PFsense IPSec VPN Mobile Client Tunnel zu ShrewSoft Client: Verbindung ist aufgebaut, aber sonst "keine Reaktion"

Moin.
Hätte ich zuerst auch vermutet, darum hab ich zuerst mal vom pfsense nen Ping losgeschickt zum vpn-getunnelten win10. Die Firewall müsste die Route auch so wissen oder?
Da gabs auch keine Reaktion

Wow, ich bin begeistert von deiner sehr ausführlichen Antwort.
Erst einmal vielen Dank an die Hilfe-Gemeinde.

Zurück zum Thema:
Fritzbox!!! Also wenn mein PFSense bereits eine stehende Verbindung hat, ist dann das Troubleshooting bezüglich Fritzbox nicht schon erledigt?
So ganz 100% verstanden hab ich die Arbeitsweise von IPSec in Verbindung mit PFSense noch nicht. Ich versuch ja ein IPSec Mobile zum Laufen zu bringen. DHCP wurde dort niergends eingestellt.
Ein IT-Kumpel hat auch mal über die CMD-Netzwerkconfig (siehe oben) darübergeschaut: Dem ist das Problem "Gateway" sofort ins Auge gestochen. Klar dass das dann schon mal ein Problem ist.
Thema Ports: Sind alle konfiguriert.
Ich hab auch mit dem Link IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a bei meiner ganzen Odyssee begonnen mit den Einstellungen. Aber die Kombi mit IPSec Mobile über FB ist dort nicht detailliert beschrieben.

Ich hab mit PPTP sehr viel Erfahrung - also Prinzipiell ist VPN keine Neuheit für mich.
Da ich mit Applegräte auf mein Netzwerk zugreifen will/muss, und diese seit IOS10 keine PPTP mehr unterstützt (schon klar warum Apple das antiquierte Protokoll eliminiert hat), bin ich auf die Alternativen angewiesen und muss es auch in Kombi mit Win-Rechnern zum Laufen bringen.
Was kann ich noch zur Verfügung stellen, damit euch der Support für mich in meinem Fall leichter fällt?
PS: Vielen Dank euch allen - 1000000 Credits für euch

