Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

09.05.2017, aktualisiert 04.12.2019, 56617 Aufrufe, 72 Kommentare, 16 Danke


Allgemeine Einleitung

Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie Smartphones und Pads unter Apple iOS und Android an die populären Firewalls pfSense (Netgate) und ihrem Fork OPNsense.
Der VPN Zugang erfolgt vollständig mit den bordeigenen VPN Clients auf den Endgeräten und OHNE extra Installation von VPN Client Zusatzsoftware.
Entsprechende Hardware bieten diverse Händler an bzw. ist hier im Forum mit einem eigenen_Tutorial beschrieben.
Das Tutorial ist eng angelehnt an das hiesige Standort_VPN_Praxis_Tutorial und ergänzt dieses.
Die Sammlung der weiterführenden Links am Schluss weist auf weitere Firewall Themen bezogene Informationen hin.
Ziel ist es bei privaten oder KMU VPN Vernetzungen, ohne großes Probieren, schnell zu einer funktionierenden VPN Anbindung von mobilen Benutzern zu kommen. Sei es per Laptop, Tablet oder Smartphone.
Die hier vorgestellten Beispiele und Screenshots können mehr oder minder auch auf andere VPN Hardware übertragen werden. IPsec ist ein weltweiter Standard und benutzt überwiegend gleiche Algorithmen.
Ein klein wenig Basiswissen zum Thema Netzwerke, IP Adressen und IPsec VPNs generell sollte wie immer vorhanden sein ! Aber auch Netzwerk Laien sollten mit diesen hier geschilderten Werkzeugen sehr schnell zum Erfolg kommen.
Es empfiehlt sich ggf. die hiesigen Basis Tutorials zum IPsec Protokoll noch einmal zu lesen. Für die harten Fälle bleibt dann immer das Forum mit entsprechender Hilfe.
Los gehts....


Vorbereiten der pfSense für die Basiskonfiguration:

Die aktuellen, bordeigenen VPN IPsec Clients fast aller Betriebssysteme und Smartphones nutzen in der Regel das moderne IKEv2 Verfahren. Deshalb muss zuallererst eine neue und vor allem eigene CA und ein Server Zertifikat erstellt werden für die späteren Clients. Im Gegensatz zum älteren IKEv1 erfordert das IKEv2 Verfahren solch ein entsprechendes Zertifikat.
Man-in-the-Middle Attacken sicher auszuschließen bedingt bei IKEv2, dass sich das VPN-Gateway vorab mit einer RSA-Signatur und einem vertrauenswürdigen X.509-Zertifikat ausweisen muss. Es dient also dazu das VPN wirklich sicher zu machen.
Aus naheliegenden Gründen sollte niemals das per Default installierte (US) Zertifikat der pfSense oder OPNsense verwendet werden !
Zur Sicherheit ist also immer ein eigenes Zertifikat Pflicht und die Basis der Vertraulichkeit eines VPNs. Das Default Zertifikat sollte nach Abschluß der Installation des eigenen Zertifikats zwingend gelöscht werden !

Die Schritte zur Zertifikats Neueinrichtung sind schnell erledigt. Dazu geht man folgendermaßen vor:

  • Menü: System -> Cert Manager.
 Auf dem “CA” Reiter "Add" klicken für eine neue CA Authority. “Descriptive Name” ist der Name des Zertifikats was man später den Benutzern gibt. Hier gilt es keine Leer- und Sonderzeichen zu verwenden. Binde- und Unterstrich sind erlaubt. Z.B. "vpnca" oder "firewall-ca".
  • Method: "Create an internal Certificate Authority"

  • Key length: 2048

  • Digest Algorithm: sha256
  • Lifetime: 3650 days (10 Jahre Gültigkeit).

  • Den Rest füllt man entsprechend seiner Daten aus, Ländercode etc. Der Inhalt ist nicht wichtig für die Funktion
  • "Common Name”: Hier MUSS exakt der Name rein der oben bei "Descriptive Name" verwendet wurde ! (Beispiel hier "vpnca" oder "firewall-ca")
  • Save klicken zum Sichern

Server Zertifikat erstellen:

  • Menü: System -> Cert Manager.
  • Auf dem “Certificates” Reiter "Add" klicken für ein neues Server Zertifikat.
  • Method: "Create an internal certificate”.
  • Eine Beschreibung Descriptive Name angeben wie z.B. "IKEv2 VPN".
  • Für die “Certificate Authority” wählt man jetzt die CA aus, die man gerade oben im ersten Schritt eingerichtet hat.
  • Key length, Digest algorithm, und Lifetime belässt man auf dem Default 2048 und sha256. Lifetime wie in Schritt 1 auf 10 Jahren (3650 days) belassen sofern man nicht in einem kürzeren Abstand neue Zertifikate ausgeben will !
  • Certificate Type”: Server Certificate. --> (ACHTUNG: Dieser Schritt ist WICHTIG, das das Zertifikat als Server Zertifikat deklariert wird ! (Siehe Fragen Threadverlauf unten mit Fehlern wenn das vergessen wurde !))
  • Die Daten wie Ländercode usw. so belassen wie sie sind und in der CA Konfig vorher eingegeben wurden.
  • Common und Alternative Names: Einige nehmen hier den VPN Server Hostnamen im DNS. Andere nur die WAN IP (geht nur wenn diese statisch ist !) Wieder andere beides oder einen Namen. Dieser Punkt ist extrem wichtig für den Onboard Windows 10 IKEv2 VPN Client, denn dieser püft das Zertifikat darauf. Hat man nur einen Common Name eingegeben und connected mit der IP Adresse verweigert der Windows Client die VPN Verbindung. Mac OS, iOS oder StronSwan sind da erheblich toleranter. Der folgende Konfig Schritt deckt alle 3 Optionen ab, so das man hier immer auf Nummer sicher geht das es später immer klappt:
  • “Common Name”: Der Hostname dieser pfSense Firewall wie im General Setup definiert oder im DNS. (ohne Domain Suffix, also z.B. "pfsense")
setupname - Klicke auf das Bild, um es zu vergrößern
  • Unter Alternative Names jetzt “Add” klicken, “FQDN or Hostname” auswählen und nochmals den gesetzten Hostnamen der pfSense eingeben 
wie oben ohne Domain Suffix. (z.B. "pfsense")
  • Nochmals “Add” klicken, “FQDN or Hostname” auswählen und den kompletten FQDN Hostnamen jetzt mit Domain Suffix eingeben. (z.B. "pfsense.meinedomain.intern")
  • (Optional) Nochmals “Add” klicken, “IP Adress” auswählen und die WAN IP Adresse eingeben sofern eine feste, statische IP vorhanden ist. Ohne feste Internet IP am pfSense WAN Port entfällt dieser Schritt !! In einem Router Kaskaden Setup, wie weiter unten beschrieben, setzt man hier die statische WAN IP der pfSense ein.)
zertcomname - Klicke auf das Bild, um es zu vergrößern
  • Ggf. weitere Namen nach diesem Schema eingeben. Eine dieser Alternativen muss immer mit dem VPN Client übereinstimmen. Diese DNS Namen sind später für die VPN Clients (besonders Win 10) wichtig und sollte man sich deshalb immer notieren um sie nicht zu vergessen für das spätere VPN Client Setup.
  • Save zum Sichern klicken.

Server Zertifikat für VPN Clients exportieren:
Zum Schluss muss noch das CA Zertifikat für die Installation bei den Clients exportiert werden :
  • Menü: System > Cert Manager und dort den "CA" Reiter klicken.
  • Hier das blaue "Siegel Icon" rechts in der Ecke klicken das aussieht wie eine kleine Sonne. Bei Mouseover zeigt der Hilfetext "Export CA" ! Es wird eine Datei <commonname>.crt exportiert die nachher später auf die VPN Clients kopiert werden muss.
Diese Zertifikats Datei ist sehr WICHTIG und wird später für die Client Einrichtung gebraucht, also gut sichern !
Wie der Client Import des Zertifikats genau gemacht wird erklärt das Tutorial weiter unten im Verlauf der Einrichtung der diversen VPN Clients.

Damit ist die Zertifikatserstellung auf der Firewall abgeschlossen...

! ACHTUNG !:
Das alte Default Zertifikat (US Zertifikat) was die pfSense automatisch mitbringt sollte man jetzt unbedingt LÖSCHEN wenn nicht schon geschehen !!
Dazu ist zuallererst das SSL GUI für den Webzugriff auf die FW auf dieses neu generierte Zertifikat einzustellen unter Systems --> Advanced --> Admin Access:

pfssl - Klicke auf das Bild, um es zu vergrößern
Hier wählt man das eigene, zuvor generierte Zertifikat anhand seines Namens aus und geht dann zurück in die Zertifikats Verwaltung um das Default (US) Zertifikat der pfSense dann final zu löschen. Mit der Umstellung erhält es dann auch das "Papierkorb Symbol" was anzeigt das es nun löschbar ist.
Nach einem Reboot sollte dann alles sauber sein und ein Login dann mit dem eigenen Zertifikat problemlos klappen. Im Browser muss man dann ggf. einer neuen Ausnahme zustimmen, da ja auch dies ein selbstgeneriertes Zertifikat ist und die meisten Browser dafür eine Ausnahme anfordern !

Es ist sehr sinnvoll und hilfreich sich jetzt auf dem "Dashboard" noch das IPsec Widget zu installieren zur schnellen Übersicht.
Dies geschieht mit einem Klick auf "+" und Auswahl von "IPsec", damit man die IPsec VPN Verbindungen auch alle monitoren und damit managen kann:
ipsecwidget - Klicke auf das Bild, um es zu vergrößern

Weiter geht es jetzt mit der IPsec VPN Einrichtung für die mobilen Benutzer...

Mobiles Client IPsec VPN auf der pfSense einrichten:

In diesem Schritt wird der eigentliche IPsec Tunnel für die mobilen Benutzer eingerichtet. Dazu sind folgende Punkte der Reihe nach einzugeben:

  • Menü: VPN > IPsec -> Mobile Clients.
  • “IKE Extensions”: Haken setzen bei “Enable IPsec Mobile Client Support” 

  • “User Authentication”: Local Database anwählen (Blau markieren !) 

  • “Group Authentication”: None. 

  • “Virtual Address Pool”: Haken setzen bei “Provide a virtual IP address to clients”. ACHTUNG: Hier muss ein IP Netzwerk gewählt werden was komplett unbenutzt ist und NIRGENDWO sonst im gesamten Netzwerk auftaucht ! Auch nicht in VM Umgebungen usw. (Beispiel hier 10.98.1.0 /24)
ipsec1b - Klicke auf das Bild, um es zu vergrößern
  • Haken setzen bei: “Provide a list of accessible networks to clients". 

  • Der Rest bleibt ohne Haken (Default). Wer möchte kann die Banner Option anhaken und eine kurze Begrüßungsmessage angeben ala "Willkommen im VPN von xyz".

