Jul 06, 2020, updated at Apr 17, 2024 (UTC)

40267

PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Allgemeine Einleitung

Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt die VPN Anbindung von mobilen Benutzern oder Homeoffice Nutzern mit Windows, Mac OS, Linux sowie Smartphones und Pads unter Apple iOS und Android an die Firewall pfSense (Netgate).

Auch mit dem hier eingesetzten L2TP VPN Protokoll werden immer die bordeigenen VPN Clients verwendet die alle Betriebssysteme, Smartphones usw. von sich aus schon mitbringen. Die Installation einer extra VPN Client Software ist in dieser L2TP VPN Variante wie auch bei der o.g. reinen IPsec IKE2 VPN Variante mit Server Zertifikat NICHT erforderlich !
Entgegen der zertifikatsbasierten IPsec IKEv2 Lösung, verzichtet das L2TP VPN Protokoll auf ein Server Zertifikat. Die VPN Einrichtung gerät damit insgesamt leichter und unkomplizierter.
Dies hat den Nachteil das die eindeutige VPN Server Identifizierung durch den Client mit einem Zertifikat fehlt, was eine Einschränkung in der Sicherheit bedeutet.
Anwender müssen hier also entscheiden ob das eine oder andere Verfahren für sie günstiger und vor allem sicherer ist. Beide bieten mit den bordeigenen VPN Clients eine problemlose und kryptografisch sichere Client Anbindung per VPN an die Firewall.
Nutzer die die pfSense Firewall in einem Kaskaden Setup betreiben sollten die entsprechenden Hinweise im genannten Tutorial beachten die auch für L2TP VPNs gelten.
Los gehts....

pfSense Grundkonfiguration für L2TP

Zuerst aktiviert man im Menüpunkt VPN --> L2TP den L2TP Server mit folgenden Einstellungen:

Haken aktiviert den L2TP Server
"Interface" = WAN (WAN IP Adresse der Firewall)
"Server Address" = Hier konfiguriert man eine VPN Server IP Adresse für das interne VPN Netzwerk. ACHTUNG: Dieses Netzwerk darf NICHT im Bereich der bestehenden Netzwerk IP Adressen der pfSense liegen ! Zudem sollte es niemals im Bereich vielfach verwendeter Standard IP Adressen, wie z.B. FritzBox (192.168.178.0), liegen da das zu einer Überschneidung und zur Fehlfunktion führt. Ideal sind hier etwas exotische IP Netze. Dieser Thread gibt Tips_zum_richtigen_VPN_Adressdesign ! Es ist sehr wichtig hier keine Banal 192.168er Allerweltsnetze zu definieren was oft zu Fehlfunktionen und Scheitern der VPNs durch Adressüberschneidungen führt !!
"Secret" = leer lassen!
"Remote Adress Range" = Adressbereich der VPN Clients. Dieses Netzwerk definiert den Client IP Bereich. Es darf sich NICHT mit der darüber liegenden Server IP überschneiden ! Das Beispiel hier nutzt das Subnetz 10.77.77.192 mit einer 26 Bit Maske (255.255.255.192) was damit insgesamt 62 VPN Clients erlaubt. (Server IP ist so im 10.77.77.0/26 Netz, Client Range im 10.77.77.192/26 Netz. Erlaubt wären bei /26 z.B. auch 10.77.77.64/26 oder 10.77.77.128/26). Eine größere Maske von z.B. /25 Bit (255.255.255.128, Netzwerk: 10.77.77.128) erlaubt insgesamt 126 VPN User usw.
"Number of Users" = Hier gibt man die maximale Anzahl der zu erwartenden VPN User an. ⚠️ Die Anzahl muss natürlich zum obigen IP Bereich (Netzmaske) der VPN Adressen passen und immer kleiner sein als die maximale, durch die Netzmaske technisch mögliche Anzahl !
"Authentication Type" = MS CHAPv2
"L2TP DNS Server" = (Optional) Hier definiert man z.B. interne DNS Server (Windows) die man dem Client bei VPN Einwahl automatisch übergeben will. Lässt man es weg wird normal wie auch im LAN die pfSense als DNS IP vergeben.
"Radius" = (Optional) Wer einen Radius Server zur externen User Authentisierung verwendet aktiviert ihn hier. In dem Fall entfällt der Eintrag der lokalen Userdaten. Ohne Radius leer lassen.

L2TP Benutzernamen einrichten

Im VPN -> L2TP User Menü konfiguriert man nun die Benutzernamen und Passwort zur VPN Einwahl.
WICHTIG: Unter IP Address kann man optional jedem Benutzer eine spezifische IP zuweisen lassen. Das ist wichtig wenn man später bestimmte Benutzer mit Firewall Regeln den Zugriff auf einzelne Netze oder Rechner oder auch Anwendungsdienste steuern will !

L2TP Tunnelprotokoll konfigurieren

Der L2TP Tunnel nutzt IPsec ESP mit IKEv1 als Verschlüsselung was entsprechend im Menüpunkt VPN -> IPsec, Mobile Clients eingerichtet werden muss.

"User Authentication" = Local Database

Optional können hier lokale DNS Server an den VPN Client beim Dialin übergeben werden um lokale Hostnamen aufzulösen.

⚠️ Die folgende IPsec Phase 1 muss aus diesem Mobile Client Menü heraus eingerichtet werden !! Von dort also unbedingt rechts auf "Create Phase 1" klicken !

Einrichtung IPsec Phase 1

"Key Exchange Version" = IKEv1
"Authentication method" = Mutual PSK
"Negotiation Mode" = Main
"My Identifier" = My IP address
"Encryption algorithm" = AES 256, ⚠️ Bei Windows 11 L2TP Clients! Diese erfordern aktuell (21H2) zusätzlich AES 128! Siehe HIER! Zu den 2 unten im Beispiel kommt eine Dritte mit AES128, SHA1, DH2 (o. DH14) hinzu. (Siehe Screenshot "P1/P2 Konfigübersicht" unten!)
"Hash algorithm" = SHA1
"DH key group" = 14 (2048 bit) (Achtung: Bei Fehlfunktion im VPN Aufbau mit älteren Smartphones, Chromebooks und einigen Android Modellen hier statt 14 dann DH key group = 2 (1024 bit) verwenden! Sinnvoll ist immer einen 2ten bzw. 3ten (Win11) P1 Eintrag mit DH2 zusätzlich hinzuzufügen um alle Optionen abzudecken !)

