frosch2
Goto Top

VPN auf pfsense eingerichtet und funtioniert auf einem Handy, andere Handys wollen keine VPN mit diesen Zugangsdaten aufsetzen

Hallo,

ich habe nach dem tut ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html von aqui eine VPN installiert.
Auf einem Mobiltelefon Android mit der App StrongSwan funktioniert es auch, aber wenn ich ein anderes Mobiltelefon Android mit StrongSwan einrichte funktioniert es nicht.
Da ich mich nicht gut damit auskenne, eher gar nicht; frage ich mal was da falsch laeuft. Vielleicht kann mir jemand auf anhieb einen Tipp geben, oder mich mit der Nase auf die Problemlösung stossen.

Danke für euere Mühen im Voraus.

Thomas

Content-Key: 395912

Url: https://administrator.de/contentid/395912

Printed on: February 8, 2023 at 21:02 o'clock

Mitglied: 129580
129580 Dec 16, 2018 at 09:55:17 (UTC)
Goto Top
Guten Morgen,

Auf einem Mobiltelefon Android mit der App StrongSwan funktioniert es auch, aber wenn ich ein anderes Mobiltelefon Android mit StrongSwan einrichte funktioniert es nicht.

Bitte genauer definieren, was du unter "funktioniert nicht" verstehst. face-wink

Kommt eine Fehlermeldung?
Was sagt das Log?

Viele Grüße
Exception
Member: frosch2
frosch2 Dec 16, 2018 at 10:09:44 (UTC)
Goto Top
Moin

Dec 16 10:07:38 charon 10[ENC] <131> generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Dec 16 10:07:38 charon 10[NET] <131> sending packet: from 192.168.178.21[500] to 80.187.110.24[22664] (38 bytes)
Dec 16 10:07:38 charon 10[IKE] <131> IKE_SA (unnamed)[131] state change: CONNECTING => DESTROYING
Dec 16 10:07:38 charon 13[NET] <132> received packet: from 80.187.110.24[22664] to 192.168.178.21[500] (908 bytes)
Dec 16 10:07:38 charon 13[ENC] <132> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Dec 16 10:07:38 charon 13[CFG] <132> looking for an ike config for 192.168.178.21...80.187.110.24
Dec 16 10:07:38 charon 13[CFG] <132> candidate: %any...%any, prio 24
Dec 16 10:07:38 charon 13[CFG] <132> candidate: 192.168.178.21...%any, prio 1052
Dec 16 10:07:38 charon 13[CFG] <132> found matching ike config: 192.168.178.21...%any with prio 1052
Dec 16 10:07:38 charon 13[IKE] <132> 80.187.110.24 is initiating an IKE_SA
Dec 16 10:07:38 charon 13[IKE] <132> IKE_SA (unnamed)[132] state change: CREATED => CONNECTING
Dec 16 10:07:38 charon 13[CFG] <132> selecting proposal:
Dec 16 10:07:38 charon 13[CFG] <132> proposal matches
Dec 16 10:07:38 charon 13[CFG] <132> received proposals: IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_HMAC_SHA1/MODP_2048/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/CHACHA20_POLY1305/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_HMAC_SHA1/MODP_2048/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192
Dec 16 10:07:38 charon 13[CFG] <132> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Dec 16 10:07:38 charon 13[CFG] <132> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Dec 16 10:07:38 charon 13[CFG] <132> received supported signature hash algorithms: sha256 sha384 sha512 identity
Dec 16 10:07:38 charon 13[IKE] <132> local host is behind NAT, sending keep alives
Dec 16 10:07:38 charon 13[IKE] <132> remote host is behind NAT
Dec 16 10:07:38 charon 13[CFG] <132> sending supported signature hash algorithms: sha256 sha384 sha512 identity
Dec 16 10:07:38 charon 13[IKE] <132> sending cert request for "CN=vpnca, C=DE, ST=schleswig, L=hanerau, O=schettler, OU=edv"
Dec 16 10:07:38 charon 13[ENC] <132> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Dec 16 10:07:38 charon 13[NET] <132> sending packet: from 192.168.178.21[500] to 80.187.110.24[22664] (489 bytes)
Dec 16 10:07:38 charon 13[NET] <132> received packet: from 80.187.110.24[22670] to 192.168.178.21[4500] (480 bytes)
Dec 16 10:07:38 charon 13[ENC] <132> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Dec 16 10:07:38 charon 13[IKE] <132> received cert request for "CN=vpnca, C=DE, ST=schleswig, L=hanerau, O=schettler, OU=edv"
Dec 16 10:07:38 charon 13[CFG] <132> looking for peer configs matching 192.168.178.21[pfSense]...80.187.110.24[techniker01]
Dec 16 10:07:38 charon 13[CFG] <132> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Dec 16 10:07:38 charon 13[CFG] <132> candidate "con-mobile", match: 20/1/1052 (me/other/ike)
Dec 16 10:07:38 charon 13[CFG] <con-mobile|132> selected peer config 'con-mobile'
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> initiating EAP_IDENTITY method (id 0x00)
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> processing INTERNAL_IP4_ADDRESS attribute
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> processing INTERNAL_IP6_ADDRESS attribute
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> processing INTERNAL_IP4_DNS attribute
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> processing INTERNAL_IP6_DNS attribute
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> peer supports MOBIKE
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> authentication of 'pfSense' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> sending end entity cert "CN=pfSense, C=DE, ST=schleswig, L=hanerau, O=schettler, OU=edv"
Dec 16 10:07:38 charon 13[ENC] <con-mobile|132> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Dec 16 10:07:38 charon 13[ENC] <con-mobile|132> splitting IKE message with length of 1568 bytes into 2 fragments
Dec 16 10:07:38 charon 13[ENC] <con-mobile|132> generating IKE_AUTH response 1 [ EF(1/2) ]
Dec 16 10:07:38 charon 13[ENC] <con-mobile|132> generating IKE_AUTH response 1 [ EF(2/2) ]
Dec 16 10:07:38 charon 13[NET] <con-mobile|132> sending packet: from 192.168.178.21[4500] to 80.187.110.24[22670] (1236 bytes)
Dec 16 10:07:38 charon 13[NET] <con-mobile|132> sending packet: from 192.168.178.21[4500] to 80.187.110.24[22670] (420 bytes)
Dec 16 10:07:38 charon 13[NET] <con-mobile|132> received packet: from 80.187.110.24[22670] to 192.168.178.21[4500] (80 bytes)
Dec 16 10:07:38 charon 13[ENC] <con-mobile|132> parsed INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
Dec 16 10:07:38 charon 13[ENC] <con-mobile|132> generating INFORMATIONAL response 2 [ N(AUTH_FAILED) ]
Dec 16 10:07:38 charon 13[NET] <con-mobile|132> sending packet: from 192.168.178.21[4500] to 80.187.110.24[22670] (80 bytes)
Dec 16 10:07:38 charon 13[IKE] <con-mobile|132> IKE_SA con-mobile[132] state change: CONNECTING => DESTROYING