  • Save und dann Apply klicken

IPsec Phase 1 Konfiguration:

Nun erscheint automatisch der “Create Phase 1” Knopf den man klickt um die IPsec Phase 1 zu definieren. Wenn nicht, geht man auf den Reiter "Tunnels" und klickt dort “Add P1”.
Dort dann folgende Eingaben machen:

  • “Key Exchange version”: auf IKEv2.
  • "Internet Protocol" und "Interface" belässt man auf IPv4 und WAN.
  • “Description”: "Mobiluser Phase 1" (was immer man will hier, ist nur kosmetisch).
  • “Authentication method” auf “EAP-MSChapv2
  • “My Identifier”: ‘Distinguished name’, und hier jetzt den zuvor konfigurierten Common Name oder die (statische) WAN IP angeben. ACHTUNG: Der Name MUSS zwingend mit dem "Common Name" aus dem ersten Schritt oben zur Erstellung des Server Zertfikats übereinstimmen !!
  • “Peer Identifier”: any.
  • “My Certificate”: Hier das zuvor erstellte Server Zertifikat aus dem ersten Schritt auswählen.
  • “Encryption algorithm”: “AES” und “256
  • “Hash algorithm”: SHA256
  • DH key group auf: 14 (2048 bit)
  • Lifetime auf 28800 setzen
  • MOBIKE auf enable
  • Haken entfernen: Disable Rekey
  • Haken entfernen: Disable Reauth
  • Haken setzen bei: Enable DPD, hier Delay auf 35 und Max.failures auf dem Default von 5 belassen.
  • Save und Apply klicken
pfmob1 - Klicke auf das Bild, um es zu vergrößern
pfmob2 - Klicke auf das Bild, um es zu vergrößern

IPsec Phase 2 Konfiguration:

Jetzt springt man in der pfSense Konfig zurück auf den "Tunnels" Reiter und sieht dort den Eintrag für “Mobile Client” den man gerade eingerichtet hat und klickt darunter den “Show Phase 2 Entries” Knopf und dann “Add P2” um die Phase 2 zu konfigurieren:

  • “Mode”: Tunnel IPv4
  • Das Local Network setzt man jetzt wie gewünscht. Normal ist immer “LAN subnet”, also das lokale LAN an der pfSense. Sollen weitere lokale Netzwerke an der pfSense (ggf. VLANs) in den Tunnel geroutet werden, dann werden sie hier eingetragen. (Bsp: 192.168.0.0 /16 routet alle 192.168er Netze in den VPN Tunnel)
  • ACHTUNG: Wer den gesamten Client Traffic in den Tunnel routen will setzt “Local Network” auf “Network”, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein.
  • “NAT/BINAT”: None.
  • "Description”: "Mobile Nutzer Phase 2". (was immer man will hier, ist nur kosmetisch).
  • “Protocol”: ESP
  • “Encryption Algorithms”: Hier Haken bei AES" und "256” wählen und Haken bei AES256-GCM und Auto dahinter.
  • “Hash Algorithms”: SHA256, SHA384, SHA512 anhaken.
  • “PFS Key Group”: 14(2048 bit)
  • “Lifetime”: 3600
  • “Automatically ping host”: leer lassen.
  • Save und dann Apply klicken
ipsecneu1 - Klicke auf das Bild, um es zu vergrößern

Im Überblick sehen die Phase 1 und Phase 2 Parameter dann so aus:
ipsecneu2 - Klicke auf das Bild, um es zu vergrößern

Benutzername und Passwörter für den VPN Zugriff einrichten:

  • Menü: VPN > IPsec -> Pre-Shared Keys Reiter wählen. Hier “Add” (Hinzufügen) klicken um einen neuen VPN Benutzer mit Usernamen und Passswort einzurichten:
  • “Identifier” ist der Benutzername fürs Login z.B. testuser
  • “Secret type”: EAP
  • “Pre-Shared Key”: Ist das Passwort für den Benutzer z.B. Geheim123. ACHTUNG: die pfSense mag auch hier keine Sonderzeichen. Also nur Ziffern und Groß- Kleinschreibung nutzen !
  • Save klicken zum sichern und ggf. für weitere Benutzernamen wiederholen
  • Dann “Save” und“Apply” klicken.

Firewall Regeln für IPsec einrichten

  • Menü: Firewall > Rules -> IPsec Reiter
  • Ist dort eine "allow all" Regel vorhanden ist nichts zu tun. Falls nicht...
  • “Add” klicken für eine neue Regel auf dem IPsec Interface
  • “Action”: Pass
  • “Interface”: IPsec
  • “Address Family”: IPv4
  • “Protocol”: any
  • “Source”: any
  • “Destination”: any
  • Save und Apply klicken.
ACHTUNG: Ein warnendes Wort:
Das ist erstmal eine Scheunentor Regel für den Testbetrieb. Diese sollte man nachher etwas dichter ziehen auf die IP Adressen des Client und Zielnetzes und ggf. der Anwendungen (TCP/UDP Protokollports) sofern hier eine höhere Sicherheit für den VPN Zugang gewünscht ist.

Die IPsec WAN Port Regeln (ESP, UDP 500 und UDP 4500 für den Zugriff auf die WAN IP der pfSense passieren lassen) sollte die pfSense schon automatisch eingerichtet haben aber eine Kontrolle kann wie immer nicht schaden !

Damit ist die VPN Konfiguration der pfSense Firewall abgeschlossen und man kann jetzt mit der Einrichtung der VPN Clients auf den Endgeräten beginnen.


VPN Client mit Windows 10:

Die gute Nachricht ist, wie bereits Eingangs bemerkt, das KEIN dedizierter Software Client wie Shrew oder Greenbow usw. mehr benötigt wird um eine VPN Verbindung mit der pfSense zu etablieren !
Alles kann man mit direkt mit Windows 10 Bordmitteln und ohne jegliche zusätzliche Software erledigen. Das stellt einen erheblichen Vorteil dar gegenüber der FritzBox und anderen IPsec basierten VPN Servern, die mit Windows Rechnern, immer noch eine separate, extra zu installierende IPsec Clientsoftware erzwingt. Dies entfällt hier.
Die Installation klappt auch mit älteren Windows Versionen ab Windows 7 und 8, allerdings muss dort mit regedit eine Anpassungen in der Registry gemacht werden sofern man Windows und Apple iOS oder Mac OS Endgeräte parallel zusammen mit dem IPsec VPN bedienen möchte. (iOS und Mac lässt aus Sicherheitsgründen nur noch AES 256 zu) (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters erfordert ein zusätzliches DWORD NegotiateDH2048_AES256 mit dem Wert 1)

Zertifikat in Windows 10 importieren:

  • Jetzt kommt das oben exportierte Server Zertifikat in Form der .crt Datei wieder ins Spiel ! Dieser Schritt ist sehr wichtig. Wird er vergessen kann der Client den VPN Tunnel nicht aufbauen ! Diese Zertifikats Datei wird unter Windows 10 mit dem Zertifikats Manager importiert. Smartphones usw. sendet man es z.B. ganz einfach per Email Attachment.
  • Auf dem Windows 10 Client PC die oben exportierte Zertifikats Datei kopieren und <name>.crt doppelklicken und "Öffnen".
  • "Zertifikat installieren" klicken.
  • Dann "Lokale Computer" und "Weiter" auswählen und die Security Abfrage mit "Ja" abnicken.
  • Jetzt "Alle Zertifikate in folgendem Speicher speichern" auswählen und "Durchsuchen" klicken
  • Hier "Vertrauenswürdige Stammzertifizierungsstellen" auswählen und mit "OK" bestätigen.
  • Dann "Weiter" klicken und Beenden mit OK. Hat alles geklappt erscheint ein Fenster: "Der Importvorgang war erfolgreich".
  • Fertig...
Im Windows certmgr sieht das so aus:
winzert - Klicke auf das Bild, um es zu vergrößern

VPN Verbindung unter Windows 10 anlegen:

Für die Einrichtung der eigentlichen VPN Verbindung kann man sich in Windows 10 das Leben sehr erleichtern und die bordeigene Powershell dafür nutzen.
Das erspart endloses Geklicke im VPN Adapter Setup.
Dazu öffnet man einfach mit einem Rechtsklick a.d. Powershell Icon die Powershell mit Administratorrechten oder als Administrator ausführen und gibt folgende 3 Befehle ein die man hier einfach per Cut and Paste aus der Vorlage nimmt.
ACHTUNG: Bevor man das macht, sollte man das Kommando natürlich VORHER mit dem Text Editor oder Notepad++ editieren ! und auf seine persönlichen IP Adress Belange anpassen !
01.
Add-VpnConnection -Name "pfSense" -ServerAddress "88.1.2.3" -TunnelType IKEv2 -EncryptionLevel Required -AuthenticationMethod EAP -SplitTunneling -AllUserConnection
  • Den Parameter "-Name" kann man frei wählen. Es ist der Name der VPN Verbindung wie er in der Auswahl erscheint. Dieser gewählte Name MUSS bei den 2 folgenden Kommandos unter ConnectionName absolut identisch sein !
  • "-ServerAddress" bestimmt die WAN IP Adresse oder Hostname (DynDNS) der pfSense, sprich das VPN Server Ziel. Hier kann man statt der IP Adresse natürlich auch einen Domainnamen verwenden wie z.B. meinepfsense.dyndns.org wenn man mit DynDNS arbeitet oder man einen festen DNS Hostnamen hat.
(Betreibt man die Firewall in einer Kaskade mit einem Router davor und Port Forwarding (siehe Kapitel "Router-Kaskade" unten), ist natürlich die dortige Router WAN IP Adresse (oder Hostname) das Ziel !)

Das nächste Powershell Kommando setzt die IPsec Schlüssel Parameter:
01.
Set-VpnConnectionIPsecConfiguration -ConnectionName "pfSense" -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -DHGroup Group14 -PfsGroup PFS2048 -PassThru
Die Abfrage zum Ändern beantwortet man mit "Ja" und überprüft nochmals die Parameter:
psoutput - Klicke auf das Bild, um es zu vergrößern
Last but not least das letzte Win10 PS Kommando um das VPN Routing zu aktivieren mit:
01.
Add-VpnConnectionRoute -ConnectionName "pfSense" -DestinationPrefix 192.168.1.0/24 -PassThru
ACHTUNG: Der Parameter "-ConnectionName" MUSS bei allen 2 Kommandos IMMER absolut identisch sein zum oben gewählten Namen der VPN Verbindung !
  • "-DestinationPrefix 192.168.1.0/24" gibt das lokale LAN Netzwerk der pfSense an. Ggf. an eigene IP Adress Nutzung anpassen.
Hier kann bzw. muss man mit der Subnetzmaske spielen sofern man mehrere IP Netze oder einen ganzen Bereich oder auch alles in den Tunnel routen will.
Z.B. routet "-DestinationPrefix 192.168.0.0/16" alle 192.168er Netze in den VPN Tunnel und "-DestinationPrefix 10.0.0.0/8" alle 10er Netze usw.
Bei unterschiedlichen Netzen, die sich nicht über die Maske zusammenfassen lassen, wiederholt man das Add-VpnConnectionRoute Kommando für alle diese Netze.

Wer die Powershell fürchtet kann natürlich das VPN Client Setup auch im Windows Netzwerk- und Freigabecenter über die VPN Konfig zusammenklicken:
ipsecw10a - Klicke auf das Bild, um es zu vergrößern

Den VPN Login Usernamen und Passwort kann man unter Windows 10 speichern damit man ihn nicht immer neu eingeben muss:
win10user - Klicke auf das Bild, um es zu vergrößern
Ändern sich diese Daten kann man sie im Setup unter Netzwerk und Internet nach Auswahl der VPN Verbindung in den erweiterten Optionen auch wieder löschen und neu setzen.

Gesamten VPN Client Traffic in den VPN Tunnel senden:

Wer den gesamten Client Traffic von remote in den IPsec VPN Tunnel routen will um z.B. in einem öffentlichen Hotspot gesichert über seinen Heimanschluss zu surfen etc. lässt schlicht und einfach den Parameter -SplitTunneling im Add-VpnConnection Kommando oben weg oder trägt ihn explizit als false ein (-SplitTunneling --> -SplitTunneling:False). Siehe dazu auch HIER.
Der Default Gateway Redirect ist dann Default und sämtlicher Traffic geht in den VPN Tunnel.

WICHTIG!:
Man muss, wenn man so den gesamten Datenverkehr in den Tunnel routen will, dann zusätzlich auch in der pfSense Phase 2 IPsec Konfiguration oben unter Local network "Network" wählen und eine Wildcard Route mit 0.0.0.0 /0 dort eintragen !
Damit werden dann auch für andere Clients (Smartphone, etc.) alles in den VPN Tunnel gesendet.
Desweiteren ist auf der pfSense in der Mobile Client Konfig noch ein Haken zu setzen wenn man kein Split Tunneling sondern den gesamten Client Netzwerk Traffic in den Tunnel routen will.
In der Phase 1 unter Mobile Clients ist das der Haken bei "Netzwerk-Liste >>x<< Liste mit zugänglichen Netzwerken dem Gerät zur Verfügung stellen" aktivieren:
dgw - Klicke auf das Bild, um es zu vergrößern
Damit geht dann der gesamte Client Verkehr in den VPN Tunnel.