Ok - also hier jetzt erstmal die Logs für IPSec
May 7 18:23:51 charon: 10[ENC] <53> received unknown vendor ID: f1:4b:94:b7:bf:f1:fe:f0:27:73:b8:c4:9f:ed:ed:26
May 7 18:23:51 charon: 10[ENC] <53> received unknown vendor ID: 16:6f:93:2d:55:eb:64:d8:e4:df:4f:d3:7e:23:13:f0:d0:fd:84:51
May 7 18:23:51 charon: 10[ENC] <53> received unknown vendor ID: 84:04:ad:f9:cd:a0:57:60:b2:ca:29:2e:4b:ff:53:7b
May 7 18:23:51 charon: 10[IKE] <53> received Cisco Unity vendor ID
May 7 18:23:51 charon: 10[IKE] <53> 95.90.194.201 is initiating a Aggressive Mode IKE_SA
May 7 18:23:51 charon: 10[CFG] <53> looking for XAuthInitPSK peer configs matching 192.168.0.10...95.90.194.201[Monkeys]
May 7 18:23:51 charon: 10[CFG] <53> selected peer config "con2"
May 7 18:23:51 charon: 10[ENC] <con2|53> generating AGGRESSIVE response 0 [ SA KE No ID NAT-D NAT-D HASH V V V V V ]
May 7 18:23:51 charon: 10[NET] <con2|53> sending packet: from 192.168.0.10[500] to 95.90.194.201[19272] (436 bytes)
May 7 18:23:51 charon: 10[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (108 bytes)
May 7 18:23:51 charon: 10[ENC] <con2|53> parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D ]
May 7 18:23:51 charon: 10[IKE] <con2|53> local host is behind NAT, sending keep alives
May 7 18:23:51 charon: 10[IKE] <con2|53> remote host is behind NAT
May 7 18:23:51 charon: 10[ENC] <con2|53> generating TRANSACTION request 3380093452 [ HASH CPRQ(X_USER X_PWD) ]
May 7 18:23:51 charon: 10[NET] <con2|53> sending packet: from 192.168.0.10[4500] to 95.90.194.201[19230] (76 bytes)
May 7 18:23:51 charon: 10[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (108 bytes)
May 7 18:23:51 charon: 10[ENC] <con2|53> parsed TRANSACTION response 3380093452 [ HASH CPRP(X_TYPE X_USER X_PWD) ]
May 7 18:23:52 charon: user 'host_vpn_jsigl' authenticated
May 7 18:23:52 charon: 10[IKE] <con2|53> XAuth-SCRIPT succeeded for user 'host_vpn_jsigl'.
May 7 18:23:52 charon: 10[IKE] <con2|53> XAuth authentication of 'host_vpn_jsigl' successful
May 7 18:23:52 charon: 10[ENC] <con2|53> generating TRANSACTION request 1855140183 [ HASH CPS(X_STATUS) ]
May 7 18:23:52 charon: 10[NET] <con2|53> sending packet: from 192.168.0.10[4500] to 95.90.194.201[19230] (76 bytes)
May 7 18:23:52 charon: 10[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (60 bytes)
May 7 18:23:52 charon: 10[ENC] <con2|53> parsed TRANSACTION response 1855140183 [ HASH CP ]
May 7 18:23:52 charon: 10[IKE] <con2|53> IKE_SA con2[53] established between 192.168.0.10[192.168.0.10]...95.90.194.201[Monkeys]
May 7 18:23:52 charon: 10[IKE] <con2|53> scheduling reauthentication in 85353s
May 7 18:23:52 charon: 10[IKE] <con2|53> maximum IKE_SA lifetime 85893s
May 7 18:23:58 charon: 06[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (236 bytes)
May 7 18:23:58 charon: 06[ENC] <con2|53> parsed QUICK_MODE request 373026153 [ HASH SA No ID ID ]
May 7 18:23:58 charon: 06[IKE] <con2|53> no matching CHILD_SA config found
May 7 18:23:58 charon: 06[ENC] <con2|53> generating INFORMATIONAL_V1 request 1537452427 [ HASH N(INVAL_ID) ]
May 7 18:23:58 charon: 06[NET] <con2|53> sending packet: from 192.168.0.10[4500] to 95.90.194.201[19230] (76 bytes)
May 7 18:23:58 charon: 13[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (236 bytes)
May 7 18:23:58 charon: 13[ENC] <con2|53> parsed QUICK_MODE request 1105186230 [ HASH SA No ID ID ]
May 7 18:23:58 charon: 13[IKE] <con2|53> no matching CHILD_SA config found
May 7 18:23:58 charon: 13[ENC] <con2|53> generating INFORMATIONAL_V1 request 2829574050 [ HASH N(INVAL_ID) ]
May 7 18:23:58 charon: 13[NET] <con2|53> sending packet: from 192.168.0.10[4500] to 95.90.194.201[19230] (76 bytes)
May 7 18:24:03 charon: 13[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (236 bytes)
May 7 18:24:03 charon: 13[IKE] <con2|53> received retransmit of request with ID 1105186230, but no response to retransmit
May 7 18:24:03 charon: 04[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (236 bytes)
May 7 18:24:03 charon: 04[ENC] <con2|53> parsed QUICK_MODE request 373026153 [ HASH SA No ID ID ]
May 7 18:24:03 charon: 04[ENC] <con2|53> received HASH payload does not match
May 7 18:24:03 charon: 04[IKE] <con2|53> integrity check failed
May 7 18:24:03 charon: 04[ENC] <con2|53> generating INFORMATIONAL_V1 request 364345327 [ HASH N(INVAL_HASH) ]
May 7 18:24:03 charon: 04[NET] <con2|53> sending packet: from 192.168.0.10[4500] to 95.90.194.201[19230] (76 bytes)
May 7 18:24:03 charon: 04[IKE] <con2|53> QUICK_MODE request with message ID 373026153 processing failed
May 7 18:24:06 charon: 04[NET] <con2|53> received packet: from 95.90.194.201[19230] to 192.168.0.10[4500] (92 bytes)
May 7 18:24:06 charon: 04[ENC] <con2|53> parsed INFORMATIONAL_V1 request 4001725473 [ HASH N(DPD) ]
May 7 18:24:06 charon: 04[ENC] <con2|53> generating INFORMATIONAL_V1 request 2735549986 [ HASH N(DPD_ACK) ]
May 7 18:24:06 charon: 04[NET] <con2|53> sending packet: from 192.168.0.10[4500] to 95.90.194.201[19230] (92 bytes)

Und hier die Firewall-Rule
Zum Testen darf die IPSec einfach mal alles.

Und die Rule vom WAN-Netzwerk

Nat-Regel hab ich keine definiert.

