Pfsense 2.5.1 mit EAP-MSChapv2

Mitglied: letstryandfindout
Hallo zusammen,

ich habe nun die erste Firewall auf 2.5.2 aktualisisert und seither geht VPN über ikev2 und EAP-MSChapv2 nicht mehr. Ich hatte bisher immer das selbe gemacht. Zertifikat erstellt, VPN eingerichtet und mit TheGreenBow VPN Client verbunden. Nun erhalte ich beim Versuch folgende Meldung:

20210721 08:47:35:623 TIKEV2_xxx No CA for certificate "C = US, ST = xxx, L = xxx, O = xxx, emailAddress = xxxxx, CN = www.xxx.xx"
20210721 08:47:35:624 TIKEV2_xxx Authentication failure : no certificate from remote endpoint.

Ich konnte die Meldung schon mal minimieren, indem ich ein neues erstellt habe und als "Server Certificate" definiert habe. Nun gibt es nur noch

Authentication failure : no certificate from remote endpoint.

Ich habe das auch einfach mal exportiert und bei mir im PC mit eingebunden beim GreenBow Client aber das ändert auch nichts. Ich weiss nicht was genau pfsense mit der Version 2.5 geändert hat, aber bevor ich die überall installiere müsste ich das Problem erst mal lösen :) face-smile

Kann mir eventuell jemand helfen?

Content-Key: 1067443883

Url: https://administrator.de/contentid/1067443883

Ausgedruckt am: 05.08.2021 um 00:08 Uhr

Mitglied: aqui
aqui 21.07.2021 aktualisiert um 10:48:22 Uhr
Goto Top
Du arbeitest mit einem US Zertifikat ??? Nicht dein Ernst, oder ?
Das Tutorial zu dem Thema hast du gelesen und alle dortigen Schritte umgesetzt ?
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
no certificate from remote endpoint.
Bedeutet ja das du entweder das neu erstellte Zertifikat auf der FW nicht aktiviert hast (und/oder das alte nicht gelöscht hast) oder vergessen hast das Zertifikat auf den VPN Client zu exportieren ?!
Mitglied: letstryandfindout
letstryandfindout 21.07.2021 um 11:00:11 Uhr
Goto Top
Ich habe beide Zertifikate gerade komplett neu gemacht und auch exportiert. So wie es in der Anleitung steht. Das mit dem US ist laut der Doku sogar egal. Ist aktuell aber nicht mehr der Fall. Jedoch erhalte ich leider immer noch die selbe Fehlermeldung. Trotz Import auf dem Client.
Mitglied: evoplus
evoplus 21.07.2021 aktualisiert um 11:10:15 Uhr
Goto Top
Authentication failure : no certificate from remote endpoint.
Bei dem Fehler wurde wohl vergessen das neue Zertifikat explizit dem VPN Dienst in den Einstellungen zuzuweisen und den Dienst mal neu zu starten.
Mitglied: aqui
aqui 21.07.2021 aktualisiert um 13:44:04 Uhr
Goto Top
Das mit dem US ist laut der Doku sogar egal
Nicht wenn es abgelaufen ist oder die Uhrzeit in der FW oder Client nicht stimmt. Das Default Zert. der Box sollte man aber natürlich aus guten Gründen niemals aktiv nutzen.
Habs hier grad mal an einer 2.5.2 getestet und rennt zumindestens mit dem embeddeten Windows 10 VPN Client und dem VPN Client unter Mac OS Big Sur sowie iOS fehlerlos !
Das default Cert habe ich auch nie verwendet.
So so... und dann zeigt er oben ein US Zertifikat an ?! 🤔
Ein Schelm wer Böses dabei denkt...
Mitglied: letstryandfindout
letstryandfindout 21.07.2021 aktualisiert um 12:55:02 Uhr
Goto Top
Zitat von @evoplus:

Authentication failure : no certificate from remote endpoint.
Bei dem Fehler wurde wohl vergessen das neue Zertifikat explizit dem VPN Dienst in den Einstellungen zuzuweisen und den Dienst mal neu zu starten.

Beim TheGreenBow VPN Client kann ich in den Einstellungen ein Zertifikat mit einbinden zur Authemtisierung. Das ist auch dort drinnen. Deswegen bin ich ja so ratlos :) face-smile. Uhrzeit etc. ist überall gleich.
Mitglied: letstryandfindout
letstryandfindout 21.07.2021 um 13:00:03 Uhr
Goto Top
Zitat von @aqui:

Das mit dem US ist laut der Doku sogar egal
Nicht wenn es abgelaufen ist oder die Uhrzeit in der FW oder Client nicht stimmt. Das Default Zert. der Box sollte man aber natürlich aus guten Gründen niemals aktiv nutzen.
Habs hier grad mal an einer 2.5.2 getestet und rennt zumindestens mit dem embeddeten Windows 10 VPN Client und dem VPN Client unter Mac OS Big Sur sowie iOS fehlerlos !