Einrichtung IPsec Phase 2

"Mode" = Transport
"Protocol" = ESP
"Encryption algorithms" = nur AES 128
"Hash algorithms" = nur SHA1
"PFS Key Group" = off (muss auf AUS sein !)

P1/P2 Konfigurationsübersicht

Hat man alles richtig konfiguriert sieht die Übersicht der P1 und P2 für die mobilen VPN Clients so aus:

Setzen des globalen Pre Shared Key (vorinstallierter Schlüssel)

Im Menü VPN -> IPsec, Pre-Shared Keys

"Identifier" = MUSS hier immer allusers sein ! Der String allusers ist eine Wildcard für den vorinstallierten L2TP Schlüssel. Er darf nicht verändert werden !
⚠️ Ab pfSense Community Edition Ver. 2.6 ist dies geändert und lautet dann any ! (Dank an @TobiasNYC für diesen Hinweis)! (Anmerkung: Ein aktueller Test zeigt aber bei Ver. 2.6 das es völlig egal ist ob "any" oder "allusers" eingetragen ist!))

Firewall Regeln richtig einstellen!

⚠️ Es sind 3 Firewall Regeln zu konfigurieren damit der L2TP VPN Zugriff klappt ! L2TP erstellt keine automatischen WAN Regeln!

1. Inbound Regel am WAN Port die L2TP VPN Traffic auf die Firewall WAN IP Adresse erlaubt
2. L2TP Tunnel Regel
3. IPsec Tunnel Regel

FW Regel WAN Port

Hier definiert man die L2TP Ports idealerweise, der Einfachheit halber, vorab in einem Firewall Port Alias Eintrag mit UDP 500, 4500 und 1701. Zusätzlich dazu ist das ESP Protokoll freizugeben.

(Anmerkung: UDP 1701 ist mit der IPsec Verschlüsselung nicht zwingend nötig und muss nur sein wenn man auch natives L2TP nutzt. Er kann also auch komplett entfallen. Es schadet aber auch nicht ihn zu belassen, da so auch natives L2TP in der FW Regel mitberücksichtigt wird.)

FW Regel L2TP Tunnel Port

Hier nutzt man meist die bekannte "Scheunentor" Regel. Bei Bedarf kann (und sollte) sie später aber strikter eingestellt werden.

FW Regel IPsec Tunnel Port

Krypto Hardware und VPN Widget

Für die VPN Skalierbarkeit (Performance) ist zu beachten immer den AES NI Support der Firewall CPU zu aktivieren und dies auch auf ggf. virtualisierte Firewalls an die VM durchzureichen! So wird der Grossteil der Verschlüsselung in Hardware gemacht.
Eingestellt wird dies im Menü Advanced -> Miscellaneous.
Empfehlenswert ist auch die Installation des IPsec Widgets im Dashboard. Das Widget ermöglicht den schnellen Überblick über aktive VPN User.

Damit ist das L2TP VPN Setup der Firewall abgeschlossen und weiter geht es mit den VPN Clients.

L2TP onboard VPN Client Setup für alle Betriebssysteme

Windows Client Setup

⚠️Versionen älter als 21H2 benötigen einen Patch ! 22H2 oder neuer erfordert keinen Patch!

Den Windows Client legt man mit dem bordeigenen Windows VPN Setup an:

⚠️ Im Windows L2TP Client müssen zusätzlich noch ein paar spezifische Einstellungen vorgenommen werden!:

In den VPN Client Optionen kann man wählen ob man den gesamten Datenverkehr in den Tunnel routen möchte (Gateway Redirect) oder nur den für die remoten Netze spezifischen Verkehr (Split Tunneling).

L2TP Windows Client und VPN hinter NAT Router

⚠️ Dieser Hinweis gilt für den Betrieb des L2TP VPN Servers hinter einem NAT Router in einer Router Kaskade!
Der Windows L2TP Client (und nur der!) supportet im Default kein NAT-Traversal und muss dazu erst mit einem Eintrag in der Windows Registry angepasst werden. (Siehe dazu auch HIER) Microsoft weist in ihrer Knowledgebase ebenfalls darauf hin!
Im Falle eines NAT Kaskaden Designs scheitert dann der Tunnelaufbau bei Windows. (Dank an Forenuser @FlorianHe für diesen Hinweis)
Das Kommando

reg add HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f 

in der Eingabeaufforderung oder Shell setzt diesen Registry Eintrag.
Er kann auch manuell über den Registry Editor regedit eingegeben werden:

(Weitere Infos dazu auch HIER)

Apple Mac OS Client Setup

Analog funktioniert die Einrichtung des Apple MacOS L2TP Clients:

Authentisierungseinstellungen:

In den VPN Client Optionen kann man bei Apple ebenso wählen ob man den gesamten Datenverkehr in den Tunnel routen möchte (Gateway Redirect) oder nur den für die remoten Netze spezifischen Verkehr (Split Tunneling).

Apple iPhone/iPad Setup

Der Apple iOS Client hat als einziger L2TP Client die Option "Split Tunneling" zu machen oder alles in den Tunnel zu senden:

Android Client Setup

Achtung:
Einige ältere und einfache Android Smartphones (und vereinzelt alte Apple iPhones) supporten keine DH Key Gruppe 14 (2048 Bit) und dann scheitert der L2TP Verbindungsversuch.
In diesem Falle muss man für den Support älterer Geräte oben in den IPsec Settings auf DH key group = 2 (1024 bit) umstellen !

Linux Client Setup für GUI u. CLI

Das Setup für das klassische L2TP Network Manager GUI sieht so aus:

Eine detailierte Anleitung zur Anbindung eines Linux Clients (Server etc.) an ein L2TP VPN findet man HIER.
Eine weitere GUI Variante über die grafische Oberfläche hier.

Weiterführende Links

NetGate L2TP/IPsec Handbuch:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/l2tp-ipsec.html

Mikrotik L2TP VPN Server für alle onboard VPN Clients und Smartphones:
Mikrotik L2TP VPN Server Setup
VPN Verbindung Windows 10 zu MikroTik L2TP

L2TP Site to Site (Standort) Anbindung mit Mikrotik:
Mikrotik Site-2-Site mit L2TP

Cisco Router als L2TP VPN Server:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Windows und iPhone L2TP Client Routing und DNS Verhalten:
L2TP Client Routing u. DNS Windows und Apple iOS

pfSense / OPNsense IKEv2 VPN für mobile Benutzer mit bordeigener VPN Software:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Benutzer Authentisierung mit Client Zertifikaten statt PSK:
Mobile Clients mit Client Certificate authentifizieren

Benutzer Authentisierung mit Radius Server:
Freeradius Management mit WebGUI

Mikrotik als SSTP VPN Server für Windows Clients:
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/

Windows 10: Schneller VPN Aufbau per einfachem Mausklick:
https://www.heise.de/ct/ausgabe/2017-19-VPN-und-Remote-Desktop-Verbindun ...
Windows User Credentials beachten:
Windows VPN L2TP , falsche Anmeldedaten

Automatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates:
VPN - Fritzbox vs. MikroTik

Windows 10 VPN IKE Verhalten:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-ikee/74d ...