Unter dem Reiter "Interface" gibt es bei mir kein IPsec - kann ich auch nicht via assign hinzufügen - aber bei den Rules taucht ja ipsec-Reiter wieder auf - also müsste das schon passen.
Siehe Foto

Hallo Aqui.
Das hatte ich als Rule noch nicht - also schon mal ein Punkt beseitigt.
Jetzt versuchte ich voller Hoffnung einen erneuten Anlauf - aber wieder "Stille".

ESP ist im WAN für alle Netzwerke freigegeben für den Test.
Das jetzige Protokoll zeigt keine großen Veränderungen:

May 8 22:35:12 charon: 08[ENC] <59> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V V V V V V V V ]
May 8 22:35:12 charon: 08[IKE] <59> received XAuth vendor ID
May 8 22:35:12 charon: 08[IKE] <59> received draft-ietf-ipsec-nat-t-ike-00 vendor ID
May 8 22:35:12 charon: 08[ENC] <59> received unknown vendor ID: 16:f6:ca:16:e4:a4:06:6d:83:82:1a:0f:0a:ea:a8:62
May 8 22:35:12 charon: 08[IKE] <59> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
May 8 22:35:12 charon: 08[IKE] <59> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
May 8 22:35:12 charon: 08[IKE] <59> received NAT-T (RFC 3947) vendor ID
May 8 22:35:12 charon: 08[IKE] <59> received FRAGMENTATION vendor ID
May 8 22:35:12 charon: 08[IKE] <59> received DPD vendor ID
May 8 22:35:12 charon: 08[ENC] <59> received unknown vendor ID: 3b:90:31:dc:e4:fc:f8:8b:48:9a:92:39:63:dd:0c:49
May 8 22:35:12 charon: 08[ENC] <59> received unknown vendor ID: f1:4b:94:b7:bf:f1:fe:f0:27:73:b8:c4:9f:ed:ed:26
May 8 22:35:12 charon: 08[ENC] <59> received unknown vendor ID: 16:6f:93:2d:55:eb:64:d8:e4:df:4f:d3:7e:23:13:f0:d0:fd:84:51
May 8 22:35:12 charon: 08[ENC] <59> received unknown vendor ID: 84:04:ad:f9:cd:a0:57:60:b2:ca:29:2e:4b:ff:53:7b
May 8 22:35:12 charon: 08[IKE] <59> received Cisco Unity vendor ID
May 8 22:35:12 charon: 08[IKE] <59> 95.90.194.201 is initiating a Aggressive Mode IKE_SA
May 8 22:35:12 charon: 08[CFG] <59> looking for XAuthInitPSK peer configs matching 192.168.0.010...95.90.194.201[Monkeys]
May 8 22:35:12 charon: 08[CFG] <59> selected peer config "con2"
May 8 22:35:12 charon: 08[ENC] <con2|59> generating AGGRESSIVE response 0 [ SA KE No ID NAT-D NAT-D HASH V V V V V ]
May 8 22:35:12 charon: 08[NET] <con2|59> sending packet: from 192.168.0.010[500] to 95.90.194.201[19250] (436 bytes)
May 8 22:35:12 charon: 08[NET] <con2|59> received packet: from 95.90.194.201[19226] to 192.168.0.010[4500] (108 bytes)
May 8 22:35:12 charon: 08[ENC] <con2|59> parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D ]
May 8 22:35:12 charon: 08[IKE] <con2|59> local host is behind NAT, sending keep alives
May 8 22:35:12 charon: 08[IKE] <con2|59> remote host is behind NAT
May 8 22:35:12 charon: 08[ENC] <con2|59> generating TRANSACTION request 2899821770 [ HASH CPRQ(X_USER X_PWD) ]
May 8 22:35:12 charon: 08[NET] <con2|59> sending packet: from 192.168.0.010[4500] to 95.90.194.201[19226] (76 bytes)
May 8 22:35:12 charon: 08[NET] <con2|59> received packet: from 95.90.194.201[19226] to 192.168.0.010[4500] (108 bytes)
May 8 22:35:12 charon: 08[ENC] <con2|59> parsed TRANSACTION response 2899821770 [ HASH CPRP(X_TYPE X_USER X_PWD) ]
May 8 22:35:13 charon: user 'host_vpn_jsigl' authenticated
May 8 22:35:13 charon: 08[IKE] <con2|59> XAuth-SCRIPT succeeded for user 'host_vpn_jsigl'.
May 8 22:35:13 charon: 08[IKE] <con2|59> XAuth authentication of 'host_vpn_jsigl' successful
May 8 22:35:13 charon: 08[ENC] <con2|59> generating TRANSACTION request 3994559811 [ HASH CPS(X_STATUS) ]
May 8 22:35:13 charon: 08[NET] <con2|59> sending packet: from 192.168.0.010[4500] to 95.90.194.201[19226] (76 bytes)
May 8 22:35:13 charon: 08[NET] <con2|59> received packet: from 95.90.194.201[19226] to 192.168.0.010[4500] (60 bytes)
May 8 22:35:13 charon: 08[ENC] <con2|59> parsed TRANSACTION response 3994559811 [ HASH CP ]
May 8 22:35:13 charon: 08[IKE] <con2|59> IKE_SA con2[59] established between 192.168.0.010[192.168.0.010]...95.90.194.201[Monkeys]
May 8 22:35:13 charon: 08[IKE] <con2|59> scheduling reauthentication in 85596s
May 8 22:35:13 charon: 08[IKE] <con2|59> maximum IKE_SA lifetime 86136s
May 8 22:35:18 charon: 08[NET] <con2|59> received packet: from 95.90.194.201[19226] to 192.168.0.010[4500] (236 bytes)
May 8 22:35:18 charon: 08[ENC] <con2|59> parsed QUICK_MODE request 2939535598 [ HASH SA No ID ID ]
May 8 22:35:18 charon: 08[IKE] <con2|59> no matching CHILD_SA config found
May 8 22:35:18 charon: 08[ENC] <con2|59> generating INFORMATIONAL_V1 request 567124705 [ HASH N(INVAL_ID) ]
May 8 22:35:18 charon: 08[NET] <con2|59> sending packet: from 192.168.0.010[4500] to 95.90.194.201[19226] (76 bytes)
May 8 22:35:23 charon: 08[NET] <con2|59> received packet: from 95.90.194.201[19226] to 192.168.0.010[4500] (236 bytes)
May 8 22:35:23 charon: 08[ENC] <con2|59> parsed QUICK_MODE request 3752579178 [ HASH SA No ID ID ]
May 8 22:35:23 charon: 08[IKE] <con2|59> no matching CHILD_SA config found
May 8 22:35:23 charon: 08[ENC] <con2|59> generating INFORMATIONAL_V1 request 3286601377 [ HASH N(INVAL_ID) ]
May 8 22:35:23 charon: 08[NET] <con2|59> sending packet: from 192.168.0.010[4500] to 95.90.194.201[19226] (76 bytes)