Das default Cert habe ich auch nie verwendet. Ich habe die beide immer neu hergestellt und natürlich bei der Zeitzone die richtigen Angaben gemacht.
Mitglied: evoplus
evoplus 21.07.2021 aktualisiert um 13:48:06 Uhr
Goto Top
Zitat von @letstryandfindout:
Beim TheGreenBow VPN Client kann ich in den Einstellungen ein Zertifikat mit einbinden zur Authemtisierung.
Nee, ich meine an der pfSense!
Das ist auch dort drinnen.
Das ist Blödsinn und falsch wenn du MsChapv2 mit Username und Kennwort auf der PfSense als Auth eingestellt hast :-) face-smile.

Trial n Error bringt hier nix du musst das Auth Protokoll verstehen und auf der pfSense richtig konfigurieren ;-) face-wink.

Klappt hier übrigens ebenfalls problemlos sowohl mit MsChapv2 als auch EAP-TLS mit Zertifikaten, mit dem Default Windows 10 Client auf ner aktuellen PFSense 2.5.2. Mit Windows 11 geht es übrigens auch.

Guckst du

screenshot

screenshot

screenshot

screenshot

screenshot

screenshot

screenshot

Fazit: Arbeitet wie vorgesehen :-) face-smile.
Mitglied: aqui
aqui 21.07.2021 aktualisiert um 13:49:45 Uhr
Goto Top
wenn du MsChapv2 mit Username und Kennwort auf der PfSense als Auth eingestellt hast
Hört sich dann eher so an als ob der TO L2TP mit IPsec nutzt und gar kein native IKEv2 IPsec ?!? Da ist MS-CHAPv2 ja Usus.
Mitglied: letstryandfindout
letstryandfindout 21.07.2021 aktualisiert um 14:00:06 Uhr
Goto Top
Dann frag ich mich was ich falsch mache. Denn bis 2.4.X lief es ja. Also noch mal das CA ist anglegt und wenn ich den Mobile Client angelegt habe mit MsChapv2, wähle ich natürlich das erstellte Zertifikat auch aus. Phase 1 und 2 haben sich vor dem Update nicht verändert. Nur eben, dass ich nun diese Fehlermeldung erhalte. Auch ist das Zertifikat nach wie vor gültig. Daher frage ich mich was oder wie ich das Auth Protokoll der pfSense richtig konfigurieren soll.

Meine Phase 1 sieht aus wie deine oben auf deinem Bild. Mobile + User ebenfalls.
Mitglied: letstryandfindout
letstryandfindout 21.07.2021 um 14:02:39 Uhr
Goto Top
pfsense
Mitglied: evoplus
evoplus 21.07.2021 aktualisiert um 15:25:25 Uhr
Goto Top
Zeig mal die Einstellungen für die Certs der pfSense sind dort auch sämtliche SANs enthalten?.
Und auch alle Settings des Clients.
Mitglied: letstryandfindout
letstryandfindout 21.07.2021 um 15:59:20 Uhr
Goto Top
Meinst du die Sachen?

cert
cert2
vpn1
vpn2
Mitglied: evoplus
evoplus 21.07.2021 aktualisiert um 16:02:07 Uhr
Goto Top
OK, zeig doch bitte noch die Detailseite des Server Certificates und dessen SANs.
Mitglied: letstryandfindout
letstryandfindout 22.07.2021 um 10:41:43 Uhr
Goto Top
Eine für dich warscheinlich eher doofe Frage aber was meinst du genau mit SANs?

cert1
cert2
Mitglied: evoplus
evoplus 22.07.2021 aktualisiert um 10:48:10 Uhr
Goto Top
Zitat von @letstryandfindout:

Eine für dich warscheinlich eher doofe Frage aber was meinst du genau mit SANs?

Subject Alternative Name
Und genau die fehlen Inden Bildern (...weiter unten)
Dort müssen sämtliche Identifier (FQDNs/IPs) hinterlegt sein mit denen die PFSense angesprochen wird. Bei dir ist es ja laut den Bildern oben die IP Adresse und die muss dort dann auch hinterlegt sein weil du als Identifier "IP address" in den IPSec Settings hinterlegt hast.
Mitglied: letstryandfindout
letstryandfindout 22.07.2021 um 11:19:17 Uhr
Goto Top
Das heisst wenn ich dich richtig verstehe, dass die IP von der Firewall noch eingetragen werden muss? Denn von den ganzen mobilen Clients wird es ja schwer, die haben ja schliesslich keine fixe. Und spannend, dass das ganze vor dem Sprung auf die Version ging. Aber so lernt man immerhin was dazu. Danke dir auf jeden Fall für deine Geduld und Hilfe.

wan
Mitglied: evoplus
Lösung evoplus 22.07.2021 aktualisiert um 11:32:31 Uhr
Goto Top
Zitat von @letstryandfindout:

Das heisst wenn ich dich richtig verstehe, dass die IP von der Firewall noch eingetragen werden muss?
Ja! ein Zertifikat ohne jegliche SANs wird heutzutage übrigens fast überall als ungültig angesehen! Dort gehört mindestens der Common-Name rein und eben zusätzliche IPs oder andere von dieser Firewall von extern genutzte Domainnamen!
Denn von den ganzen mobilen Clients wird es ja schwer, die haben ja schliesslich keine fixe.
Das ist ja auch Blödsinn die brauchen das nicht. Für die Remote-Identity reicht dann "any".
An deiner Stelle würde ich die Clients gleich alle mit Client-Zertifikaten betanken und EAP-TLS machen und in der Remote-Identity dann den DN (DistinguishedName) der CA als Identity setzen.
Mitglied: letstryandfindout
letstryandfindout 22.07.2021 um 12:49:09 Uhr
Goto Top
Du bist eine Granate!!!! Das any war die Lösung!!!! Vielen vielen vielen vielen Dank.
Mitglied: aqui
aqui 22.07.2021 um 12:54:50 Uhr
Goto Top
Was eine schwere Geburt... 😉 Übrigens: Das hiesige Tutorial beschreibt das doch auch eindeutig und weist explizit auf die Konfig der FQDN Namen mit Auswirkungen auf die Clients usw. hin !
Lesen hilft wirklich ! Case closed...
Mitglied: evoplus
evoplus 22.07.2021 aktualisiert um 12:57:56 Uhr
Goto Top
Zitat von @aqui:

Was eine schwere Geburt... 😉
Joa, manch einer braucht halt einen Einlauf wenn es von oben nicht rein will :-D face-big-smile.
Mitglied: aqui
aqui 22.07.2021 um 12:57:04 Uhr
Goto Top
👍 🤣
Mitglied: letstryandfindout
letstryandfindout 22.07.2021 um 12:57:09 Uhr
Goto Top
Da gebe ich dir Recht. Aber immerhin bin ich nun um einiges schlauer :) face-smile und habe viel gelernt. Du kriegst eventuell nun einen Beipass nach all dem Stress ;) aber hast immerhin dein Karma Konto mehr als aufgefüllt. Danke noch mal.
Heiß diskutierte Beiträge
general
Einprügeln auf Fax als AblenkungsmanöveritebobVor 22 StundenAllgemeinOff Topic16 Kommentare

Moin, Im Interview mit dem Unionsfraktionschef Ralph Brinkhaus im Deutschlandfunk heute 07:15 hat der Journalist nebenbei erwähnt, dass über die Hochwasserkatastrophe per Fax gewarnt wurde. ...

general
2D DXF DWG Viewer für Verkauf?dertowaVor 1 TagAllgemeinOff Topic6 Kommentare

Guten Morgen allerseits, wir missbrauchen bei uns bislang das CAM Programm im Verkauf als DXF/DWG Viewer. Die Kollegen haben sich über Jahrzehnte daran gewöhnt, allerdings ...

question
Server 2019 std. auf deutsch umstellenBender999Vor 1 TagFrageWindows Server28 Kommentare

Hallo, kann mir einer erklären wie um alles in der Welt ich meinen Server 2019 std. auf deutsch umstellen kann? ...

question
Angebot annehmen? Gehalt OK?xsheynVor 18 StundenFrageOff Topic10 Kommentare

Hallo zusammen, ich bin nun seit knapp einem Jahr im Bewerbungsprozess und versuche in die "richtige" IT zu kommen. Momentan bin ich nur Knöpfchendrücker, also ...

question
Fehler beim Kopieren von einer CDHeinHeiopeiVor 1 TagFragePeripheriegeräte6 Kommentare

Moin, moin, ich habe dieser Tage versucht eine alte Datenbank, die ich im Jahre 2012 für einen Kunden entwickelt hatte, für eigene Zwecke zu adaptieren. ...

question
Ecosia Suchmaschine die Bäume pflanzt (80 Prozent fürnachgefragtVor 1 TagFrageWebbrowser5 Kommentare

Mahlzeit. Wir wurden darauf angesprochen, ob wir Ecosia bei div. Arbeitsplätzen als Suchmaschine anstatt Google implementieren könnten, quasi die Startseite der Browser, als Add In, ...

question
Subnetting FrageAuDavidVor 13 StundenFrageNetzwerke21 Kommentare

Hallo, ich hätte mal eine Frage zu dem Subnetting, ich sitze schon länger an dieser Aufgabe und bin mir mit der Lösung sehr unsicher. Ich ...

question
Dynamisch MAC-Adresse je nach WiFi-Netzwerk. Wie ist das möglich? gelöst Oliver16Vor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Mir ist heute etwas aufgefallen, von dem mir nicht bekannt war, dass es möglich ist. Ein Notebook (Lenovo) von mir verändert die MAC-Adresse des WiFi-Adapters ...