FritzBox 7412 als preiswertes VDSL "nur" Modem für pfSense/OPNsense:
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254

pfSense auf VmWare ESXi:
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches

Fehler bei IPv6 vermeiden:
PFsense IPv6 - Was mache ich falsch ?

Seriellen Terminal Anschluss richtig handhaben:
Alschluss eines USB Seriel Adapter am APU2E4 Board

Email Benachrichtigungen richtig einrichten:
OPNSense - EMAIL Alerts - failed login

Link Aggregation (LAG) mit pfSense und OPNsense:
Link Aggregation (LAG) im Netzwerk

AirPrint Drucker und andere Bonjour/mDNS Dienste erreichbar machen:
Apple AirPrint über VLANs

OT: AdGuard DNS Filter auf pfSense/OPNsense installieren:
https://broadbandforum.co/t/205884/

OpenVPN auf der pfSense einrichten:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Please also mark the comments that contributed to the solution of the article

Content-Key: 585307

Url: https://administrator.de/contentid/585307

Printed on: April 24, 2024 at 18:04 o'clock

24 Comments

Latest comment

Hat jemand eine Anpassung parat, damit das unter Big Sur funktioniert?

Funktioniert auch unter Big Sur fehlerlos.
Eben grad auf einer pfSense (Ver. 2.5.2) und als Crosscheck auch auf einem Mikrotik (Ver. 6.48.4) und auch Cisco Meraki MX64 problemlos getestet.

Ich bekomme das hier nicht zum laufen.

Mac:
Thu Sep  9 11:52:22 2021 : publish_entry SCDSet() failed: Success!
Thu Sep  9 11:52:22 2021 : publish_entry SCDSet() failed: Success!
Thu Sep  9 11:52:22 2021 : l2tp_get_router_address
Thu Sep  9 11:52:22 2021 : l2tp_get_router_address 172.20.10.1 from dict 1
Thu Sep  9 11:52:22 2021 : L2TP connecting to server 'vpn.xxxx.de' (xxx.yz.148.51)...  
Thu Sep  9 11:52:22 2021 : IPSec connection started
Thu Sep  9 11:52:22 2021 : IPSec phase 1 client started
Thu Sep  9 11:52:22 2021 : IPSec phase 1 server replied
Thu Sep  9 11:52:23 2021 : IPSec phase 2 started
Thu Sep  9 11:52:24 2021 : IPSec phase 2 established
Thu Sep  9 11:52:24 2021 : IPSec connection established
Thu Sep  9 11:52:24 2021 : L2TP sent SCCRQ
Thu Sep  9 11:52:44 2021 : L2TP cannot connect to the server