VPN Client mit Apple MacOS:

Ebenso wie bei Windows ist zuerst wieder die oben von der Firewall exportierte CA Zertifikatsdatei in den Mac Schlüsselbund zu importieren und als vertrauenswürdig zu markieren:
  • Dazu die .crt Datei doppelklicken zum Importieren
  • In der Schlüsselbundverwaltung das Zertifikat doppel- oder rechtsklicken und "Information" wählen.
  • Hier jetzt unter Vertrauen das Aufklappmenü öffnen und "Bei Verwendung dieses Zertifikats" die Einstellung auf Immer vertrauen setzen.
vpnmac1 - Klicke auf das Bild, um es zu vergrößern
  • Schlüsselbundverwaltung schliessen
  • Unter Apfel -> Systemeinstellungen -> Netzwerk und + das VPN mit der Funktion "IKEv2" hinzufügen:
vpnmac4 - Klicke auf das Bild, um es zu vergrößern
..und die VPN Parameter eintragen:
vpnmac3 - Klicke auf das Bild, um es zu vergrößern
Die "Entfernte ID" entspricht wieder dem Common Name des Server Zertifikats.
Lokale ID bleibt leer.
Mit Klick auf "Authentifizierungseinstellungen" konfiguriert man abschliessend Username und Passwort.
Haken setzen bei "VPN-Status in der Menüleiste zeigen" so das man die VPNs bequem über die Taskleiste steuern kann.
Die Installation des Mac OS Clients ist damit abgeschlossen.


VPN Client auf iPhone und iPad (iOS) einrichten:

Das Einrichten des VPN Clients ist wie üblich bei Apple iOS eigentlich ein Selbstgänger der, Menü geführt, fast keiner Erklärung mehr bedarf.
Zuallererst muß auch hier wieder das obige Client Zertifikat importiert werden !
Das erledigt man ganz einfach indem man sich die Zertifikats Datei als Email Attachment (Email Anhang) aufs iPhone/iPad sendet. Entweder direkt oder über einen Email Account auf den man mit dem iPhone Web Browser (Safari) zugreifen kann. Als iChat Anhang geht es ebenso wie mit Airdrop.
Man klickt dann einfach auf die Zertifikatsdatei und importiert und installiert sie damit.
In der Profilansicht unter Allgemein -> Profile kann man das kontrollieren das es da auch richtig gelandet ist:
ioscert - Klicke auf das Bild, um es zu vergrößern
(Der Menüpunkt Allgemein -> Profile erscheint nur wenn mindestens ein Profil (Zertifikat) importiert wurde !)
Der Rest ist dann schnell erledigt...:
  • Auf iPhone oder iPad geht man ins Setup (Zahnrad) und wählt dort das Menü Allgemein --> VPN und fügt einen VPN Account vom Typ IKEv2 hinzu. Ganz genau so wie es oben schon bei Mac OS und Windows beschrieben würde.
  • Identisch dazu trägt man die Entfernte ID ein, die wieder dem Common Name entspricht (hier im Beispiel pfsense) und setzt die Benutzer Authentisierung auf Benutzername und Passwort mit den in der pfSense definierten Userdaten unter IPsec -> Pre Shared Keys.

ios1 - Klicke auf das Bild, um es zu vergrößern

Aktiviert man jetzt das VPN ist es sofort verbunden:
ios2 - Klicke auf das Bild, um es zu vergrößern
Ein sehr hilfreiches Tool bzw. App um die Verbindung ins remote Netz zu testen (Ping etc.) sind die kostenlosen HE-Tools aus dem Apple App Store.


VPN Client auf Android Smartphones einrichten:

Die Verfügbarkeit von IKEv2 in Android-Versionen ist leider aufgrund der verschiedenen Hersteller und deren unterschiedlichen Versionen nicht so einheitlich wie bei Apple iOS und deshalb abhängig vom Hersteller des mobilen Endgerätes.
So bietet z.B. Samsung IKEv2 in vielen Android-Distributionen seiner Endgeräte an, andere Hersteller wiederum verzichten darauf und dann muss man dort doch wieder einen extra Client verwenden. Das ist der Preis den man leider bei der Android Vielfalt zahlen muss.

Sollte also kein bordeigenes IKEv2 verfügbar sein, muss eine entsprechende App verwendet werden.
Empfehlenswert ist VPNcilla was auch bei FritzBox VPNs eine gute Figur macht, allerdings ist es kostenpflichtig.
Als kostenfreie Alternative bietet sich als Klassiker natürlich der bekannte StrongSwan Client aus dem Play Store an:
https://play.google.com/store/apps/details?id=org.strongswan.android& ...
Da auch das pfSense VPN auf StrongSwan basiert, klappt die Installation reibungslos und sofort auf Anhieb. Zudem nutzt auch die weiter unten beschriebene Linux Variante StrongSwan.
Nach der Installation der StrongSwan App muss man zuerst üblicherweise wie oben wieder die erforderliche Zertifikatsdatei installieren.
Dazu sendet man sich auch hier am einfachsten die .crt Zertifikatsdatei wieder als Email Attachment aufs Telefon wie es schon beim iPhone/iPad oben beschrieben ist.
Ein simpler Doppelklick reicht dann zur Installation.
Oder alternativ kopiert man sie auf die SD Karte oder den internen Speicher und installiert das Zertifikat von dort.
Einige Androiden geben die interne SD Karte auf dem PC als USB Stick frei oder haben eine Download App mit FTP Server oder können von Windows Freigaben (CIFS Share) kopieren. Alles geht, Hauptsache die Datei kommt irgendwie aufs Telefon oder Tablet.
Im Setup dient dann der Menüpunkt Sicherheit --> Zertifikate von SD Karte installieren zur Installation.
Hat man es so erfolgreich importiert, kann und sollte man das unter Sicherheit -->Vertrauenswürdige Anmeldedaten (Zertifikate ansehen) bei den Nutzer Zertifikaten kontrollieren.

andr1 - Klicke auf das Bild, um es zu vergrößern

Android VPN Client konfigurieren:

Der Einrichtung des VPNs ist dann identisch wie man es oben auch schon bei den anderen Clients gesehen hat. Im Setup der StrongSwan App ist es schnell erledigt...
Der folgenden Screenshot zeigt die Einstellungen:

andr2 - Klicke auf das Bild, um es zu vergrößern

Wer es etwas strikter haben will weist das Zertifikat fest zu statt der automatischen Auswahl:
andr5 - Klicke auf das Bild, um es zu vergrößern

Nach dem Einrichten kommt auch hier die VPN Verbindung sofort zustande:
andr6 - Klicke auf das Bild, um es zu vergrößern
Auch hier helfen wieder die kostenlosen HE-Tools aus dem Google Play Store um die Verbindung ins remote Netz zu testen (Ping etc.)

Soll das VPN permanent aktiv sein auf das Zielnetz, also quasi ein "allways on", kann man das im StrongSwan Client entsprechend einstellen:
immervpn - Klicke auf das Bild, um es zu vergrößern


Linux VPN Client einrichten:

Grundeinrichtung:
Die Einrichtung eines Linux Clients wird hier am Beispiel eines Raspberry Pi geschildert und gilt damit grundsätzlich für alle Debian basierten Installationen wie Ubuntu, Mint usw. als auch für alle anderen Distributionen wie red Hat, CentOS, SuSE, Feodora usw. Natürlich ist sie auch auf "großen" Rechnern identisch zur RasPi Konfig.
Auch hier kommt wieder das StrongSwan IPsec Package zum Einsatz was in allen Linux Distributionen enthalten ist.
Das StrongSwan Packet installiert man aus der Package Verwaltung (Debian) mit dem folgenden Kommando:
sudo apt install strongswan libstrongswan-extra-plugins libcharon-extra-plugins

Wichtig !:
Bevor man mit der Konfiguration fortfährt muss auf dem Linux Rechner das IPv4 Forwarding aktiviert sein !!
Ohne diese Routing Aktivierung kann der VPN Client kein Tunnelinterface und eine Route dahin anlegen.
Dazu editiert man die Datei /etc/sysctl.conf mit dem onboard nano Editor mit sudo nano /etc/sysctl.conf und sucht dort nach der Zeile #net.ipv4.ip_forward=1 !
Dann entfernt man in dieser Zeile das davorliegende "#", speichert die Datei und rebootet den RasPi bzw. Linux Rechner mit shutdown -r now.

StrongSwan Konfiguration:
Zuerst kopiert man, wie schon von den anderen Clients gewohnt, das oben exportierte Zertifikat der pfSense in das StrongSwan Zertifikatsverzeichnis /etc/ipsec.d/certs
Die zentrale Konfigurations Datei für den StrongSwan IPsec Client findet man unter /etc/ipsec.conf.
Diese Konfig Datei ist eine simple Text Datei und hat den folgenden Inhalt, bzw. passt man auf diesen mit dem nano Editor an.
(Die u.a. Beispiel Konfig geht davon aus, das das lokale LAN an der pfSense 192.168.1.0 /24 ist und die erreichbare WAN IP 88.1.2.3. Dies muss ggf. entsprechend angepasst werden wenn man eine andere, eigene IP Adressierungen verwendet !):
01.
# ipsec.conf - strongSwan IPsec configuration file
02.
# basic configuration
03.

04.
config setup
05.
	# strictcrlpolicy=yes
06.
	# uniqueids = no
07.

08.
# Add connections here.
09.
# VPN connections
10.

11.
conn pfsense
12.
      keyexchange=ikev2
13.
      right=88.1.2.3
14.
      rightsubnet=192.168.1.0/24
15.
      rightid=pfsense
16.
      rightauth=pubkey
17.
      leftsourceip=%config4
18.
      leftcert=pfsense.crt
19.
      leftauth=eap-mschapv2
20.
      eap_identity=testuser
21.
      dpdaction=restart
22.
      auto=add
23.

24.
include /var/lib/strongswan/ipsec.conf.inc 
Anzupassen sind die folgenden Parameter der Datei an die eigenen IP Adressierungs Einstellungen und benutzen IP Netzwerke:
  • right = VPN WAN/Internet Ziel IP Adresse oder Host Name der Firewall (Hier im Beispiel: simuliertes Internet im 88er Netz).
  • rightsubnet = Lokales LAN an der pfSense Firewall. Hat man mehrere, kann man diese Komma getrennt angeben.
  • rightid = Common Name der Firewall.
  • leftcert = Dateiname des exportierten pfSense Zertifikats.
  • eap_identity = Username (Beispiel: testuser)

Als letzten Schritt editiert man die User / Passwort Datei /etc/ipsec.secrets und trägt dort den Usernamen und Passwort ein:
# This file holds shared secrets or RSA private keys for authentication.
include /var/lib/strongswan/ipsec.secrets.inc
testuser : EAP Geheim123  
Fertig... !
Nun steht einem finalen Test des Linux Clients nichts mehr im Wege.

Funktions Check:
Um die Konfigurations Datei neu einzulesen muss man den IPsec Stack neu starten was mit ipsec restart auf der Kommandozeile (Terminal) erledigt wird. Den Client startet man dann mit ipsec up <conn_name> Da die Connection hier in der Konfig Datei conn "pfsense" heisst lautet das Kommando also ipsec up pfsense !
Ein Funktions- und Verbindungs Check sieht dann so aus:
root@raspberrypi:/etc# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.5.1 IPsec [starter]...
root@raspberrypi:/etc# 

root@raspberrypi:/etc# ipsec up pfsense
initiating IKE_SA pfsense[1] to 88.1.2.3
EAP method EAP_MSCHAPV2 succeeded, MSK established
authentication of 'pfsense' with EAP successful
IKE_SA pfsense[1] established between 192.168.100.159[192.168.100.159]...88.1.2.3[pfsense]
installing new virtual IP 10.111.222.2
connection 'pfsense' established successfully
(>> Output aus Platzgründen gekürzt ! <<)
root@raspberrypi:/etc# 

root@raspberrypi:/etc# ping -c 3 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=1.85 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=1.95 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=2.47 ms

--- 192.168.1.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
root@raspberrypi:/etc# 
Anhand der Meldung connection 'pfsense' established successfully kann man sofort erkennen das der VPN Tunnel sauber aufgebaut wurde.
Es liegt dann auf der Hand das ein Ping Check auf das lokale LAN Interface der pfSense Firewall (192.168.1.1) erfolgreich ist !


Damit deckt die pfSense Firewall alles an onboard VPN Clients auf allen gängigen Betriebssystemen ab.
Die letzten Punkte des Tutorials beschäftigen sich mit dem Optimieren der Firewall Hardware in Bezug auf Verschlüsselung und dem Betrieb der Firewall mit einer sog. "Router Kaskade" also als kaskadiertes System hinter einem bestehenden NAT Router.


