_SA con1[99]
Jan 30 20:48:52 	charon: 16[MGR] <con1|99> checkin IKE_SA con1[99]
Jan 30 20:48:52 	charon: 16[NET] sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500] (1596 bytes)
Jan 30 20:48:52 	charon: 16[NET] <con1|99> sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500] (1596 bytes)
Jan 30 20:48:52 	charon: 16[IKE] sending end entity cert "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=ipsecserver"  
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> sending end entity cert "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=ipsecserver"  
Jan 30 20:48:52 	charon: 16[IKE] authentication of '192.168.88.99' (myself) with RSA signature successful  
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> authentication of '192.168.88.99' (myself) with RSA signature successful  
Jan 30 20:48:52 	charon: 16[IKE] peer supports MOBIKE
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> peer supports MOBIKE
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_SERVER attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_SERVER attribute
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_NBNS attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_NBNS attribute
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_DNS attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_DNS attribute
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_ADDRESS attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_ADDRESS attribute
Jan 30 20:48:52 	charon: 16[IKE] initiating EAP_IDENTITY method (id 0x00)
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> initiating EAP_IDENTITY method (id 0x00)
Jan 30 20:48:52 	charon: 16[IKE] received 28 cert requests for an unknown ca
Jan 30 20:48:52 	charon: 16[IKE] <99> received 28 cert requests for an unknown ca
Jan 30 20:48:52 	charon: 16[IKE] received cert request for unknown ca with keyid xx:xx...
Jan 30 20:48:52 	charon: 16[IKE] <99> received cert request for unknown ca with keyid xx:xx...
...
Jan 30 20:48:52 	charon: 16[IKE] received cert request for unknown ca with keyid xx:xx...
Jan 30 20:48:52 	charon: 16[IKE] <99> received cert request for unknown ca with keyid xx:xx...
Jan 30 20:48:52 	charon: 16[IKE] received cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:52 	charon: 16[IKE] <99> received cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:52 	charon: 16[NET] received packet: from 192.168.88.105[4500] to 192.168.88.99[4500] (828 bytes)
Jan 30 20:48:52 	charon: 16[NET] <99> received packet: from 192.168.88.105[4500] to 192.168.88.99[4500] (828 bytes)
Jan 30 20:48:52 	charon: 16[MGR] IKE_SA (unnamed)[99] successfully checked out
Jan 30 20:48:52 	charon: 16[MGR] IKE_SA (unnamed)[99] successfully checked out
Jan 30 20:48:52 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:52 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:52 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:52 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:52 	charon: 04[NET] received packet: from 192.168.88.105[4500] to 192.168.88.99[4500]
Jan 30 20:48:52 	charon: 04[NET] received packet: from 192.168.88.105[4500] to 192.168.88.99[4500]
Jan 30 20:48:51 	charon: 16[MGR] check-in of IKE_SA successful.
Jan 30 20:48:51 	charon: 16[MGR] <99> check-in of IKE_SA successful.
Jan 30 20:48:51 	charon: 05[NET] sending packet: from 192.168.88.99[500] to 192.168.88.105[500]
Jan 30 20:48:51 	charon: 05[NET] sending packet: from 192.168.88.99[500] to 192.168.88.105[500]
Jan 30 20:48:51 	charon: 16[MGR] checkin IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[MGR] <99> checkin IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[NET] sending packet: from 192.168.88.99[500] to 192.168.88.105[500] (337 bytes)
Jan 30 20:48:51 	charon: 16[NET] <99> sending packet: from 192.168.88.99[500] to 192.168.88.105[500] (337 bytes)
Jan 30 20:48:51 	charon: 16[IKE] sending cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:51 	charon: 16[IKE] <99> sending cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:51 	charon: 16[IKE] IKE_SA (unnamed)[99] state change: CREATED => CONNECTING
Jan 30 20:48:51 	charon: 16[IKE] <99> IKE_SA (unnamed)[99] state change: CREATED => CONNECTING
Jan 30 20:48:51 	charon: 16[IKE] 192.168.88.105 is initiating an IKE_SA
Jan 30 20:48:51 	charon: 16[IKE] <99> 192.168.88.105 is initiating an IKE_SA
Jan 30 20:48:51 	charon: 16[NET] received packet: from 192.168.88.105[500] to 192.168.88.99[500] (616 bytes)
Jan 30 20:48:51 	charon: 16[NET] <99> received packet: from 192.168.88.105[500] to 192.168.88.99[500] (616 bytes)
Jan 30 20:48:51 	charon: 16[MGR] created IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[MGR] created IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:51 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:51 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:51 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:51 	charon: 04[NET] received packet: from 192.168.88.105[500] to 192.168.88.99[500]

Bei Gelegenheit werde ich das noch mal mit extern generierten Zertifikaten probieren.
DCFan01
DCFan01 02.02.2015 aktualisiert um 23:19:21 Uhr
Goto Top
Also ich habe am Wochenende 1 PF SENSE 2.2 aufgesetzt und auch gleich paar VPV_Verbindungen für die Road Warrior erstellt.

Verbindungen klappen mit dem oben genannten How_To von PF SENSE selbst (zumindest mit PSK) wunderbar (L2TP over IPSEC) mit dem Ob-Board VPN-Client von Windows 7 und einer PF SENSE 2.2

An Zertifikate mache ich demnächst dann auch noch, wenn ich mal Zeit habe
AllgemeinSicherheitFirewall
Mehr von C.R.S.C.R.S.NTA auf Windows DNS-ServerC.R.S.C.R.S.YubiKey Smart Card Minidriver und Slot 9cC.R.S. - 1 KommentarC.R.S.PfSense - Squid Package wird entferntC.R.S. - 3 KommentareC.R.S.Neue Open-Source-Firewall: DynFiC.R.S. - 18 Kommentare
Heiß diskutiert
MysticFoxDESERVER 2025 - NIC-Performance - Per Default sehr "durchwachsen"MysticFoxDE - 36 KommentareRoland567VMware - Broadcom und neue PreiseRoland567 - 35 KommentareFohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 30 Kommentareseppo1Switche KMUseppo1 - 28 KommentarekartoffelesserCable Diagnostics - Distance to fault 11,5 Meterkartoffelesser - 19 KommentaredenfinHeimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)denfin - 18 KommentareKarlHoGeklonte Windows Systeme in MDM aufnehmenKarlHo - 17 KommentareChurchOfTuxUmstieg von LANCOM Routern?ChurchOfTux - 16 KommentareBlackmannZwang zur TelefonnummernbereitstellungBlackmann - 16 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 Kommentaremorpheus2010De Domain für Mailadressen wie sicher ist der WHOISmorpheus2010 - 15 KommentareDSchmolkeReset-ComputerMachinePassword LapsDSchmolke - 12 Kommentare