PFsense:
Sep 9 11:52:22 	charon 	13353 	06[NET] <6> received packet: from xyz.abc.116.238[500] to def.ijk.148.51[500] (788 bytes)
Sep 9 11:52:22 	charon 	13353 	06[ENC] <6> parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> looking for an IKEv1 config for def.ijk.148.51...xyz.abc.116.238
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> candidate: 0.0.0.0/0, ::/0...0.0.0.0/0, ::/0, prio 28
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> found matching ike config: 0.0.0.0/0, ::/0...0.0.0.0/0, ::/0 with prio 28
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received NAT-T (RFC 3947) vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received FRAGMENTATION vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> received DPD vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> xyz.abc.116.238 is initiating a Main Mode IKE_SA
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> IKE_SA (unnamed)[6] state change: CREATED => CONNECTING
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable DIFFIE_HELLMAN_GROUP found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable DIFFIE_HELLMAN_GROUP found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selecting proposal:
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> proposal matches
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Sep 9 11:52:22 	charon 	13353 	06[CFG] <6> selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> sending XAuth vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> sending DPD vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> sending FRAGMENTATION vendor ID
Sep 9 11:52:22 	charon 	13353 	06[IKE] <6> sending NAT-T (RFC 3947) vendor ID
Sep 9 11:52:22 	charon 	13353 	06[ENC] <6> generating ID_PROT response 0 [ SA V V V V ]
Sep 9 11:52:22 	charon 	13353 	06[NET] <6> sending packet: from def.ijk.148.51[500] to xyz.abc.116.238[500] (160 bytes)
Sep 9 11:52:23 	charon 	13353 	06[NET] <6> received packet: from xyz.abc.116.238[500] to def.ijk.148.51[500] (228 bytes)
Sep 9 11:52:23 	charon 	13353 	06[ENC] <6> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Sep 9 11:52:23 	charon 	13353 	06[IKE] <6> remote host is behind NAT
Sep 9 11:52:23 	charon 	13353 	06[CFG] <6> candidate "con-mobile", match: 1/1/28 (me/other/ike)  
Sep 9 11:52:23 	charon 	13353 	06[ENC] <6> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Sep 9 11:52:23 	charon 	13353 	06[NET] <6> sending packet: from def.ijk.148.51[500] to xyz.abc.116.238[500] (244 bytes)
Sep 9 11:52:23 	charon 	13353 	06[NET] <6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (108 bytes)
Sep 9 11:52:23 	charon 	13353 	06[ENC] <6> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Sep 9 11:52:23 	charon 	13353 	06[CFG] <6> looking for pre-shared key peer configs matching def.ijk.148.51...xyz.abc.116.238[172.20.10.2]
Sep 9 11:52:23 	charon 	13353 	06[CFG] <6> candidate "con-mobile", match: 1/1/28 (me/other/ike)  
Sep 9 11:52:23 	charon 	13353 	06[CFG] <6> selected peer config "con-mobile"  
Sep 9 11:52:23 	charon 	13353 	06[IKE] <con-mobile|6> IKE_SA con-mobile[6] established between def.ijk.148.51[def.ijk.148.51]...xyz.abc.116.238[172.20.10.2]
Sep 9 11:52:23 	charon 	13353 	06[IKE] <con-mobile|6> IKE_SA con-mobile[6] state change: CONNECTING => ESTABLISHED
Sep 9 11:52:23 	charon 	13353 	06[IKE] <con-mobile|6> scheduling reauthentication in 23393s
Sep 9 11:52:23 	charon 	13353 	06[IKE] <con-mobile|6> maximum IKE_SA lifetime 26273s
Sep 9 11:52:23 	charon 	13353 	06[ENC] <con-mobile|6> generating ID_PROT response 0 [ ID HASH ]
Sep 9 11:52:23 	charon 	13353 	06[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (76 bytes)
Sep 9 11:52:24 	charon 	13353 	10[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (396 bytes)
Sep 9 11:52:24 	charon 	13353 	10[ENC] <con-mobile|6> parsed QUICK_MODE request 1176519332 [ HASH SA No ID ID NAT-OA NAT-OA ]
Sep 9 11:52:24 	charon 	13353 	10[IKE] <con-mobile|6> changing received traffic selectors 172.20.10.2/32|/0[udp/61568]=== def.ijk.148.51/32|/0[udp/l2f] due to NAT
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> looking for a child config for def.ijk.148.51/32|/0[udp/l2f] === xyz.abc.116.238/32|/0[udp/61568]
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> proposing traffic selectors for us:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> def.ijk.148.51/32|/0
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> proposing traffic selectors for other:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> xyz.abc.116.238/32|/0
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> candidate "con-mobile" with prio 1+1  
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> found matching child config "con-mobile" with prio 2  
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting traffic selectors for other:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> config: xyz.abc.116.238/32|/0, received: xyz.abc.116.238/32|/0[udp/61568] => match: xyz.abc.116.238/32|/0[udp/61568]
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting traffic selectors for us:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> config: def.ijk.148.51/32|/0, received: def.ijk.148.51/32|/0[udp/l2f] => match: def.ijk.148.51/32|/0[udp/l2f]
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting proposal:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> no acceptable ENCRYPTION_ALGORITHM found
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting proposal:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> no acceptable ENCRYPTION_ALGORITHM found
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting proposal:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> no acceptable ENCRYPTION_ALGORITHM found
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting proposal:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting proposal:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> no acceptable INTEGRITY_ALGORITHM found
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selecting proposal:
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> proposal matches
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_MD5_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> configured proposals: ESP:AES_CBC_128/HMAC_MD5_96/NO_EXT_SEQ
Sep 9 11:52:24 	charon 	13353 	10[CFG] <con-mobile|6> selected proposal: ESP:AES_CBC_128/HMAC_MD5_96/NO_EXT_SEQ
Sep 9 11:52:24 	charon 	13353 	10[ENC] <con-mobile|6> generating QUICK_MODE response 1176519332 [ HASH SA No ID ID NAT-OA NAT-OA ]
Sep 9 11:52:24 	charon 	13353 	10[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (204 bytes)
Sep 9 11:52:24 	charon 	13353 	10[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (60 bytes)
Sep 9 11:52:24 	charon 	13353 	10[ENC] <con-mobile|6> parsed QUICK_MODE request 1176519332 [ HASH ]
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> CHILD_SA con-mobile{5} state change: CREATED => INSTALLING
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> using AES_CBC for encryption
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> using HMAC_MD5_96 for integrity
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> adding inbound ESP SA
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> SPI 0xced0dc9e, src xyz.abc.116.238 dst def.ijk.148.51
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> adding outbound ESP SA
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> SPI 0x03595e06, src def.ijk.148.51 dst xyz.abc.116.238
Sep 9 11:52:24 	charon 	13353 	10[IKE] <con-mobile|6> CHILD_SA con-mobile{5} established with SPIs ced0dc9e_i 03595e06_o and TS def.ijk.148.51/32|/0[udp/l2f] === xyz.abc.116.238/32|/0[udp/61568]
Sep 9 11:52:24 	charon 	13353 	10[CHD] <con-mobile|6> CHILD_SA con-mobile{5} state change: INSTALLING => INSTALLED
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:25 	charon 	13353 	06[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 3401304144 [ HASH N(DPD) ]
Sep 9 11:52:25 	charon 	13353 	06[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:25 	charon 	13353 	06[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:25 	charon 	13353 	06[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2200524928 [ HASH N(DPD_ACK) ]
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:25 	charon 	13353 	06[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:26 	charon 	13353 	10[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 3125698663 [ HASH N(DPD) ]
Sep 9 11:52:26 	charon 	13353 	10[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:26 	charon 	13353 	10[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:26 	charon 	13353 	10[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 1412957240 [ HASH N(DPD_ACK) ]
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:26 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:27 	charon 	13353 	10[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 3169018633 [ HASH N(DPD) ]
Sep 9 11:52:27 	charon 	13353 	10[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:27 	charon 	13353 	10[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:27 	charon 	13353 	10[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 161370408 [ HASH N(DPD_ACK) ]
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:27 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:28 	charon 	13353 	10[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 2846347057 [ HASH N(DPD) ]