VPN Hardware der pfSense tunen:

Wer APU Boards oder aktuelle CPUs mit der pfSense nutzt sollte in jedem Falle die Hardware Unterstützung AES-NI der CPU aktivieren um die Gesamtperformance und den Durchsatz zu steigern.
Das macht man in den Miscellaneous Settings unter Cryptographic Hardware:

aesni - Klicke auf das Bild, um es zu vergrößern


Firewall hinter einem NAT Router betreiben (sog. "Router Kaskade"):

Wie im unten zitierten pfSense_Tutorial schon beschrieben, ist die technisch beste Lösung die Firewall an deren WAN/Internet Port immer direkt mit einem "NUR" Modem an einem xDSL, TV-Kabel oder Glasfaseranschluß zu betreiben.
"Nur" Modem bedeute in diesem Kontext rein nur ein nacktes Modem, also ein reines Layer 2 Gerät was NICHT am Layer 3 Forwarding (IP Routing) aktiv beteiligt ist wie z.B. ein vollständiger Router mit integriertem Modem wie im unten gezeigten Beispiel (Kaskade).
Das Internet wird so direkt und performant an der Firewall terminiert und nicht am davor liegenden NAT Router, der quasi dann nur "Durchlauferhitzer" ist.
Klassische Consumer NAT Router werden hier in Foren Threads leider sehr oft fälschlicherweise als "Modem" bezeichnet was so ein Router technisch gar nicht ist ! Dies Umstand führt dann sehr häufig zu Missverständnissen bei der Technik und Troubleshooting Threads hier im Forum.

Reine Modems für den xDSL Bereich mit denen man nichts falsch macht sind die folgenden:
VDSL/ADSL: https://www.draytek.de/vigor165.html
VDSL/ADSL: https://www.reichelt.de/vdsl2-modem-zte-h186-p254352.html
VDSL/ADSL: https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
ADSL2+: https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
ADSL2+: https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...
TV Kabel: https://www.heise.de/tests/Schnelles-Kabelmodem-fuer-DOCSIS-3-1-4241602. ...
Die Verwendung eines reinen NUR Modems verhindert gerade im VPN Umfeld aufwändige Konfiguration mit Port Forwarding und ist aus Performance Sicht immer vorzuziehen wenn immer das umsetzbar ist.

Lösung mit Router Kaskade:
In einigen Situationen ist es allerdings nicht möglich das zu realisieren. Z.B. Nutzern die trotz EU weiter freier Routerwahl sog. Provider "Zwangsroutern" mit minderer Qualität und Performance betreiben.
Ihnen bleibt dann meist nichts anderes übrig als in den sauren Apfel einer Router Kaskade zu beissen, wenn man auf erhöhte Sicherheit und Schutz seines eigenen Netzes entsprechenden Wert legt.
Bei Firmenkunden ist allein aus rechtlichen Gründen diese Sicherheit immer obligatorisch, will man als Netzwerker verantwortungsvoll handeln.
Generell gesehen ist die oben im Tutorial beschreibene VPN Client Funktion zum Zugriff auf ein lokales Heim- oder Firmennetz immer mit einer Kaskade möglich, wenn man mit den o.g. Nachteilen dieses Designs leben kann oder auch muß.
Ein Kaskaden Design erfordert deshalb ein klein wenig mehr Konfigurations Aufwand, insbesondere des davorliegenden Routers. Es hat aber immer das gleiche Resultat, nämlich den geschützten Zugriff auf lokale und private Daten.

Ein vor der Firewall kaskadierter NAT Router (IP Adress Translation) verhindert durch das NAT Firewalling erst einmal per se den direkten Zugang der mobilen Internet VPN Clients auf die dahinterliegende Firewall. Nur die Firewall agiert hier im Kaskaden Design ja als VPN Server.
Der Hinderungsgrund ist, das der NAT Prozess generell im davor kaskadierten Router eingehende IP Pakete aus dem Internet blockiert, so das diese Pakete die Firewall erst gar nicht mehr erreichen können. Ein gewünschter Schutzeffekt aber nachteilig für unser VPN, denn die VPN Pakete werden natürlich ebenso geblockt.
Effekt ist dann die klassische Fehlermeldung das der VPN Server nicht erreichbar ist bzw. entspr. Fehlercode. Klassisches Tagesgeschäft hier beim VPN Troubleshooting im Forum...
Die WAN Port IP Adresse der Firewall im Koppelnetz oder ein DynDNS Name der darauf verweist, kann man im mobilen VPN Client nicht angeben. Klar, denn im Koppelnetz verwendet man ja in der Regel ebenfalls private_IP_Adressen nach RFC 1918 die im Internet gar nicht geroutet werden. Ein DynDNS Verweis darauf ist also sinnfrei.
Fürs Erste bleibt so die VPN Firewall mit dem davor liegenden Router also erstmal unerreichbar von außen ohne eine entsprechende Port Weiterleitungs Konfiguration.
Diese Lösung ist aber kinderleicht und schnell gemacht...

Man muss lediglich nur dafür sorgen das der davor kaskadierte Router die entsprechenden, aus dem Internet eingehenden VPN Pakete einfach 1:1 an die dahinter liegende VPN Firewall weiterreicht.
Das erreicht man mit der Port Forwarding/Weiterleitung oder auch Port Freigabe Funktion im Router !
Diese Funktion hat heutzutage ausnahmslos jeder handelsübliche Internet Router mit an Bord.
Die Weiterleitungs Funktion "sagt" dem Router mit einer statischen Anweisung in der Konfiguration das bestimmte, aus dem Internet eingehende Pakete, mit entsprechenden TCP oder UDP Ports oder anderen Protokollkomponenten, einfach an eine lokale LAN IP Adresse weitergeleitet werden sollen statt sie zu verwerfen. Diese Ziel IP Adresse für die Weiterleitung ist dann natürlich die der dahinter kaskadierte Firewall oder auch Router der diese VPN Pakete ja erhalten sollen.
Damit ist dann die fehlerfreie VPN Funktion trotz blockierendem NAT Router davor wieder gegeben. Ein simpler Klassiker in solchen Router Kaskaden.
Viele Router bieten auch die Funktion eines sog. "Exposed Hosts".
Das ist dann eine IP Adresse an die im Schrotschuss Verfahren ALLES weitergeleitet wird. Da man ja zum eigentlichen Schutz die Firewall hat ist auch diese Funktion nutzbar. Sie macht die Firewall dann aber auch angreifbarer.

Im mobilen VPN Client selber muss dann natürlich die WAN / Internet IP Adresse des vor der Firewall liegenden Routers als VPN Gateway Zieladresse angegeben werden ! Klar, denn dieser hält ja die öffentliche Internet IP die weltweit erreichbar ist.
Auch muss hier ggf. ein DynDNS Client aktiviert werden wenn statt IP Adresse ein Hostname wie meinvpn.meindyndns.org fürs VPN verwendet wird wenn der Provider wechselnde Internet IP Adressen verwendet. (z.B. Zwangstrennung)
Hat man das alles richtig gemacht, sieht ein dazu passendes Router Kaskaden Design immer so aus:

pfsense-kaskade - Klicke auf das Bild, um es zu vergrößern

Die entsprechenden Port Forwarding bzw. Weiterleitungs Einstellungen für IPsec VPN sieht man hier am Beispiel einer FritzBox die analog auch für alle anderen Router am Markt gilt:
fbipsec - Klicke auf das Bild, um es zu vergrößern

An der Firewall sollte man am WAN Port noch den Haken entfernen bei "Block private networks" denn in einem Kaskaden Design befindet sich der Firewall WAN Port ja in der Regel in einem privaten IP Adressbereich (Koppelnetz) des davor liegenden Routers:

pfsensewan - Klicke auf das Bild, um es zu vergrößern
ACHTUNG !: Das Entfernen gilt ausschliesslich NUR für ein Kaskaden Design (pfSense/OPNsense hinter NAT Router) !
Arbeitet die Firewall mit einem "NUR" Modem direkt im öffentlichen Internet (öffentliche Provider IP direkt am WAN Port der Firewall !) MUSS dieser Haken unbedingt gesetzt bleiben !


Diese IPsec Port Forwarding ToDos gelten ganz generell auch für andere häufig genutzte VPN Protokolle wie...
  • OpenVPN = UDP 1194 (Default Port, ist beliebig konfigurierbar)
  • L2TP = UDP 1701, UDP 500, UDP 4500, ESP Protokoll (IP50)
  • PPTP = TCP 1723, GRE Protokoll (IP47)
  • SSTP = TCP 443
  • WireGuard = UDP 51820 (Default Port, ist beliebig konfigurierbar)
...sofern diese VPN Protokolle in solchen Router Kaskaden Konfigurationen im Port Forwarding verwendet werden.

Bei der FritzBox sollte man unbedingt beachten das die VPN Nutzung für eingerichtete User deaktiviert werden muss. (Siehe dazu auch HIER.
Geschieht das nicht, reicht die FritzBox die IPsec Ports nicht per Port Forwarding weiter, da sie ja selber auch aktiver VPN Router ist.

Generell ist es Best Practice dem WAN Port eines hinter einem Router kaskadierten Systems, egal ob Router oder Firewall, immer eine feste, statische IP Adresse zu geben !
Diese IP Adresse muss immer außerhalb des LAN Port DHCP Bereichs des davor liegenden NAT Routers liegen ! Andernfalls droht ein IP Adresskonflikt !
Praktisch ginge auch die automatische Vergabe per DHCP. Allerdings kann es dann, durch die Dynamik von DHCP IP Adressen, möglich sein das Port Forwarding Einstellungen dann irgendwann einmal ins Leere laufen wenn sich diese IP einmal ändern sollte ! Freie DHCP Vergabe birgt also immer die latente Gefahr das das VPN über kurz oder lang nicht mehr funktioniert.
Dann geht das vorab eingestellte Port Forwarding natürlich ins Nirwana, sprich auf eine dann möglicherweise inexistente IP Adresse !

Eine gute Alternative, wenn man bei DHCP bleiben möchte, wäre dann immer die statische DHCP Vergabe anhand der Hardware Layer 2 Mac Adresse (DHCP Reservierung auf Mac Basis) zu realisieren.
Das entspricht dann quasi einer statischen IP Adresse, da die DHCP IP immer fest auf Basis der Hardware Adresse des Gerätes (Mac Adresse) zugewiesen wird.
Die FritzBox und auch andere Consumer oder Profi Router supporten so eine feste Reservierung in ihren DHCP Server Einstellungen. Man trägt dann einfach die Geräte spezifische Hardware Adresse (Mac Adresse) des kaskadierten WAN Ports im DHCP Server ein und weist dieser damit immer eine feste IP Adresse zu.
Mit diesem "Trick" ist eine quasi "feste" IP Vergabe auch mit DHCP möglich und auch sinnvoll.
(AVM beschreibt die ToDo's dafür HIER
Als generelles Beispiel sähe es z.B. auf einem Router DHCP Server so aus:

dhcp-mac - Klicke auf das Bild, um es zu vergrößern
(Hier im Beispiel teilt der DHCP Server auf dem Router einem Gerät mit der Mac Adresse 00:43:5A:3F:01:22 immer fest die IP Adresse 192.168.8.173 zu)

Die Hardware- oder Mac Adresse eines Endgerätes ist entweder auf einem externen Aufkleber zu erkennen oder über das interne Setup. Bei einem Windows Rechner z.B. mit dem Kommando ipconfig -all oder bei Linux und Mac Rechnern mit ifconfig.
Auch beim Server Zertifikat oben ist die Angabe dieser festen IP statt eines Namens technisch die bessere Lösung.


Weiterführende Links:

Aufbau einer pfSense Firewall mit PCengines APU Minimainboard:
https://www.administrator.de/contentid/149915
Weitere Hardware:
https://www.varia-store.com/de/produkt/36843-pc-engines-apu2e4-bundle-bo ...
https://www.amazon.de/HUNSN-Firewall-Mikrotik-Security-Appliance/dp/B07D ...
https://www.amazon.de/HUNSN-Firewall-Mikrotik-Rackmount-Appliance/dp/B07 ...
Dobby's Hardware Tips:
https://www.administrator.de/wissen/pfsense-supermicro-intel-xeon-d-15x8 ...
https://www.administrator.de/link/pfsense-arm-marvell-armada-385-2nd-edi ...