Aber eine Verbindung besteht ja aus deiner Sicht oder gibts da noch Zweifel?

Woran kanns noch liegen?

Hallo aqui.
Vielen Dank.
Also ich hab jetzt alles nochmal gelöscht und deinen Link von a bis z durchgespielt.
Und wieder scheint da irgendetwas nicht zu stimmen:

Also jetzt hab ich zur Problemlösung ein paar Fragen:
1. Zum Schritt "Server Zertifikat erstellen" - Punkt "Common und Alternative Names: Was genau ist da gemeint? Ich hab ja die Konfig mit "Internet" - "Fritzbox" - "PFsense" mal im 1. Post beschrieben. Also was genau wird dort von mir verlangt? Die DynDNS? Oder 192.168.0.10 für die WAN IP PFsense?

2. was ist die alternative Names FQDN or Hostname??? das ist mir auch nicht ganz klar

3. zum Schritt "Mobiles Client IPsec auf der pfSense einrichten": Ich hab ja die Version 2.2.6. Dort wird in der Config noch General Configs verlangt. Dort kann ich zwischen LAN und WAN wählen. Was wird dort verlangt? Von welchem Netz ich eine IPsec-Anfrage erwarte (also WAN) oder wohin ich diese leiten will (LAN)???

4. Zum Schritt "IPsec Phase 1 konfiguration": Ich betreibe einen Server im LAN. Muss ich in dem Schritt die Server-DNS mit angeben (also nicht PFsense sondern die MS-Servermaschine)? In der Erklärung heißt es, dass alle Häkchen raus müssen.

Nun zur meiner Fehlermeldung:
Also die Anmeldung wird versucht aufzubauen. Dort kommt folgendes Benutzerfenster:
Dort gebe ich den Namen und das Passwort ein, welches ich im PFsense bei IPSec als User angelegt habe
dann kommt diese Meldung:
Schau ich die logs an, scheint zumindest ein Versuch unternommen worden zu sein, eine Verbindung aufzubauen.
Wo´s scheitert, ist mir wieder nicht ganz klar.