Sep 9 11:52:28 	charon 	13353 	10[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:28 	charon 	13353 	10[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:28 	charon 	13353 	10[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 3166884827 [ HASH N(DPD_ACK) ]
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:28 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:29 	charon 	13353 	10[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 1399713983 [ HASH N(DPD) ]
Sep 9 11:52:29 	charon 	13353 	10[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:29 	charon 	13353 	10[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:29 	charon 	13353 	10[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 1972336736 [ HASH N(DPD_ACK) ]
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:29 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:30 	charon 	13353 	10[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 652951414 [ HASH N(DPD) ]
Sep 9 11:52:30 	charon 	13353 	10[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:30 	charon 	13353 	10[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:30 	charon 	13353 	10[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 404915874 [ HASH N(DPD_ACK) ]
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:30 	charon 	13353 	10[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:31 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 920528892 [ HASH N(DPD) ]
Sep 9 11:52:31 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:31 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:31 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 3285350641 [ HASH N(DPD_ACK) ]
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:31 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:32 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 2256793496 [ HASH N(DPD) ]
Sep 9 11:52:32 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:32 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:32 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 1455714175 [ HASH N(DPD_ACK) ]
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:32 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:33 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 331134726 [ HASH N(DPD) ]
Sep 9 11:52:33 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:33 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:33 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2640606474 [ HASH N(DPD_ACK) ]
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:33 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:34 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 1247638940 [ HASH N(DPD) ]
Sep 9 11:52:34 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:34 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:34 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2530195038 [ HASH N(DPD_ACK) ]
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:34 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:35 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 2079041617 [ HASH N(DPD) ]
Sep 9 11:52:35 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:35 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:35 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2914855772 [ HASH N(DPD_ACK) ]
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:35 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:36 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 860455598 [ HASH N(DPD) ]
Sep 9 11:52:36 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:36 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:36 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 841506726 [ HASH N(DPD_ACK) ]
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:36 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:37 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 2252303055 [ HASH N(DPD) ]
Sep 9 11:52:37 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:37 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:37 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2173860112 [ HASH N(DPD_ACK) ]
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:37 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:38 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 2162668809 [ HASH N(DPD) ]
Sep 9 11:52:38 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:38 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:38 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2263478134 [ HASH N(DPD_ACK) ]
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:38 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:39 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 2611093714 [ HASH N(DPD) ]
Sep 9 11:52:39 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:39 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:39 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2556323718 [ HASH N(DPD_ACK) ]
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:39 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:40 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 4040646048 [ HASH N(DPD) ]
Sep 9 11:52:40 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:40 	charon 	13353 	09[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:40 	charon 	13353 	09[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 1484630634 [ HASH N(DPD_ACK) ]
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:40 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:41 	charon 	13353 	09[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:41 	charon 	13353 	09[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:41 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:41 	charon 	13353 	09[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:41 	charon 	13353 	09[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 830103228 [ HASH N(DPD) ]
Sep 9 11:52:41 	charon 	13353 	09[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:41 	charon 	13353 	09[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:41 	charon 	13353 	09[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:41 	charon 	13353 	12[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:41 	charon 	13353 	12[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 3661340784 [ HASH N(DPD_ACK) ]
Sep 9 11:52:41 	charon 	13353 	12[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:41 	charon 	13353 	12[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:42 	charon 	13353 	12[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 2881913898 [ HASH N(DPD) ]
Sep 9 11:52:42 	charon 	13353 	12[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:42 	charon 	13353 	12[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:42 	charon 	13353 	12[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 1867954662 [ HASH N(DPD_ACK) ]
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:42 	charon 	13353 	12[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> sending DPD request
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> queueing ISAKMP_DPD task
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> activating ISAKMP_DPD task
Sep 9 11:52:43 	charon 	13353 	12[ENC] <con-mobile|6> generating INFORMATIONAL_V1 request 1763851670 [ HASH N(DPD) ]
Sep 9 11:52:43 	charon 	13353 	12[NET] <con-mobile|6> sending packet: from def.ijk.148.51[4500] to xyz.abc.116.238[15557] (92 bytes)
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:43 	charon 	13353 	12[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:43 	charon 	13353 	12[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 291869909 [ HASH N(DPD_ACK) ]
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> activating new tasks
Sep 9 11:52:43 	charon 	13353 	12[IKE] <con-mobile|6> nothing to initiate
Sep 9 11:52:44 	charon 	13353 	12[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (76 bytes)
Sep 9 11:52:44 	charon 	13353 	12[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 742545670 [ HASH D ]
Sep 9 11:52:44 	charon 	13353 	12[IKE] <con-mobile|6> received DELETE for ESP CHILD_SA with SPI 03595e06
Sep 9 11:52:44 	charon 	13353 	12[CHD] <con-mobile|6> CHILD_SA con-mobile{5} state change: INSTALLED => DELETING
Sep 9 11:52:44 	charon 	13353 	12[IKE] <con-mobile|6> closing CHILD_SA con-mobile{5} with SPIs ced0dc9e_i (660 bytes) 03595e06_o (0 bytes) and TS def.ijk.148.51/32|/0[udp/l2f] === xyz.abc.116.238/32|/0[udp/61568]
Sep 9 11:52:44 	charon 	13353 	12[CHD] <con-mobile|6> CHILD_SA con-mobile{5} state change: DELETING => DELETED
Sep 9 11:52:44 	charon 	13353 	12[CHD] <con-mobile|6> CHILD_SA con-mobile{5} state change: DELETED => DESTROYING
Sep 9 11:52:44 	charon 	13353 	11[NET] <con-mobile|6> received packet: from xyz.abc.116.238[15557] to def.ijk.148.51[4500] (92 bytes)
Sep 9 11:52:44 	charon 	13353 	11[ENC] <con-mobile|6> parsed INFORMATIONAL_V1 request 2500915748 [ HASH D ]
Sep 9 11:52:44 	charon 	13353 	11[IKE] <con-mobile|6> received DELETE for IKE_SA con-mobile[6]
Sep 9 11:52:44 	charon 	13353 	11[IKE] <con-mobile|6> deleting IKE_SA con-mobile[6] between def.ijk.148.51[def.ijk.148.51]...xyz.abc.116.238[172.20.10.2]
Sep 9 11:52:44 	charon 	13353 	11[IKE] <con-mobile|6> IKE_SA con-mobile[6] state change: ESTABLISHED => DELETING
Sep 9 11:52:44 	charon 	13353 	11[IKE] <con-mobile|6> IKE_SA con-mobile[6] state change: DELETING => DELETING
Sep 9 11:52:44 	charon 	13353 	11[IKE] <con-mobile|6> IKE_SA con-mobile[6] state change: DELETING => DESTROYING 