Modem für Kabel-TV Provider an der pfSense:
https://www.heise.de/ct/ausgabe/2018-20-Netze-4159238.html?wt_mc=print.c ...

IPsec Praxis Tutorial: Standort Vernetzung:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...

IPsec VPNs unterschiedlicher Hersteller:
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...

VPN IPsec Standort Kopplung mit Cisco VTI Tunnel Interface:
https://www.administrator.de/content/detail.php?id=332230&token=14#c ...

Windows 10 VPN Powershell Syntax:
https://technet.microsoft.com/de-de/library/dn262642(v=wps.630).aspx

Automatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates:
https://www.administrator.de/content/detail.php?id=378502&token=736

Windows 10: Schneller VPN Aufbau per einfachem Mausklick:
https://www.heise.de/ct/ausgabe/2017-19-VPN-und-Remote-Desktop-Verbindun ...

Aktuelle IKEv2 VPN Konfig für iPhone, Mac OS und IPsec native Clients:
https://forum.pfsense.org/index.php?topic=106433.0

Automatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates:
https://openhabforum.de/viewtopic.php?t=116

Client Troubleshooting:
https://administrator.de/content/detail.php?id=420788&token=78#comme ...

Verlässlicher Internet Speedtest mit der pfSense:
https://www.andysblog.de/pfsense-wan-geschwindigkeit-direkt-am-router-me ...

pfSense Firewall auf Watchguard Hardware:
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox

IPsec Grundlagen und Aufbau:
https://www.administrator.de/contentid/73117

VPN Vernetzung mit GRE Tunnel und IPsec und dynamischem Routing mit OSPF auf Mikrotik Routern:
https://administrator.de/content/detail.php?id=396127&token=466#comm ...
https://administrator.de/content/detail.php?id=397059&token=646

Wer lieber OpenVPN als IPsec als VPN möchte:
https://www.administrator.de/wissen/openvpn-server-installieren-pfsense- ...

Werbung zentral im Netz blocken mit der pfSense:
https://www.administrator.de/forum/pfsense-werbung-blocken-383472.html

Gastnetz mit einem Login Portal und Einmalpasswort auf pfSense einrichten:
https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt64/BT64_Mobile ...
72 Kommentare
Mitglied: the-buccaneer
05.09.2017 um 00:33 Uhr
Danke! Habs jetzt erst gesehen
Sollte mit Win8.1 natürlich genauso gehen. Da ich mich von der PfSense 2.2x nicht trennen kann, bleibt das für mich Zukunftsmusik...
LG
Buc
Bitte warten ..
Mitglied: Spitzbube
20.09.2017 um 20:26 Uhr
Erst mal vielen Dank für diese tolle Anleitung. Alles sehr gut und übersichtlich erklärt, aber was ist für den Fall, wenn ich hinter einem NAT Router wie der Fritzbox sitze. Muss da die Option NAT/BINAT translation nicht konfiguriert werden?
Bitte warten ..
Mitglied: aqui
21.09.2017, aktualisiert 29.09.2017
Das ist auch kein Problem !
Du musst ja nur dafür sorgen das die dann an der FritzBox eingehenden IPsec Pakete auf der IP Adresse der dahinter kaskadierten pfSense Firewall an deren WAN Port landen.
Sprich in der FritzBox muss dann wie immer bei solchen Kaskaden ein Port Forwarding für das verwendete VPN Protokoll, was hier die IPsec Protokollkomponenten sind, eingerichtet werden als da sind:
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP Protokoll mit der IP Nummer 50 (Achtung kein UDP oder TCP 50, ESP ist ein eigenes IP Protokoll!)
Dann funktioniert das auch in einer Kaskade fehlerlos.
Oder....man terminiert das IPsec nicht auf der Firewall sondern auf der FritzBox davor selber.
Ich nehme das mal als Anregung das Tutorial zu erweitern für so ein Kaskadendesign
<edit>Ist erledigt...</edit>
Bitte warten ..
Mitglied: Spitzbube
21.09.2017 um 11:57 Uhr
Das Tutorial zu erweitern für so ein Kaskadendesign wäre eine Spitzensache. Zumal ich das nicht nur hier sondern auch in anderen Foren immer häufiger lese.

Was ich nicht verstehe ist IP Nummer 50:

ESP Protokoll mit der IP Nummer 50 (Achtung kein UDP oder TCP 50, ESP ist ein eigenes IP Protokoll!)

-> Bei der Fritzbox hab ich halt die Möglichkeit, die Portfreigabe direkt im Heimnetzgerät (Pfsense) einzutragen oder über die Freigabe dem Netzwerkgerät das Protokoll zu zuordnen. Mehr kann ich hier nicht einstellen.
Bitte warten ..
Mitglied: aqui
21.09.2017, aktualisiert um 15:27 Uhr
Das Tutorial zu erweitern für so ein Kaskadendesign wäre eine Spitzensache.
Schon erledigt !
Was ich nicht verstehe ist IP Nummer 50:
Guckst du hier:
https://de.wikipedia.org/wiki/IPsec#Encapsulating_Security_Payload_.28ES ...
Wie alle Protokolle im IP Stack hat ESP auch eine dedizierte Protokoll Nummer, eben die 50.
Nummer 80 ist z.B. das IP Protokoll selber und 84 TCP.
Nimm einen Wireshark Sniffer und sie es dir selber schwarz auf weiß an !
Mehr kann ich hier nicht einstellen.
Das stimmt wenigstens für die FritzBox de facto nicht !
Du kannst es am obigen Screenshot im Tutorial sehen.

Hier auch nochmal am Beispiel eines PPTP VPN Protokoll dessen Protokollkomponenten in der FB ebenfalls dediziert einstellbar sind. PPTP besteht aus:
GRE IP Protokoll Nummer 47
TCP 1723

fbvpn - Klicke auf das Bild, um es zu vergrößern
Entweder redest du von was anderem oder suchst an der falschen Stelle im FB Setup ?!
Bitte warten ..
Mitglied: Spitzbube
21.09.2017 um 16:09 Uhr
Achso, das meinst du! Ja klar ESP IP Nummer 50. Nee alles gut. So hab ich das auch. Was ich nicht so habe wie bei dir in der Grafik, ist die Adressierung. Bei der Fritzbox wird mir die Pfsense als XX.XX.XX.42 angezeigt, da ich wie in anderen Beiträgen geschrieben einen Business Vertrag von Unity Media habe. Zu diesem gehören 5 feste IP Adressen. Die erste IP also XX.XX.XX.41 hat die Fritzbox automatisch vom Provider bekommen und die XX.XX.XX.42 Pfsense. Am WAN Interface der Pfsense habe ich die XX.XX.XX.42 statisch und das Upstream GW auch statisch auf XX.XX.XX.41 zugewiesen. Internet hab ich.

Werde das aber mal um konfigurieren, dann hat halt die Pfsense die 192.168.178.254 und die Fritzbox 192.168.178.1. So spare ich mir die eine statische Adresse.

Diese Aussage fand ich auch noch sehr interessant:

Im VPN Client selber muss natürlich dann die WAN / Internet IP Adresse des davorliegenden Routers als VPN Gateway Zieladresse angegeben werden oder ggf. dort ein DynDNS Client aktiviert werden wenn ein Hostname verwendet wird bei wechselnder Internet IP Adresse.

Da dachte ich immer, muss ich die IP der Pfsense eingeben und nicht die der Fritzbox.

Frage: Mit welchem Tool machst du deine Grafiken?

Werde das heute Abend mal so konfigurieren und dann nochmals berichten.

Vielen Dank für deine Mühe
Bitte warten ..
Mitglied: aqui
21.09.2017 um 17:48 Uhr
Bei der Fritzbox wird mir die Pfsense als XX.XX.XX.42 angezeigt
Wie es angezeigt wird ist erstmal völlig egal das ist kosmetisch.
Einzig wichtig ist in den Einstellungen an der FB das das Port Forwarding auf die WAN IP der pfSense zeigt die dort kaskadiert ist !
In der Kaskadenkonfig muss dann am pfSense WAN Port der Haken "Block private networks) entfernt werden.
Achtung !: Nur in einer Kaskaden Konfig NIEMALS mit einem "Nur" Modem am öffentlichen Internet.
Am WAN Interface der Pfsense habe ich die XX.XX.XX.42 statisch
OK, dann hast du ein eigenes öffentliches Subnetz. Dann kannst du den ganz Kram in einer Kaskaden Konfig natürlich vergessen. Dann hast du ja kein NAT Router davor und die öffentliche IP direkt an der pfSense.
Damit ist das ganze Kaskaden Kram für dich ja vollkommen überflüssig !
dann hat halt die Pfsense die 192.168.178.25
Häää ??? Ja was denn nun ?? Oben schreibst du die pfSense hat die öffentliche IP XX.XX.XX.42 am WAN Port ?!?
Bahnhof, ? Ägypten ?
Da dachte ich immer, muss ich die IP der Pfsense eingeben und nicht die der Fritzbox.
Nicht denken sondern mal nachdenken !!
Wie sollte das denn bitte gehen wenn die pfSense in so einer Kaskade arbeitet mit einem privaten IP Netz und somit auch privaten IP Adresse die im Internet NICHT geroutet werden ?!
Nicht nur das der VPN Client diese IP Adressen niemals im Leben erreichen könnte (...da nicht geroutet) zusätzlich könnte er auch niemals die dvorliegende NAT Firewall des Routers überwinden ohne Port Freigabe.
Doppelter grund also warum es nicht geht !
In so einem Kaskaden Design ist doch immer der davorliegende Router und dess IP Adresse der einzige Zugang zum Internet ! Logisch ! ...denn er hält ja die öffentliche IP Adresse des Providers ! Die pfSense dahinter ist ja im lokalen LAN, sprich Koppelnetz mit einer privaten nicht gerouteten RFC 1918 IP Adresse.
Folglich kann man aus dem Internet ja einzig und allein die pfSense nur über den davorliegenden Router und logischerweise dessen IP am WAN Port erreichen.
Wie sollte das deiner Meinung denn sonst anders gehen ???
Fazit: Einfach mal logisch nachdenken
Und kläre mal das Mysterium deiner unterschiedlichen WAN IP Adressierung, das versteht keiner hier...
Bitte warten ..
Mitglied: Spitzbube
21.09.2017, aktualisiert um 21:50 Uhr
Jetzt mal langsam mit der Braut

Und kläre mal das Mysterium deiner unterschiedlichen WAN IP Adressierung, das versteht keiner hier...

Hab ja nix umgestellt. Das war nur von mir falsch verstanden! Dachte, das ist bei mir kaskatiert. Aber wie du ja schreibst ist das ein eigenes öffentliches Subnetz und nicht kaskatiert!

OK, dann hast du ein eigenes öffentliches Subnetz. Dann kannst du den ganz Kram in einer Kaskaden Konfig natürlich vergessen. Dann hast du ja kein NAT Router davor und die öffentliche IP direkt an der pfSense.
Damit ist das ganze Kaskaden Kram für dich ja vollkommen überflüssig !


Aber warum sagt das IPSec Log dann: 14[IKE] <5> remote host is behind NAT? Das verstehe ich nicht!