funktioniert nicht soll heissen es wird kein VPN tunnel aufgesetzt. keine verbindung.
Member: ChriBo
ChriBo Dec 16, 2018 at 10:43:02 (UTC)
Goto Top
Hi,
Fehlermeldung ist am Ende des Logs: [ N(AUTH_FAILED) ]

Ich kann dir nicht bei der Kombination pfSense/Android/StrongSwan helfen, aber mit dieser Fehlermeldung und ein bißchen Recherche sollte du den Fehler und die Lösung selber finden können.

CH
Mitglied: 129580
Solution 129580 Dec 16, 2018 at 10:56:01 (UTC)
Goto Top
Du solltest persönliche Informationen (Zertifikatangaben) eventuell entfernen.... face-wink
Ansonsten bitte für Log Ausgaben immer die Code Tags verwenden, damit das alles übersichtlich bleibt.

Im Log steht folgendes:

Sind die Einstellungen identisch wie auf dem anderen Androiden, wo es funktioniert?
Sind die Credentials + Zertifikat korrekt?

Dazu bitte auch mal das Log vom Client (Android StrongSwan App) anschauen.
Member: frosch2
frosch2 Dec 16, 2018 at 11:50:29 (UTC)
Goto Top
Hallo
Du hast recht das ich das entfernen sollte, also neue erstellen und das ganze nochmal machen.

Muss zu jedem Benutzer ein Zertifikat? Habe nur das eine erstmal erstellt und damit die anderen Android bestückt. Eines der neueren funktionierte auch dreimal dann bekam es eine SIM und es funktionierte nicht mehr.

Das apple funktionierte von Anfang an nicht.