Weiss jemand, was da falsch läuft?

An https://support.apple.com/de-at/HT211840 liegt es nicht?

Das hast du beachtet ?
L2TP-IPsec VPN pfSense 2.3

Tip: Am besten einen separaten Thread aufmachen mit den Setup Screenshots um das Tutorial hier nicht "aufzublähen". da können wir dann ins Eingemachte gehen. Du hast irgendwo noch einen Konfig Kinken im Firewall Setup.
Wichtig sind die Crypto Settings. SHA1 (L2TP kann nur das) und ggf. mal mit anderer DH Group testen.
Der Mac kommt nochmalerweise auch mit DH14 klar.

So, Schnellcheck und ums vorweg zu nehmen: Works as designed ! 😉

pfSense Setup:

Connection Status pfSense bei aktivem Mac L2TP Client

Mac L2TP Client Status

Wie gesagt...alles fehlerlos.
(Winblows 10 (21H1) L2TP Client übrigens auch !)
Fazit: Irgendwo hast du einen Setup Fehler in deiner L2TP Konfig !

Hier der komplette L2TP Log Auszug der Connection:

^^ Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IFACE: Add group l2tp to ng0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IFACE: Rename interface ng0 to l2tps1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IFACE: Up event
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IFACE: No interface to proxy arp on for 10.77.77.192
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] 10.77.77.1 -> 10.77.77.192
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: LayerUp
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: state change Ack-Rcvd --> Opened
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] PRIDNS 192.168.1.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 10.77.77.192
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: SendConfigAck #3
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] PRIDNS 192.168.1.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] 10.77.77.192 is OK
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 10.77.77.192
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: rec'd Configure Request #3 (Ack-Rcvd)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: state change Req-Sent --> Ack-Rcvd
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 10.77.77.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: rec'd Configure Ack #2 (Req-Sent)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] PRIDNS 192.168.1.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 10.77.77.192
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: SendConfigNak #2
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] NAKing with 192.168.1.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] PRIDNS 0.0.0.0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] NAKing with 10.77.77.192
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 0.0.0.0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: rec'd Configure Request #2 (Req-Sent)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: LayerFinish
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: state change Req-Sent --> Stopped
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: protocol was rejected by peer
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: protocol CCP was rejected
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: rec'd Protocol Reject #2 (Opened)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 10.77.77.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: SendConfigReq #2
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: rec'd Configure Reject #1 (Req-Sent)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] rec'd unexpected protocol Apple Client Server Protocol Control, rejecting  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] rec'd unexpected protocol IPV6CP, rejecting  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] SECDNS 0.0.0.0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: SendConfigRej #1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] SECDNS 0.0.0.0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] NAKing with 192.168.1.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] PRIDNS 0.0.0.0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] NAKing with 10.77.77.192
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 0.0.0.0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: rec'd Configure Request #1 (Req-Sent)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: SendConfigReq #1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: state change Starting --> Req-Sent
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: Protocol mppc disabled as useless for this setup
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: Up event
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPADDR 10.77.77.1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: SendConfigReq #1
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: state change Starting --> Req-Sent
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: Got IP 10.77.77.192 from pool "p0" for peer  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: Up event
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: LayerStart
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: state change Initial --> Starting
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] CCP: Open event
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: LayerStart
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: state change Initial --> Starting
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] IPCP: Open event
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] Bundle: Status update: up 1 link, total bandwidth 64000 bps
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] Link: Join bundle "l2tp_b-1"  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_b-1] Bundle: Interface ng0 created
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] Creating new bundle using template "l2tp_b".  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] Link: Matched action 'bundle "l2tp_b" ""'  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: authorization successful
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] CHAP: sending SUCCESS #1 len: 46
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] CHAP: Reply message: S=363EBA31DE02EF8CA838CFC4B4A7A0534566B3B4
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] CHAP: Response is valid
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] CHAP: Auth return status: undefined
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] AUTH: INTERNAL returned: undefined
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] AUTH: Trying INTERNAL
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] Name: "user1"  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] CHAP: rec'd RESPONSE #1 len: 59  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: LayerUp
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] CHAP: sending CHALLENGE #1 len: 21
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: auth: peer wants nothing, I want CHAP
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: state change Ack-Sent --> Opened
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] AUTHPROTO CHAP MSOFTv2
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MAGICNUM 0x75e8c0d0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MRU 1500
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] PROTOCOMP
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] ACFCOMP
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: rec'd Configure Ack #3 (Ack-Sent)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] AUTHPROTO CHAP MSOFTv2
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MAGICNUM 0x75e8c0d0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MRU 1500
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] PROTOCOMP
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] ACFCOMP
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: SendConfigReq #3
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MP SHORTSEQ
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MP MRRU 2048
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: rec'd Configure Reject #2 (Ack-Sent)  
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] ENDPOINTDISC [802.1] 00 0d b9 3a 26 61
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MP SHORTSEQ
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MP MRRU 2048
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] AUTHPROTO CHAP MSOFTv2
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MAGICNUM 0x75e8c0d0
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] MRU 1500
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] PROTOCOMP
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] ACFCOMP
Sep 9 14:42:04 	l2tps 	44792 	[l2tp_l-1] LCP: SendConfigReq #2
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: state change Req-Sent --> Ack-Sent
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] ACFCOMP
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] PROTOCOMP
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] MAGICNUM 0x3259fde5
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] ACCMAP 0x00000000
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: SendConfigAck #1
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] ACFCOMP
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] PROTOCOMP
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] MAGICNUM 0x3259fde5
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] ACCMAP 0x00000000
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: rec'd Configure Request #1 (Req-Sent)  
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] ENDPOINTDISC [802.1] 00 0d b9 3a 26 61
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] MP SHORTSEQ
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] MP MRRU 2048
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] AUTHPROTO CHAP MSOFTv2
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] MAGICNUM 0x75e8c0d0
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] MRU 1500
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] PROTOCOMP
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] ACFCOMP
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: SendConfigReq #1
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: state change Starting --> Req-Sent
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: Up event
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] Link: UP event
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] L2TP: Call #1 connected
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: LayerStart
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: state change Initial --> Starting
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] LCP: Open event
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] Link: OPEN event
Sep 9 14:42:02 	l2tps 	44792 	[l2tp_l-1] L2TP: Incoming call #1 via control connection 0x800cc3310 accepted
Sep 9 14:42:02 	l2tps 	44792 	L2TP: Incoming call #1 via connection 0x800cc3310 received
Sep 9 14:42:02 	l2tps 	44792 	L2TP: Control connection 0x800cc3310 10.99.1.99 1701 <-> 10.99.1.140 56990 connected
Sep 9 14:42:02 	l2tps 	44792 	Incoming L2TP packet from 10.99.1.140 56990 ^^

Der Screenshot VPN/IPsec/Pre-Shared-Keys ist falsch. Bei PSK wird nur der PSK angezeigt. Der Rest (identifyer type etc) wird nur in der Maske EAP angezeigt. Der Rest im anderen Fred. ;)

Der Screenshot VPN/IPsec/Pre-Shared-Keys ist falsch.

Bahnhof ?? WO bitte ist der falsch ?? Das ist ein Screenshot der aktiv laufenden Konfig ?! Aber egal...

Fehler gefunden: Es fehlte in der Firewall eine IPSec-Regel im IPSec-Reiter.

Bei VPN/IPsec/Pre-Shared-Keys zeigst du im Screenshot die Parameter für EAP an. Bei PSK (so wie in deinem Screenshot dargestellt) zeigt er bei mir nur Identier, Secret Type und Pre-Shared-Key an.

Wenn die den Secret-Type auf EAP umstelle, dann wird in der 2.5, so wie in deinem Screenshot zusätzlich die Parameter Identifier type, Virtual Address Pool und DNS Server angezeigt.

Fehler gefunden: Es fehlte in der Firewall eine IPSec-Regel im IPSec-Reiter.

👍 Alles wird gut !