Hab dir mal meine Settings als Anhang hochgeladen:

aktuelle Portfreigaben der Fritzbox

fritzbox_ohne - Klicke auf das Bild, um es zu vergrößern

Vorbereiten der pfSense für die Basiskonfiguration:

cas - Klicke auf das Bild, um es zu vergrößern

Server Zertifikat erstellen:

certificates - Klicke auf das Bild, um es zu vergrößern

Mobiles Client IPsec auf der pfSense einrichten:

mobile clients - Klicke auf das Bild, um es zu vergrößern

IPsec Phase 1 Konfiguration:

phase1 - Klicke auf das Bild, um es zu vergrößern

IPsec Phase 2 Konfiguration:

phase2 - Klicke auf das Bild, um es zu vergrößern

VPN Einstellungen:

tunnels - Klicke auf das Bild, um es zu vergrößern

Pre Shared Key:

pre-shared keys - Klicke auf das Bild, um es zu vergrößern


Firewall Rules:

firewall rules - Klicke auf das Bild, um es zu vergrößern

VPN Log:

01.
Sep 21 21:01:27 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
02.
Sep 21 21:01:27 	charon 		14[IKE] <6> received retransmit of request with ID 0, retransmitting response
03.
Sep 21 21:01:27 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
04.
Sep 21 21:01:27 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
05.
Sep 21 21:01:24 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
06.
Sep 21 21:01:24 	charon 		14[IKE] <6> received retransmit of request with ID 0, retransmitting response
07.
Sep 21 21:01:24 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
08.
Sep 21 21:01:24 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
09.
Sep 21 21:01:21 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
10.
Sep 21 21:01:21 	charon 		14[IKE] <6> received retransmit of request with ID 0, retransmitting response
11.
Sep 21 21:01:21 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
12.
Sep 21 21:01:21 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
13.
Sep 21 21:01:18 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
14.
Sep 21 21:01:18 	charon 		14[ENC] <6> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
15.
Sep 21 21:01:18 	charon 		14[IKE] <6> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=user@gmail.com, CN=vpnca, OU=Home"
16.
Sep 21 21:01:18 	charon 		14[IKE] <6> remote host is behind NAT
17.
Sep 21 21:01:18 	charon 		14[IKE] <6> 80.187.115.140 (IP der des iPhones T-Mobile LTE) is initiating an IKE_SA
18.
Sep 21 21:01:18 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
19.
Sep 21 21:01:18 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
20.
Sep 21 21:01:14 	charon 		14[NET] <bypasslan|5> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[4500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[17675] (80 bytes)
21.
Sep 21 21:01:14 	charon 		14[ENC] <bypasslan|5> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
22.
Sep 21 21:01:14 	charon 		14[IKE] <bypasslan|5> peer supports MOBIKE
23.
Sep 21 21:01:14 	charon 		14[IKE] <bypasslan|5> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
24.
Sep 21 21:01:14 	charon 		14[CFG] <bypasslan|5> no alternative config found
25.
Sep 21 21:01:14 	charon 		14[IKE] <bypasslan|5> peer requested EAP, config inacceptable
26.
Sep 21 21:01:14 	charon 		14[CFG] <bypasslan|5> selected peer config 'bypasslan'
27.
Sep 21 21:01:14 	charon 		14[CFG] <5> looking for peer configs matching XX.XX.XXX.42 (IP der Pfsense)[pfsense]...80.187.115.140 (IP der des iPhones T-Mobile LTE)[10.25.123.172]
28.
Sep 21 21:01:14 	charon 		14[ENC] <5> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
29.
Sep 21 21:01:14 	charon 		14[ENC] <5> unknown attribute type (25)
30.
Sep 21 21:01:14 	charon 		14[NET] <5> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[17675] to XX.XX.XXX.42 (IP der Pfsense)[4500] (496 bytes)
31.
Sep 21 21:01:14 	charon 		14[NET] <5> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
32.
Sep 21 21:01:14 	charon 		14[ENC] <5> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
33.
Sep 21 21:01:14 	charon 		14[IKE] <5> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=user@gmail.com, CN=vpnca, OU=Home"
34.
Sep 21 21:01:14 	charon 		14[IKE] <5> remote host is behind NAT
35.
Sep 21 21:01:14 	charon 		14[IKE] <5> 80.187.115.140 (IP der des iPhones T-Mobile LTE) is initiating an IKE_SA
36.
Sep 21 21:01:14 	charon 		14[ENC] <5> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
37.
Sep 21 21:01:14 	charon 		14[NET] <5> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes) 
Hoffe, es ist alles soweot ersichtlich.

Grüße
Spitzbube
Bitte warten ..
Mitglied: aqui
22.09.2017 um 10:39 Uhr
Aber wie du ja schreibst ist das ein eigenes öffentliches Subnetz und nicht kaskatiert!
Warum schreibst du dann das du eine Kaskade benutzt
Zitieren tut man übrigens immer mit einer spitzen Klammer vor dem Zitat und nicht mit Doppelsternchen. Dann wird es nur fett...
Aber warum sagt das IPSec Log dann: 14[IKE] <5> remote host is behind NAT? Das verstehe ich nicht!
Mal nachdenken.... Der VPN Client nutzt NAT Traversal (UDP 4500). Dadurch erkennt der Server das NAT im Spiel ist auch wenn es das nicht ist. Kann ja aber mal sein das der Client hinter einem NAT Router ist wie im Hotel, Hotspot usw. oder einen Provider nutzt der Carrier Grade NAT macht. Das machen meist die Billig Provider mit einfachen nur Surf Accounts weil sie keine freien IPv4 Adressen mehr haben....
aktuelle Portfreigaben der Fritzbox
Wäre ja wenn du NICHT in einer Kaskade arbeitest absolut sinnfrei und auch kontraproduktiv !
Erschwerend kommt dazu das die FB selber VPN Router ist und "denkt" das eingehende IPsec ist für sie selber. Hier muss man also in der FB IPsec deaktivieren bzw. es darf keinerlei VPN Konfig vorhanden sein. Ansonsten forwardet die FB die IPsec Frames nicht und blockt sie !
Das bekommst du übrigens ganz einfach raus indem du mal einen Laptop statt der pfSense anschliesst am gleichen Port. Laptop mit gleicher IP wie die pfSense und pfSense abgezogen.
Dann startest du einen Wireshark Sniffer auf dem Laptop
Jetzt aktivierst du den VPN Client und checkst ob dort eingehende IPsec Pakete (IKE, ESP) ankommen !
Ist das der Fall klappt das Forwarding. Kommen sie nicht blockt die FB.
Ohne Wioreshark geht das auch sehr einfach mit der Paket Sniffer Funktion direkt in der pfSense unter "Diagnostics" !!
Wie gesagt...eigentlich alles sinnfrei denn du arbeitest ja eben NICHT in einer NAT Kaskade wie du selber sagst. Folglich ist dann auch Port Forwarding im Router davor sinnlos. Deine FB arbeizet dann vermutlich nur als reines Modem.
Vorbereiten der pfSense für die Basiskonfiguration:
Was ist das für ein merkwürdiges GUI ?? Farben sind nicht pfSense Default ?
Die Email Adresse ist fehlerhaft ! Aber wohl gewollt anonymisiert ?!
Sonst sieht das soweit gut aus wenn du dich explizit ans o.a. Tutorial gehalten hast.

Wenn das ein längerer "Akt" hier wird solltest du einen separaten Thread aufmachen mit einem hiesigen Verweis darauf um das Tutorial hier nicht unnötig aufzublähen.
Bitte warten ..
Mitglied: Spitzbube
24.09.2017, aktualisiert um 08:27 Uhr
Moin hab das mal in diesem Thema (Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense)neu zusammen gepackt.

Was ist das für ein merkwürdiges GUI ?? Farben sind nicht pfSense Default ? Nein, dass ist ein mitgeliefertes anderes Theme angenehmer für meine Augen.

Die Email Adresse ist fehlerhaft ! Aber wohl gewollt anonymisiert ?! Ja, anonymisiert!
Bitte warten ..
Mitglied: PRO4NETWORK
04.03.2018 um 19:42 Uhr
Hallo aqui,

vielen Dank für Ihre super Anleitung.
Ich habe diese entsprechende Umgesetzt und konfiguriert.

Leider stelle ich nach zwei Tagen fest, das keine VPN Einwahl mehr stattfinden kann.
Im Windows komme folgende Fehlermeldung.

"Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet.
Das Verbindungsproblem wird möglicherweise verursacht, weil eins der Netzwerkgeräte (zum Beispiel Firewall, NAT, Router usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist."

Haben Sie da eine erklärung für.
Ich habe keine Änderungen vorgenommen, die WAN Anbindung beider Netze (pfsense / Remote) haben sich nicht geändert.
Würde mich über eine Idee der Problemlösung sehr freuen....

Vielen Dank
Bitte warten ..
Mitglied: aqui
05.03.2018, aktualisiert 26.03.2018
Der VPN Server antwortet nicht oder nicht mehr auf dort eingehende Client VPN Pakete.
Ohne weitere konkrete Tests, kann man da jetzt nur spekulieren woran das liegt, denn es gibt ja 2 Optionen:
  • Entweder die Client Pakete bleiben irgendwo hängen und es kommt gar nichts am VPN Server an
  • Es kommt was an am Server aber die Firewall blockt es
Hier wäre am Client mal ein Wireshark Trace sehr hilfreich gewesen oder am Server einmal ein Paket Trace über das Diagnostics Menü am WAN Port.
So bleibt jetzt nur spekulieren...
Bleiben wir mal bei den Standard Fehlern:
  • Von wo kommen die VPN Clients ? Falls Mobilfunk, filtert der Provider hier ggf. oder nutzt er RFC 1918 Netze mit CGN (Provider NAT) ?
  • NAT Traversal am VPN Client aktiviert ?
  • Auf der Firewall mit einer WAN Regel die Ports UDP 500, 4500 und das ESP Protokoll auf die WAN Port IP Adress der pfSense als Ziel freigegeben ?
  • Unter Diagnostics -> Packet Capture am WAN Port checken ob dort IPsec Pakete eingehen. Hier mal auf die Absender IP, ESP, UDP 500, 4500 den Traffic einschränken um nicht alles mitzusniffern.
  • WAS sagt das VPN Log der pfSense (wichtig !) ?
  • Was sagt das Log des Clients ?
Etwas mehr Detailinfos und Tests wären sehr hilfreich hier für eine zielführende Hilfe.
Bitte warten ..
Mitglied: Xplosive
28.03.2018, aktualisiert um 13:17 Uhr
Hallo aqui und der Rest ;)

danke für das tolle VPN Tutourial. Ich hab mal ne Frage zu IPTV von der Telekom und VPN:

Ist es gernell möglich, dass man quasi in einem öffentlichen WLAN sich ins VPN einloggt, um dann das IPTV der Telekom zu streamen?

Leider klappt das bei mir nicht, obwohl ich im IGMP Proxy die Adresse 10.98.1.0/24 eingetragen habe (siehe VPN > IPsec -> Mobile Clients: Virtual Adress pool) und unter Firewall -> Rules -> IPsec auch die IP-Pakete-Option bei einer "allow all" Regel aktiviert habe.

Hab ich noch etwas vergessen oder einen Denkfehler?
Lieben Dank und viele Grüße
Bitte warten ..
Mitglied: aqui
28.03.2018, aktualisiert um 13:41 Uhr
Ja, das sollte gehen. Voraussetzung dafür ist aber das der VPN Router/Firewall PIM Routing supportet. PIM muss dann auch für das virtuelle VPN Interface aktiviert sein.
Bevor du das angehst solltest du testen ob IP-TV im lokalen LAN fehlerfrei rennt ?! Ist das denn der Fall ?
Infos zu Multicast und PIM findest du hier:
https://www.youtube.com/watch?v=AvbSMBKBZgY

Ein sehr einfaches und effizentes lokales Testsetup findest du hier:
https://www.administrator.de/content/detail.php?id=362413&token=462# ...
Bitte warten ..
Mitglied: Xplosive
28.03.2018, aktualisiert um 14:50 Uhr
Hi aqui,

ja bisher rennt das IPTV im LAN fehlerfrei. Als Router kommt das apu2 Board mit der aktuellen pfsense zum Einsatz. Wird hier PIM-Routing unterstützt? Ein virtuelles Interface habe ich für VPN noch nicht. Wie wird das eingerichtet?

Grüße
Bitte warten ..
Mitglied: aqui
28.03.2018 um 14:52 Uhr
Wird das eingerichtet?
Ja, automatisch wenn du dein VPN ein richtest. Was auch immer du da machst PPTP, IPsec, OpenVPN, L2TP usw.
Das rennt dann schon so bei dir:
https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/
bzw.
https://forum.pfsense.org/index.php?topic=122731.0
PIM kann die pfSense nicht aber das lässt sich mit IGMP Proxy lösen.
Praktisch hab ich das noch nicht getestet. Wäre aber mal ein Aufbau wert
Bitte warten ..
Mitglied: Xplosive
28.03.2018, aktualisiert um 15:12 Uhr
Ja die Anleitungen habe ich bei der Einrichtung auch benutzt. Wie gesagt im LAN funktioniert das IPTV. Nur eben nicht über VPN (IPSec)

Ein weiteres Downstream-Interface (auf LAN Interface) hab ich im IGMP Proxy bereits angelegt mit der Adresse 10.98.1.0/24 aus der IPSec Konfiguration (siehe VPN > IPsec -> Mobile Clients: Virtual Adress pool) Was muss ich sonst noch aktivieren?
Bitte warten ..
Mitglied: juergwin
19.08.2018 um 16:36 Uhr
danke für die super Anleitung.

ich nutze den Windows 10 VPN-Client.
Bei mir funktioniert der Verbindungsaufbau jedoch nur, wenn ich die
VPN Verbindung mittels der 3 Befehle mit PowerShell anlege.