Das Log maile ich mir und stelle es dann rein: im prinzip bricht er ab, denke ich
Member: frosch2
frosch2 Dec 16, 2018 at 12:36:30 (UTC)
Goto Top
Zitat von @ChriBo:

Hi,
Fehlermeldung ist am Ende des Logs: [ N(AUTH_FAILED) ]

Ich kann dir nicht bei der Kombination pfSense/Android/StrongSwan helfen, aber mit dieser Fehlermeldung und ein bißchen Recherche sollte du den Fehler und die Lösung selber finden können.

CH
Trtzdem Danke
Member: aqui
aqui Dec 16, 2018 updated at 13:13:26 (UTC)
Goto Top
Muss zu jedem Benutzer ein Zertifikat?
Nein !
Das ist ja nur das Server Zertifikat was du aufs Telefon importieren musst. Das muss natürlich imemr auf jedes Teilnehmer Gerät im VPN. Aaaaber...
Du musst JEDEN einzelnen User einrichten in der FW Userverwaltung ! Das hast du vermutlich nicht gemacht, kann das sein ?
IPsec seitig ist alles bella wie dir das Log ja zeigt aber die Authentisierung schlägt fehl. Also zusätzlichen User einrichten auf der FW vergessen oder Namen, Passwort usw. falsch geschrieben (Tippfehler).
Dadurch das es mit einem Smartphone klappt, kannst du sehen das du vom generellen Setup alles richtig gemacht hast !
Member: frosch2
frosch2 Dec 16, 2018 at 18:32:03 (UTC)
Goto Top
Hallo Aqui,

ich habe jeden User mit seiner ID und dem Passwort eingerichtet gehabt.

Ich habe jetzt erstmal wieder alles auf Null gesetzt, dann wieder ein neues Zertifikat erstellt und ein Tunnel und 4 User leider kann ich nur einen testen, und der funktioniert. Ist auch meine 'alte Gurke'.

Richtig, ich habe auch erst an Tippfehler geglaubt, aber im StrongSwan kam sone Art meldung das etwas nicht vollständig übertragen sei. Habe dann mir die grösse des Server Zertifikat Original angeschaut. Dies war 1,4 KB. Dann die groesse die ich auf den anderen Handys übertragen hatte und hier wurde mir nur 1 KB angezeigt. Hm, ist da was verloren gegangen oder nur ein Anzeigefehler?

wie auch immer, ich werde es morgen erst wieder testen können und dann von vorne.

Gruß Thomas
Member: aqui
Solution aqui Dec 17, 2018 updated at 13:04:26 (UTC)
Goto Top
dann wieder ein neues Zertifikat erstellt und ein Tunnel und 4 User
Denke dran das du das ALTE Default (US) Zertifkat was die pfSense automatisch einrichtet dann vollständig löschst !!!
ACHTUNG:
Vor dem Löschen musst du das Firewall GUI auf das neue Zertifikat in den System -> Advanced --> Admin Access Settings entsprechend auf dein neu generiertes Zertifikat einstellen !!!
Guckst du hier:

pfssl

und der funktioniert.
Zeigt ja erstmal das du mehr oder weniger alles richtig gemacht hast !
kam sone Art meldung das etwas nicht vollständig übertragen sei.
Das sollte nicht passieren. Solche Meldung wäre dann wichtig hier mal zu posten zum Troubleshooting.

Gehen wir aber mal davon aus das mit dem 2ten Versuch dann nun alles glattgeht face-wink !
Member: frosch2
frosch2 Dec 17, 2018 at 13:02:19 (UTC)
Goto Top
Hallo Aqui,

bisher hat alles funktioniert. Ein Smartphone habe ich zugange. Dann mal schauen wie es sich mit dem zweiten Verhaelt.

Gruss Thomas face-smile
Member: frosch2
frosch2 Dec 17, 2018 at 13:09:00 (UTC)
Goto Top
Hallo


mit zweien klappt es auch. Jetzt noch die Iphones ins VPN bringen und alles ist schick.


Danke euch allen

Thomas
Member: aqui
Solution aqui Dec 17, 2018 updated at 13:42:24 (UTC)
Goto Top
Glückwunsch ! face-smile
So sollte es sein !
Jetzt noch die Iphones ins VPN bringen und alles ist schick.
Das sollte ein Kinderspiel sein. Anleitung hast du ja... face-wink
Danke euch allen
Immer gerne wieder !