Fehlerprotokoll
May 10 23:37:50 charon: 06[NET] <8> received packet: from 95.90.194.201[19236] to 192.168.0.010[500] (616 bytes)
May 10 23:37:50 charon: 06[ENC] <8> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
May 10 23:37:50 charon: 06[IKE] <8> received MS NT5 ISAKMPOAKLEY v9 vendor ID
May 10 23:37:50 charon: 06[IKE] <8> received MS-Negotiation Discovery Capable vendor ID
May 10 23:37:50 charon: 06[IKE] <8> received Vid-Initial-Contact vendor ID
May 10 23:37:50 charon: 06[ENC] <8> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
May 10 23:37:50 charon: 06[IKE] <8> 95.90.194.201 is initiating an IKE_SA
May 10 23:37:50 charon: 06[IKE] <8> local host is behind NAT, sending keep alives
May 10 23:37:50 charon: 06[IKE] <8> remote host is behind NAT
May 10 23:37:50 charon: 06[IKE] <8> sending cert request for "C=DE, ST=xxx, L=xxx, O=xxx, E=xxx, CN=vpnpfsense"
May 10 23:37:50 charon: 06[ENC] <8> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
May 10 23:37:50 charon: 06[NET] <8> sending packet: from 192.168.0.010[500] to 95.90.194.201[19236] (337 bytes)
May 10 23:37:50 charon: 06[NET] <8> received packet: from 95.90.194.201[19248] to 192.168.0.010[4500] (1264 bytes)
May 10 23:37:50 charon: 06[ENC] <8> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
May 10 23:37:50 charon: 06[IKE] <8> received 46 cert requests for an unknown ca
May 10 23:37:50 charon: 06[CFG] <8> looking for peer configs matching 192.168.0.010[%any]...95.90.194.201[192.168.0.244]
May 10 23:37:50 charon: 06[CFG] <con1|8> selected peer config 'con1'
May 10 23:37:50 charon: 06[IKE] <con1|8> initiating EAP_IDENTITY method (id 0x00)
May 10 23:37:50 charon: 06[IKE] <con1|8> peer supports MOBIKE, but disabled in config
May 10 23:37:50 charon: 06[IKE] <con1|8> authentication of 'C=DE, ST=xxx, L=xxx, O=xxx, E=xxx, CN=xxx' (myself) with RSA signature successful
May 10 23:37:50 charon: 06[IKE] <con1|8> sending end entity cert "C=DE, ST=xxx, L=xxx, O=xxx, E=jeason@gmx.de, CN=xxx"
May 10 23:37:50 charon: 06[ENC] <con1|8> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
May 10 23:37:50 charon: 06[NET] <con1|8> sending packet: from 192.168.0.010[4500] to 95.90.194.201[19248] (1696 bytes)
May 10 23:38:10 charon: 06[IKE] <con1|8> sending keep alive to 95.90.194.201[19248]
May 10 23:38:20 charon: 06[JOB] <con1|8> deleting half open IKE_SA after timeout
May 10 23:40:59 charon: 06[KNL] interface pptpd0 activated
May 10 23:40:59 charon: 06[KNL] 192.168.60.100 appeared on pptpd0

Vielen dank für deine Hilfe

Hallo aqui
Vielen Dank für deine genaue Beschreibung und Erklärung. Also damit kann ich wirklich sehr gut arbeiten.
Ich melde mich erst jetzt, weil sich diese Woche meine Prioritätsliste etwas verschoben hat.
Zur IPSec-Problematik:
Ich habe jetzt deinen Rat befolgt. Das Update auf Version 2.3.3 ist durchgeführt. 2.3.4 lässt mich pfsense (warum auch immer) nicht updaten. Darum werde ich die Tage mal ne Cleaninstall machen.
Aber Abgesehen von der Updateproblematik sind ja alle Klicks und Schritte, die du beschrieben hast, auf der 2.3.3 auch durchgeführt worden.
Und leider ergibt sich erneut das gleich Bild, wie bereits beschrieben. Ich sehe in den Protokollen, dass IPSec-Anfragen an die Box ankommen, aber beim Verbindungsaufbau kommt das selbe Bild wie oben / als wäre etwas mit dem Zertifikat nicht ok - ich kann das Problem nicht herausfinden, dazu fehlt mir die Routine mit den Fehlerprotokollen.
Ich weiß keinen Ausweg mehr!
Hilfe an alle

Also hier nochmal mein Aufbau

Ok, so wie es aussieht hat es nun geklappt. Verbindung steht.
Ich komm zwar noch nicht auf die LAN-Netzwerkfreigaben - aber das wird wahrscheinlich ein static-route-problem sein.
Das bekomm ich bestimmt hin.
Hey Aqui - 1000000000 Sterne für dich - du bist der Hammer.
Merci merci merci.
VG
Wusldusl