Wenn ich die VPN-Verbindung mittels Client-Setup im Windows
Netzwerk- und Freigabecenter erstelle schlägt der Verbindungsaufbau
mit folgender Fehlermeldung fehl:
"Verbindung mit VPN-Verbindung nicht möglich
Fehler in Richtlinienübereinstimmung",

Die im Client-Setup einsehbaren Einstellungen sind für die mittels PowerShell
und für die mittels Client-Setup erstellte Verbindung identisch.

Mein Problem ist, dass ich von einem Windows 7-Client ebenfalls eine
Verbindung zur PFSense erstellen möchte. Hier ist jedoch die Erstellung
der Verbindung mittels PowerShell nicht möglich ist.

Ich habe auch deshalb eine Verbindung mittels Client-Setup erstellt und
erhalte hier beim Verbindungsaufbau folgende Fehlermeldung:
"Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel"



Gruß

Jürgen
Bitte warten ..
Mitglied: aqui
19.08.2018 um 17:51 Uhr
Windows 7 supportet m.E. kein IKEv2 oder nur mit einem Einfriff in die Registry. Deshalb schlägt die Verbindung auf einen IKEv2 VPN Server fehl. Hier musst du vermutlich den Shrew Soft Client verwenden.
Alternativ müsstest du den VPN Server mit IKEv1 aufsetzen dann rennt der Win 7 Client aber Win 10 nicht mehr denn der bordeigene Client supportet m.E. nur noch IKEv2.
Microsoft Dilemma...
Bitte warten ..
Mitglied: juergwin
20.08.2018 um 11:31 Uhr
danke für die schnelle Antwort.

Den erforderliche DWORD-Eintrag in die Registry hatte ich bereits vorgenommen.

Ich verstehe noch nicht weshalb es bei Win 10 nur bei Erstellung der Verbindung
mittels Powershell funkioniert.

Gruß

Jürgen
Bitte warten ..
Mitglied: aqui
21.08.2018, aktualisiert um 12:27 Uhr
Ich verstehe noch nicht weshalb es bei Win 10 nur bei Erstellung der Verbindung mittels Powershell funkioniert.
Das versteht wohl auch nur MS selber....oder ggf. einer der Winblows Gurus hier
Bitte warten ..
Mitglied: pipen1976
09.10.2018 um 13:32 Uhr
Vielen Dank für die Super Anleitung. Ich habe die Anleitung befolgt, bekomme aber leider bei der VPN Verbindung mit Windows 10 eine Fehlermeldung. Mit einem Android Handy und StrongSwan funktioniert es ohne Probleme. Die Fehlermeldung am Client ist:

ike authentifizierung anmeldeinformationen sind nicht akzeptabel

Der Log in der pfSense sieht so aus:

Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid d5:2e:13:c1:ab:e3:49:da:e8:b4:95:94:ef:7c:38:43:60:64:66:bd
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 59:79:12:de:61:75:d6:6f:c4:23:b7:77:13:74:c7:96:de:6f:88:72
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid d3:94:8a:4c:62:13:2a:19:2e:cc:af:72:8a:7d:36:d7:9a:1c:dc:67
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 6c:ca:bd:7d:b4:7e:94:a5:75:99:01:b6:a7:df:d4:5d:1c:09:1c:cc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ab:30:d3:af:4b:d8:f1:6b:58:69:ee:45:69:29:da:84:b8:73:94:88
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 42:32:b6:16:fa:04:fd:fe:5d:4b:7a:c3:fd:f7:4c:40:1d:5a:43:af
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid f0:63:ba:7c:9a:16:74:4a:9c:db:54:ec:23:cd:67:29:8e:7c:49:4d
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid a5:06:8a:78:cf:84:bd:74:32:dd:58:f9:65:eb:3a:55:e7:c7:80:dc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 5f:f3:24:6c:8f:91:24:af:9b:5f:3e:b0:34:6a:f4:2d:5c:a8:5d:cc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 6d:aa:9b:09:87:c4:d0:d4:22:ed:40:07:37:4d:19:f1:91:ff:de:d3
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 83:31:7e:62:85:42:53:d6:d7:78:31:90:ec:91:90:56:e9:91:b9:e3
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 7e:95:9f:ed:82:8e:2a:ed:c3:7c:0d:05:46:31:ef:53:97:cd:48:49
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:51:59:8b:a7:6f:54:5c:77:24:c5:66:eb:aa:fb:3e:2b:f3:ac:4f
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:18:e5:44:f6:bd:4d:77:50:28:c9:40:3e:5c:74:f5:4c:d9:60:29
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:22:d4:2c:1f:02:44:b8:04:10:65:61:7c:c7:6b:ae:da:87:29:9c
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid b1:81:08:1a:19:a4:c0:94:1f:fa:e8:95:28:c1:24:c9:9b:34:ac:c7
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 21:0f:2c:89:f7:c4:cd:5d:1b:82:5e:38:d6:c6:59:3b:a6:93:75:ae
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 23:4b:71:25:56:13:e1:30:dd:e3:42:69:c9:cc:30:d4:6f:08:41:e0
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid bb:c2:3e:29:0b:b3:28:77:1d:ad:3e:a2:4d:bd:f4:23:bd:06:b0:3d
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid b0:19:89:e7:ef:fb:4a:af:cb:14:8f:58:46:39:76:22:41:50:e1:ba
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ee:e5:9f:1e:2a:a5:44:c3:cb:25:43:a6:9a:5b:d4:6a:25:bc:bb:8e
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 90:2f:82:a3:7c:47:97:01:1e:0f:4b:a5:af:13:13:c2:11:13:47:ea
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 22:f1:9e:2e:c6:ea:cc:fc:5d:23:46:f4:c2:e8:f6:c5:54:dd:5e:07
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 67:ec:9f:90:2d:cd:64:ae:fe:7e:bc:cd:f8:8c:51:28:f1:93:2c:12
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 17:4a:b8:2b:5f:fb:05:67:75:27:ad:49:5a:4a:5d:c4:22:cc:ea:4e
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 68:33:0e:61:35:85:21:59:29:83:a3:c8:d2:d2:e1:40:6e:7a:b3:c1
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 9c:a9:8d:00:af:74:0d:dd:81:80:d2:13:45:a5:8b:8f:2e:94:38:d6
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f:1a:02:99:e7:90:f3:87
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid da:67:aa:54:74:54:9c:0e:6f:bc:92:f2:fa:97:9a:1a:93:62:d1:13
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ce:89:a4:e6:01:85:b1:71:4a:a7:10:db:d7:f4:7a:f3:0b:b4:cb:72
Oct 9 13:27:32 charon 15[IKE] <16> received 58 cert requests for an unknown ca
Oct 9 13:27:32 charon 15[CFG] <16> looking for peer configs matching 192.168.0.152[%any]...192.168.0.123[192.168.0.123]
Oct 9 13:27:32 charon 15[CFG] <16> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Oct 9 13:27:32 charon 15[CFG] <16> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Oct 9 13:27:32 charon 15[CFG] <con-mobile|16> selected peer config 'con-mobile'
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> initiating EAP_IDENTITY method (id 0x00)
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_ADDRESS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_DNS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_NBNS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_SERVER attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> peer supports MOBIKE
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> authentication of 'pfSense' (myself) with RSA signature successful
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> sending end entity cert "CN=pfSense, C=DE, ST=Bayern, L=Bodenmais, O=Weikl"
Oct 9 13:27:32 charon 15[ENC] <con-mobile|16> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Oct 9 13:27:32 charon 15[NET] <con-mobile|16> sending packet: from 192.168.0.152[4500] to 192.168.0.123[4500] (1488 bytes)
Oct 9 13:27:35 charon 12[JOB] <con-mobile|15> deleting half open IKE_SA with 192.168.0.123 after timeout
Oct 9 13:27:35 charon 12[IKE] <con-mobile|15> IKE_SA con-mobile[15] state change: CONNECTING => DESTROYING
Oct 9 13:28:02 charon 12[JOB] <con-mobile|16> deleting half open IKE_SA with 192.168.0.123 after timeout
Oct 9 13:28:02 charon 12[IKE] <con-mobile|16> IKE_SA con-mobile[16] state change: CONNECTING => DESTROYING

Hat jemand eine Idee?

Gruß Christian
Bitte warten ..
Mitglied: aqui
11.10.2018, aktualisiert 21.10.2018
Er meckert eine "unknown" CA vom Client an.
So wie es aussieht hast du vergessen auf dem Winblows 10 Rechner das mit der pfSense generierte Zertifikat einzuspielen:
https://www.administrator.de/content/detail.php?id=337198&token=414# ...
Kann das sein ??
Lösung: Zertifikat vergessen als Server Zertifikat zu deklarieren !
Bitte warten ..
Mitglied: pipen1976
11.10.2018 um 12:50 Uhr
Hallo aqui,

eigentlich ist es drin.
certmgr - Klicke auf das Bild, um es zu vergrößern

Gruß Christian
Bitte warten ..
Mitglied: 137443
11.10.2018, aktualisiert um 13:02 Uhr
Zitat von pipen1976:

Hallo aqui,

eigentlich ist es drin.
certmgr - Klicke auf das Bild, um es zu vergrößern

Gruß Christian
Ein CA-Zertifikat gehört in den ComputerStore, nicht in den des aktuellen Benutzers.

Gruß l
Bitte warten ..
Mitglied: aqui
11.10.2018, aktualisiert um 13:08 Uhr
Ja, das wird sicher der Fehler sein !!!
Siehe Tutorial: "Dann "Lokale Computer" und "Weiter" auswählen und Security Abfrage abnicken."
Denn wenn es mit Strongswan funktioniert dann ist das ein Indiz das alles richtig gemacht wurde mit dem Zertifikat, denn sonst würde das dort auch nicht klappen logischerweise.
Unbedingt dann das Zertifikat wieder aus dem Aktuellen Benutzer löschen !
Gib mal ein Feedback ob es das war...
Bitte warten ..
Mitglied: pipen1976
11.10.2018, aktualisiert um 14:06 Uhr
Genau so ist es. Das CA-Zertifikat gehört in den ComputerStore. Dannach funktioniert auch sofort die VPN Verbindung.
Wer lesen kann ist klar im Vorteil......
Vielen Dank aqui und lummel.
Bitte warten ..
Mitglied: 135624
21.10.2018 um 13:16 Uhr
Hi,

vielleicht noch ein kurzer Hinweis zu diesem Fehler. Ich hatte den auch. Mit meinem Android und StronSwan funktioniert dann deine tolle Anleitung wunderbar. Ich habe sogar 2 Verbindungen, die in unterschiedliche Netze geroutet werden hinbekommen.

Auf dem Windows 10 Client bekomme ich dann aber genau den gleichen Fehler wie pipen1976. Das Zertifikat ist unter ComputerKonto entsprechend der Anleitung hinterlegt.

Der Client gibt in der GUI IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel als Fehlermeldung aus. Im Windows-Log steht "Ursachencode" 13801.

Nach einer kurzen Google-Suche findet man folgendes:
We may check it by the following steps: On VPN server, run mmc, add snap-in “certificates”, expand certificates-personal-certificates, double click the certificate installed, click detail for “enhanced key usage”, verify if there is “server authentication” below.

Quelle: Antwort von Anne He https://social.technet.microsoft.com/Forums/ie/en-US/771bf5ec-7017-4fd3- ...

