Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site-To-Site VPN (Gateprotect zu pfSense) No shared Key found

Mitglied: malkie

malkie (Level 1) - Jetzt verbinden

08.07.2020 um 07:30 Uhr, 200 Aufrufe, 3 Kommentare

Guten Morgen,

ich will gerne eine Site-To-Site VPN Verbindung zwischen zwei Standorten über IPSec erstellen.
Auf der einen Seite habe ich eine Rohde & Schwarz Gateprotect auf der anderen Seite läuft eine pfSense.
Grundsätzlich eigentlich nichts Schweres aber ich bin ziemlich am Verzweifeln.
Aktuell ist es so, dass die pfSense zwar die Gateprotect erreicht und einen Schlüsselaustausch vereinbart, aber es immer wieder abgebrochen wir mit der Meldung:

ip31 - Klicke auf das Bild, um es zu vergrößern

Im folgenden hier mal meine Konfiguration auf der Seite der Gateprotect

gate1 - Klicke auf das Bild, um es zu vergrößerngat2 - Klicke auf das Bild, um es zu vergrößerngat4 - Klicke auf das Bild, um es zu vergrößerngat3 - Klicke auf das Bild, um es zu vergrößern

Genauso habe ich natürlich auch die pfSense eingerichtet:

ip1 - Klicke auf das Bild, um es zu vergrößernip2 - Klicke auf das Bild, um es zu vergrößern

Die in der genannten Log-IP-Adresse ist auch meine IP.
Trotzdem bekomme ich keine Verbindung zustande, wüsste jetzt auch nicht, wie ich in der Gateprotect einen PreSharedKey erstellen kann, und diesem explizit einen Namen zuweisen könnte.
Ich wäre über jeden Hinweis sehr dankbar.
Mitglied: ChriBo
LÖSUNG 08.07.2020 um 09:06 Uhr
Hi,
ich habe einige Fehler bzw. Ungereimtheiten entdeckt.
Gateprotect:
Bild 1: Da fehlt das eigene Netzwerk (wahrscheinlich 192.168.178.0/24)
Bild 3: Lokaler Identifier = "üblicherweise" die lokale public IP Address, fehlt
Remote Identifier = "üblicherweise" die remote public IP Address, ist bei dir die interne Adresse
Bild 4: DH 2 ist unsicher, min. DH 14 ist muß.
pfSense: hier auch die Identifier anpassen.
-
CH
Bitte warten ..
Mitglied: aqui
LÖSUNG 08.07.2020, aktualisiert um 09:31 Uhr
OK, die pfSense ist hier Initiator, da die Gateprotect ja reiner Responder ist. Leider fehlt die komplette Phase 2 Konfig der pfSense.
Nach den Logs zu urteilen sieht es danach aus das die pfSense die Gateprotect nicht richtig identifizieren kann und deshalb der Schlüsselaustausch scheitert.
Das ist auch nicht weiter verwunderlich, denn du hast als Peer Identifier "Any" eingegeben aber als eigener Identifier die WAN IP Adresse der pfSense.
In der Identifier Konfig des Responders (Gateprotect) hast du aber den lokalen Identifier leer gelassen, was schon mal grundfalsch ist aber der 2te schlimme Fehler steckt im remoten Identifier !
Hier gibst du eine RFC1918 FritzBox IP Adresse an.