Der identifier "alluser" hat sich geändert in "any" (PFS Community Edition 2.6)

Hat mich jetzt fast einen ganzen Tag Lebenszeit gekostet, um den Fehler rauszufinden.
Wer den Fehler "no shared key found" im System Logs IPsec findet sollte dies unbedingt prüfen!

PS: der Autor dieses Tutorials sollte erwägen, diese Info an die entsprechende Stelle preiszugeben!!!

Danke für das Feedback. 👍 Ist oben im Tutorial jetzt vermerkt!

Ein Test mit der aktuellen 2.6er zeigte aber das sowohl allusers als auch any klaglos akzeptiert wird!
Habs aber dennoch mal ins Tutorial übernommen.

@aqui
Vielen Dank für das tolle Tutorial.

Ich habe hier noch einen kleinen Hinweis für Windows als Client.
Bei mir Windows 11 Pro 22H2 tauchte "Fehler 789" im Ereignislog auf.
Nach kurzer Google-Suche bin ich hier gelandet

Ich musste auch die beiden Keys in der Registrty setzen wie hier beschrieben: Fehler 789 beim Versuch einer VPN L2TP IPSEC Verbindung unter Windows 7 Enterprise herzustellen

Und für alle die sich wundern, dass sie nicht auf Ihre Rechner / Server zugreifen können ein Tipp: Wenn die pfsense als Standardgateway eingetragen ist, hilft das ungemein

Hi @Kraemer
Danke für dein Feedback! Bei Windows 10 ist das aber definitv nicht der Fall. Ich habe das für alle Releases bis 22H2 getestet und es funktionierte immer direkt out of the Box ohne irgendwelche Registry Anpassungen.
Einen Win11 Test habe ich aber bis dato noch nicht gemacht, hole das aber asap nach.

Häufig ist es ja die DH Group da L2TP IKEv1 im Tunnel nutzt. Mit den Default Settings nutzt Windows nur DH2 und ein Setup mit nur DH14 scheitert dann. Siehe dazu auch HIER.
Es macht also immer Sinn beide DH Groups in der P1 zu setzen. Ggf. war das der Fehler?!
Das Aktivieren von NAT Traversal ("AssumeUDPEncapsulationContextOnSendRule") in der Registry ist zumindestens bei Win 10 nicht mehr erforderlich, da immer Default.
Wäre ja mal wieder typisch MS wenn man das bei Win 11 jetzt wie Anno dunnemals bei Win7 wieder händisch machen müsste.

Es macht also immer Sinn beide DH Groups in der P1 zu setzen. Ggf. war das der Fehler?!

nein, definitiv nicht.
Ich habe deine Anleitung 1:1 abgearbeitet und bin dann bei Problemen davon ausgegangen, das deine Anleitung korrekt ist und habe sie entsprechend nicht mehr angefasst.

2 Probleme gabs:
1. ich habe die Registryeinträge gesetzt - keine Ahnung ob nur einer oder beide notwendig sind. Ohne gab es immer den o.g. Fehler.
2. Ich hatte das Standardgateway auf dem Server hinter der pfsense vergessen zu ändern.
Mit den beiden Änderungen lief in meinem Fall alles. Deine Anleitung ist also bulletproof!

Ich checke das mal bei Win 11. Bei MS weiss man ja nie! Stay tuned...

Du hast Recht, der Win 11 L2TP Client zickt tatsächlich rum...

Ich habe hier 2 neu installierte Clients mit Default Settings getestet:

Win 10, 22H2 => L2TP VPN Zugriff funktioniert fehlerlos
Win 11, 21H2 => Login bricht ab "Es konnte keine Verbindung mit dem Remote... Port geschlossen"

Die NAT Rule "AssumeUDPEncapsulationContextOnSendRule" mit Wert 2 in der Registry ist es erwartungsgemäß nicht.
Getestet und nach dem Reboot gleicher Fehler also gleich wieder gelöscht.
Würde man jetzt auch von MS nicht erwarten das ein uralter Fehler den Win 10 definitiv nicht hat in Win 11 wieder auftaucht.
Das Löschen und automatische Anlegen des L2TP Miniport VPN Adapters wie in einigen Knowledgebase Artikeln beschrieben führt ebenfalls nicht zum Erfolg.

Kannst du nochmal beschreiben welche genauen Settings du in der Registry angepasst hast?
Der Link oben ist außer dem Beitrag bzgl. NAT Traversal ( @colinardo ) etwas unübersichtlich. NAT ist es ja auch nicht.

P.S.: Beim IPsec Preshared Key ist es übrigens völlig egal ob man dort "allusers" oder "any" einträgt. Beides funktioniert mit der 2.6.0 fehlerlos.

Problem gelöst! 👍 😉

Vorab: Es ist erwartungsgemäß auch bei Windows 11 keine Anpassung in der Registry nötig!!
Jedenfalls nicht wenn man mit den Windows Default Werten arbeitet. (Siehe dazu auch hier)

Wie immer half ein Blick ins Log. Beim Windows 11 L2TP Client meckert IPsec im Gegensatz zu Win 10 das es keinen passenden Verschlüsselungsalgorithmus findet und der Client lediglich AES 128 negotiaten will mit dem Server.
Und siehe da, eigentlich unglaublich aber es stimmt! Windows 11 (21H2) macht hier mit AES128 eine Rolle rückwärts... ☹️
Fügt man AES128, SHA1, DH14 in der Phase 1 hinzu, dann negotiated auch der Windows 11 L2TP Client fehlerlos und ohne Probleme die Verbindung.
Das Win 11 Client Verhalten lies sich auf einem Cisco VPN Router reproduzieren. Liegt also definitiv an Win 11.

Eigentlich unglaublich, da der Windows 10 L2TP Client, wie bei IKEv2 VPNs auch, klaglos AES 256 akzeptiert.
Das IKEv2 Verhalten bei Windows 11 ist übrigens nicht betroffen. Das rennt auch weiterhin mit AES256 only!

Das obige L2TP Tutorial hat einen entsprechenden Hinweis bekommen!
Danke nochmal für das wichtige Feedback! 👍

Möchte erstmal (wie früher so oft) ein großes DANKE sagen. Hatte das komplett übersehen, dass die Sense nun auch L2TP/IPSec supported. So konnte ich mein geliebtes olles XDA-Orbit mit Bordmitteln zum synchronisieren verbinden und das nervige OpenVPN loswerden.

Dafür reicht auch EDGE mit 256 kbit/s...