Man kann daraus nur schliessen das die pfSense Seite in einer Router Kaskade mit einer FritzBox davor rennt was du uns in deiner Setup Beschreibung leider komplett verheimlichst ! Ist dem so ??
Wenn ja kann das so niemals klappen !! Denke selber mal etwas nach !
Auch wenn der WAN Port der pfSense in der Kaskade die 192.168.178.111 ist wird diese über das NAT der FritzBox auf die öffentliche IP der FB umgesetzt. An der Gateprotect kommt jetzt ein IKE Paket mit dieser FritzBox WAN Port IP an, du hast als Identifier aber dort auf der Gateprotect die interne WAN IP der FB 192.168.178.111 konfiguriert was dann als Folge zu einem Mismatch der Peer Identifier IP Adressen führt. Folglich kann die pfSense den zum Peer gehörenden PSK nicht zuordnen und scheitert mit der Authentisierung.
Die Gateprotect übrigens ebenso ! Leider fehlt hier auch das Log was das bestätigen sollte.
Fazit:
Bei dynamischen IPs keine IP Adressen als Identifier benutzen !! Nimm immer FQDN oder User FQDN Strings die du frei für beide Seiten definieren kanns und völlig unabhängig von der IP Adresse.
Dein Problem ist das du mit einer dynamischen IP auf der Initiator Seite (pfSense) arbeitest. (Geraten, weil hier leider deine Beschreibung recht oberflächlich und ungenau ist ! )
Du kannst es auch mit der IP versuchen, dann ist aber die Angabe 192.168.178.111 natürlich komplett falsch, denn dort müsste da ein Platzhalter stehen für die remote WAN IP. Diese ist ja dynamisch und ändert sich immer. In der Regel ist das dann "0.0.0.0"
Wenn beide Seiten eine dynamische IPs nutzen und DDNS dann kannst du generell NICHT mehr mit IP Adressen als Identifier arbeiten sondern musst komplett auf FQDN oder User FQDN Strings umsatteln !!
IP Adressen als Identifier funktionieren nur dann wenn mindestens eine Seite eine feste öffentliche IP hat. Ob das der Fall bei dir ist, ist leider aus der Beschreibung auch nicht ersichtlich.

Logisch also das du mit deinem Setup von oben scheiterst !
Zu den FQDN String Setup (User distinguished name) findest du in diesem Thread weitere Infos wie man es richtig macht:
https://administrator.de/content/detail.php?id=501151&token=508#comm ...
Bitte warten ..
Mitglied: malkie
08.07.2020 um 09:30 Uhr
Guten Morgen,

ihr hatte beide Recht.
Habe vor lauter Bäumen den Wald nicht mehr gesehen.
Ich habe jetzt die entsprechenden Algos angepasst.

Dann habe ich als Identifier DynDNS Namen genommen.
Auch Phase 2 habe ich jetzt eingerichtet, die hatte ich vergessen, wie dumm
Danke für eure Hilfe, zeigt mal wieder, man sollte sowas nicht Nachts um drei anfangen.
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Outlook & Mail

Outlook 2016 beim Senden einer Mail sit die Liste unter "Datei anfügen" ausgegraut

Frage von spiky123Outlook & Mail1 Kommentar

Hallo Zusammen, ich habe mit einem frisch installierten Outlook 2016 mit Zugriff auf den Cloud-Exchange-Server von Microsoft ein Problem. ...

Windows Update

Windows10 windowsupdatelog zeigt (No Format Information found)

Frage von d3dataWindows Update

Das log von Windows Update kann seit neuesten ja nur noch über die PowerShell aufgerufen werden. "get-windowsupdatelog" Allerdings wirft ...

Router & Routing

Pfsense - no route to host

Frage von Daniel.HuferRouter & Routing12 Kommentare

Wenn ich auf: System/Paketverwaltung/Verfügbare Pakete gehe, dann sind keine Pakete sichtbar. Nach einem Neustart erscheinen die Pakete wieder, woran ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 1 TagMonitoring1 Kommentar

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 3 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 4 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 6 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android26 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android25 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Cloud-Dienste
Cisco 8841 - Enter activation code
gelöst Frage von c0d3.r3dCloud-Dienste21 Kommentare

Guten Morgen, ich habe gerade von einem Mitarbeiter den Hinweis bekommen, dass sein Telefon (Cisco 8841) einen Welcome-Screen mit ...

Ausbildung
Wie wird man zum Systemadministrator?
gelöst Frage von DavidHergAusbildung21 Kommentare

Guten Abend zusammen, Ich hatte hier schon ein paar Fragen gestellt, und mir wurde super weiter geholfen! Ich mache ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...