ABER: Wie kriege ich die PfSense (2.6) dazu, zusätzlich auch das "klassische" mobile IPSec mit PSK / XAUTH zu supporten? Wird schon in der Phase 1 schwierig... Entweder - oder... Sie supported ja nachwievor nur eine Phase 1 für die mobile Einwahl. Hast Du ne Idee für nen Workaround? Irgendwie von hinten mit der Faust... Also einfach eine "normale" Phase 1 kreieren und dieser dann die mobile Einwahl unterschieben? Bin da bisher nicht weiter gekommen...
LG
El Buckonehro

Edit zu Win 11: Es sollte ohne Weiteres möglich sein, in Win 11 SHA-256 unter den supported Ciphers freizuschalten. Ist immer irgendwo in der Registry, googelt man leicht. Hat wohl ein Entwickler da gepennt...

Wie kriege ich die PfSense (2.6) dazu, zusätzlich auch das "klassische" mobile IPSec mit PSK / XAUTH zu supporten?

Wie meinst du das genau?? Klassisches mobile IKE, also den Support für die heute üblichen onboard IKEv2 Clients wie HIER beschrieben?
Da hast du dann Recht. Du kannst m.E. keine 2 mobile IPsec aktivieren auf OPNsense oder pfSense.

in Win 11 SHA-256 unter den supported Ciphers freizuschalten

Nähere Infos dazu findest du u.a. HIER.

Wie meinst du das genau??

Na ja, ich nutze "eigentlich" ne IKEv1 Einwahl und den Shrew-Client mit XAuth Identifizierung für die User. Der läuft auch auf Win10 stabil.
Wenn ich nun auf der PfSense die Phase1 für L2TP/Ipsec konfiguriere kann ich ja nur "Mutual PSK" definieren damit es klappt. Sobald ich da "Mutual PSK and XAuth" setze funktioniert die L2TP/IPsec Einwahl nicht mehr, auch wenn ich den Peer Identifier auf "any" setze.
Wie kann ich User identifizieren und die Berechtigungen für die VPN-Einwahl der User auf der PfSense für IPSec mobile Clients ohne L2TP nutzen UND eine L2TP/Ipsec einwahl ermöglichen? Ich kann dem L2TP Client die User ja nicht zusätzlich schon für die IPSec-Einwahl mitgeben. Und die Pfsense erwartet offenbar "irgendwas" wenn ein Peer Identifier in der Phase 1 gesetzt ist. "Nix" ist hier offenbar keine untergruppe von "any".

Will sagen: Die ganze tolle Nutzerverwaltung der PfSense für die VPN-Einwahl ist obsolet, wenn man L2TP nutzt. Schade...

Der läuft auch auf Win10 stabil.

Na ja, das ist ein bisschen (mit Verlaub) "krank" wenn du problemlos mit IKEv2 die Win10 onboard Clients nutzen kannst. Ist schon recht sinnfrei da dann noch einen ollen IKEv1 Client extra zu installieren...aber nundenn. Warum einfach machen wenn es antik und umständlich auch geht?! 🤣

Sobald ich da "Mutual PSK and XAuth" setze funktioniert die L2TP/IPsec Einwahl nicht mehr,

Erwartbar...
⚠️ Du hast beachtet das bei L2TP die Tunnel Connection immer im Transport Mode arbeitet und NICHT im Tunnel Mode wie vermutlich bei deinem Shrew Client?!
Beide Modi sind NICHT kompatibel!

Die ganze tolle Nutzerverwaltung der PfSense für die VPN-Einwahl ist obsolet, wenn man L2TP nutzt.

Nein, wie kommst du auf solchen Unsinn?? Sorry...
Du musst auch die einzelnen L2TP User mit Usernamen und Password auf der Firewall definieren.
Da hast du dann leider das Tutorial nicht richtig gelesen (was ja mal passieren kann als einäugiger Buccaneer 😉) oder missverstanden?! 🤔

Zitat von @aqui:

Der läuft auch auf Win10 stabil.

Ganz einfach: Gewohnheit. "Never change a running system." Oder: "Never disturb a working customer."
Lange Zeit musste man sich bei der PfSense entscheiden, ob IKEv1 ODER IKEv2 für die mobile Einwahl verwendet werden soll. Kein Parallelbetrieb. Habe gerade nochmal gecheckt: Nun kann sie beides je nach Anfrage. (Seit 2.5 oder 2.6?) Ist einfach ein Überbleibsel aus der Zeit des Parallelbetriebs Win7 / Win 10...

Sobald ich da "Mutual PSK and XAuth" setze funktioniert die L2TP/IPsec Einwahl nicht mehr,

Das doof ist.

Die ganze tolle Nutzerverwaltung der PfSense für die VPN-Einwahl ist obsolet, wenn man L2TP nutzt.

Genau, dochdoch. Doppelmoppel. In den User-Settings ist halt nur die VPN-XAuth Einwahl vorgesehen, nicht die L2TP. Die definiere ich getrennt. Ist ja auch alles kein Weltuntergang, ich muss hier nun nen olles Windows Mobile 6 mit L2TP/IPSec ab und an ins Netz bringen. Absolutes Nischenthema. Ist mir schon klar, mein Bester.

e mare sanitas
Buc nicht Kanzler

Lange Zeit musste man sich bei der PfSense entscheiden, ob IKEv1 ODER IKEv2 für die mobile Einwahl

Nein, nicht wirklich!
Man muss sich immer nur entscheiden zw. L2TP (was ja IKEv1 nutzt) oder IKEv2.
Das sind die beiden klassischen VPN Protokolle die man auf ALLEN Endgeräten immer einfach und problemlos mit den onboard VPN Clients bedienen kann!
Zumindestens L2TP lief schon seit Windows XP durchgehend...

In den User-Settings ist halt nur die VPN-XAuth Einwahl vorgesehen, nicht die L2TP.

Sorry aber da hast du 🍅 auf den 👀 !
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Da werden doch alle L2TP User eingerichtet?! 🤔
Alternativ machst du es via Radius global für alle Verfahren.

ich muss hier nun nen olles Windows Mobile 6 mit L2TP/IPSec ab und an ins Netz bringen

L2TP! 3 Mausklicks und es rennt. L2TP bedient alles ab XP aufwärts. Wo ist da dein wirkliches Problem?!

German Tutorial Networks Routers, Routing VPN Security

Series: VPN-Praxistutorials

IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi (german)11 Merkzettel: VPN Installation mit Wireguard (german)27 PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer (german)24 Merkzettel: VPN Installation mit OpenVPN (german)37 IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik (german)1 Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing (german)13 IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten (german)208 IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a (german)20