Lösung war, das das Zertifikat bei der pfsense nicht, wie in deiner Anleitung beschrieben, auf Server-Zertifikat gestellt war. (kann ja mal schnell passieren, dass man sich verklickt ;) )

VG
Green14

PS: Ich hatte auch den Fehler "Fehler 633 - das Modem (oder ein anderes Gerät) wird bereits verwendet". Lösung: https://support.microsoft.com/de-de/help/885959/error-633-the-modem-or-o ... (ist ein reines Windows-Problem). Auch wenn laut netstat nichts auf dem Port war, habe ich es eingerichtet und hatte den Fehler nicht mehr.
Bitte warten ..
Mitglied: aqui
21.10.2018, aktualisiert 23.02.2019
Danke für das Feedback !
Ich habe das Tutorial oben nochmal entsprechend angepasst und es dicker gekennzeichnet das das Zertifikat als Server Zertifikat zu deklarieren ist !
Bitte warten ..
Mitglied: pipen1976
13.11.2018 um 11:32 Uhr
Hallo,

so pfSense ist installiert. Alles funktioniert so wie es sein sollte, bis auf ein kleines DNS Problem. Wenn ich jetzt mit einem Mobilen Gerät (Notebook Win10) eine VPN Verbindung aufbaue dann habe ich ein DNS Problem. Die Netzlaufwerke sind mit DNS Namen gemappt. Das mobile Gerät kann bei Verbindung nicht richtig auflösen. Per IP Adresse ist das Laufwerk erreichbar. Das mobile Gerät bekommt ein Virtuelles Netz 10.98.1.0/24. Mein LAN hat 192.168.0.0/24. Wie bekomme ich das jetzt am elegantesten hin das bei der VPN Verbindung die Laufwerke aufgelöst werden können?

Gruß Christian
Bitte warten ..
Mitglied: aqui
16.11.2018, aktualisiert 23.02.2019
Das kommt daher das dein DNS Server vermutlich noch der ist, der am Client aktiv ist. Das ist dann ganz sicher wohl ein Internet DNS eines Providers, der logischerweise dann deine internen DNS Namen nicht kennt. Woher auch ?
Deshalb laufen die ins Nirwana und es gehen nur IPs.
Fazit:
Du musst entweder beim Dialin auf den remoten DNS mit den lokalen Namen umstellen oder...
Die Hostnamen der lokalen Rechner/Server auf die du zugreifen musst ganz einfach in die lokale hosts oder lmhosts Datei des Rechners statisch eintragen.
http://www.administrator.de/index.php?content=104978#396040
Beides fixt das "Problem" !
Bitte warten ..
Mitglied: pipen1976
20.11.2018 um 11:30 Uhr
Danke für die Lösung meines Problem´s.
Bitte warten ..
Mitglied: aqui
20.11.2018 um 13:13 Uhr
Immer gerne wieder....
Interessant (und auch hilfreich) wäre es für die Forums Community gewesen mal ein Feedback zu geben WIE du es denn nun final gelöst hast ?!
Bitte warten ..
Mitglied: Datax87
10.03.2019 um 15:41 Uhr
Hallo,

versuche mich gerade an der hier gezeigten IPSec-Konfiguration.

Bin gerade bei dem Schritt,
wo man die Phase 1 konfiguriert (ein "Proposal" für die Phase 1 festlegen).

Bei "Phase 1 Proposal (Authentication)" beim Punkt "Authentication Method" soll “EAP-MSChapv2” ausgewählt werden,
leider gibt es diesen Punkt bei mir gar nicht.

Ich nutze die aktuelle Version der "pfsense"-Firewall (Version 2.4.4 Release p1),
habe von dem genannten Problem auch einen Screenshot mit angehängt.

Bei mir sind bei "Authentication Method" lediglich die Optionen "Mutual RSA" sowie "Mutual PSK" auswählbar ^^.

Woran kann das liegen?

Ist "“EAP-MSChapv2” inzwischen aus der "pfsense"-Firewall entfernt worden (ggf. zu unsicher!?)
oder könnte ich einen Fehler bei der Konfiguration gemacht haben?
phase_1_konfiguration - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
11.03.2019, aktualisiert um 01:23 Uhr
Kann das sein das vergessen hast zuerst die Mobile Clients zu aktivieren und dort die entsprechenden Parameter zu setzen und in der Phase 1 dann oben die “Key Exchange version” vergessen hast auf IKEv2 zu setzen ??
Irgendwas hast du auf alle Fälle vergessen !
Also bitte nochmal alle Schritte in Ruhe ansehen und Schritt für Schritt abarbeiten !
Die Auswahl gibt es dort natürlich definitiv ! Guckst du hier:
ike - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: mtb931
16.03.2019, aktualisiert um 18:37 Uhr
Erst einmal ein dickes Dankeschön für die detaillierten Tutorials zur pfsense. Ich bin Netzwerkanfänger und hoffe dass Ihr mich nicht gleich zerreist.
Die pfSens Firewall habe ich aqui's Tutorial erfolgreich eingerichtet.
Das VPN Tutorial hier habe ich mehrmals einschließlich auch der Kommentare von pipen1976, der ein auf den ersten Blick ähnlich gelagertes Problem hatte, durchgearbeitet. Leider ohne Erfolg. Nun brauche ich glaube ich Eure Hilfe.

Problem:
Keine VPN-Verbindung mit WIN 10 - Fehlermeldung IKE-Authentifizierung - Anmeldeinformationen sind nicht akzeptabel / ABER VPN-Verbindung über Androidgeräte Strong Swan Client und identischem Zertifikat funktioniert perfekt

System:
pfsense 2.4.4 rel p2 als Kaskade hinter fritzbox 7490, Client WIN10 1803

Mit meinem laienhaften Verständnis meine ich aus dem IPSEC Log (siehe unten) der pfsense zu erkennen, dass es am Zertifikat hängt.

Das Zertifikat wurde unter LokalerComputer installiert:
k-zertifikat in compustore - Klicke auf das Bild, um es zu vergrößern


Die alternativen DNS Namen habe ich gem. Anleitung versucht einzutragen (durchgestrichen ist Adresse unter der die Fritzbox von außen erreichbar ist):
k-zertifikat_02 - Klicke auf das Bild, um es zu vergrößern

k-zertifikat_01 - Klicke auf das Bild, um es zu vergrößern

pfSense Name:
k-pfsense_name - Klicke auf das Bild, um es zu vergrößern

Zertifikat in der pfsense aktiv:
k-pfsense_certificate - Klicke auf das Bild, um es zu vergrößern

Die VPN Verbindung wurde wie hier in der Anleitung beschrieben mit der powershell ohne splittunneling eingerichtet.

Hat von Euch jemand eine Idee was ich bei der WIN10 VPN Konfiguration falsch mache ?

pfsense Log:
Mar 16 10:34:09 charon 12[NET] <con-mobile|33> sending packet: from 10.19.8.254[4500] to xxx [24198] (484 bytes)
Mar 16 10:34:09 charon 12[NET] <con-mobile|33> sending packet: from 10.19.8.254[4500] to xxx [24198] (1236 bytes)
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ EF(2/2) ]
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ EF(1/2) ]
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> splitting IKE message (1648 bytes) into 2 fragments
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> sending end entity cert "CN=pfsense, C=GE, ST=Germany, L=Ingolstadt, O=mm, OU=m"
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> authentication of 'pfsense' (myself) with RSA signature successful
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> peer supports MOBIKE
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_SERVER attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_DNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_ADDRESS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_SERVER attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_NBNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_DNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_ADDRESS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> initiating EAP_IDENTITY method (id 0x00)
Mar 16 10:34:09 charon 12[CFG] <con-mobile|33> selected peer config 'con-mobile'
Mar 16 10:34:09 charon 12[CFG] <33> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Mar 16 10:34:09 charon 12[CFG] <33> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Mar 16 10:34:09 charon 12[CFG] <33> looking for peer configs matching 10.19.8.254[%any]...xxx [192.168.43.71]
Mar 16 10:34:09 charon 12[IKE] <33> received 51 cert requests for an unknown ca
...
5c:b8:69:fe:8d:ef:c1:ed:66:27:ee:b2:12:0f:72:1b:b8:0a:0e:04
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for unknown ca with keyid 4a:5c:75:22:aa:46:bf:a4:08:9d:39:97:4e:bd:b4:a3:60:f7:a0:1d
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for "CN=pfsense, C=GE, ST=Germany, L=Ingolstadt, O=mm, OU=m"
...
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for unknown ca with keyid 87:c1:62:a6:79:1e:bb:b9:37:a8:fe:4e:2f:35:0e:ff:00:4b:eb:e0
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #3 of 3, reassembled fragmented IKE message (1344 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(3/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (356 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #2 of 3, waiting for complete IKE message
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(2/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (580 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #1 of 3, waiting for complete IKE message
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(1/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (580 bytes)
Mar 16 10:34:09 charon 16[JOB] next event in 19s 998ms, waiting
Mar 16 10:34:09 charon 16[JOB] next event in 19s 998ms, waiting
Mar 16 10:34:09 charon 12[NET] <33> sending packet: from 10.19.8.254[500] to xxx [12513] (473 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Mar 16 10:34:09 charon 12[IKE] <33> sending cert request for "C=GE, ST=Germany, L=Ingolstadt, O=mm, E=m-my@online.de, CN=vpnca, OU=m"
Mar 16 10:34:09 charon 16[JOB] next event in 19s 999ms, waiting
Mar 16 10:34:09 charon 16[JOB] next event in 19s 999ms, waiting
Mar 16 10:34:09 charon 12[IKE] <33> remote host is behind NAT
Mar 16 10:34:09 charon 12[IKE] <33> local host is behind NAT, sending keep alives
Mar 16 10:34:08 charon 12[CFG] <33> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> proposal matches
Mar 16 10:34:08 charon 12[CFG] <33> selecting proposal:
Mar 16 10:34:08 charon 12[IKE] <33> IKE_SA (unnamed)[33] state change: CREATED => CONNECTING
Mar 16 10:34:08 charon 12[IKE] <33> xxx is initiating an IKE_SA
Mar 16 10:34:08 charon 12[ENC] <33> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Mar 16 10:34:08 charon 12[IKE] <33> received Vid-Initial-Contact vendor ID
Mar 16 10:34:08 charon 12[IKE] <33> received MS-Negotiation Discovery Capable vendor ID
Mar 16 10:34:08 charon 12[IKE] <33> received MS NT5 ISAKMPOAKLEY v9 vendor ID
Mar 16 10:34:08 charon 12[CFG] <33> found matching ike config: 10.19.8.254...%any with prio 1052
Mar 16 10:34:08 charon 12[CFG] <33> candidate: 10.19.8.254...%any, prio 1052
Mar 16 10:34:08 charon 12[CFG] <33> candidate: %any...%any, prio 24
Mar 16 10:34:08 charon 12[CFG] <33> looking for an IKEv2 config for 10.19.8.254...xxx
Mar 16 10:34:08 charon 12[ENC] <33> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Mar 16 10:34:08 charon 12[NET] <33> received packet: from xxx [12513] to 10.19.8.254[500] (544 bytes)
k-zertifikat_01 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.03.2019, aktualisiert um 15:52 Uhr
Ich bin Netzwerkanfänger und hoffe dass Ihr mich nicht gleich zerreist.
Keine Sorge, alles gut
Keine VPN-Verbindung mit WIN 10 - Fehlermeldung IKE-Authentifizierung - Anmeldeinformationen sind nicht akzeptabel
Das ist die typische Fehlermeldung wenn du das exportierte Zertifikat nicht oder nicht richtig in Windows mit dem Cert Manager importiert hast !! Oder generell bei der Erstellung ein Fehler gemacht wurde.
Genau dann kommt diese Fehlermeldung !
Möglich auch das du das Zertifikat vor der Umstellung auf ein eigenes exportiert hast und dann ein neues erstellt hast und vergessen hast das neue zu importieren oder vergessen hast das alte importierte zu löschen !
Das ist sehr wichtig sonst kommt der Win Client ins Straucheln und quittiert das mit dieser Fehlermeldung !
Beachtet man das, klappt es fehlerlos...!
meine ich aus dem IPSEC Log (siehe unten) der pfsense zu erkennen, dass es am Zertifikat hängt.
So ist es !!
Und zwar ist deine CA unbekannt ! Irgend etwas ist also mit der Erstellung oder dem Export bzw. Import des Zertifikats schiefgelaufen. DA solltest du nochmal ansetzen.
Vermutlich wie oben das du mal das Zertifikat gewechselt hast oder sowas....
Lösche das importierte Zertifikat nochmal komplett raus aus Windows und exportiere und importiere es neu.
Das sollte das Problem fixen.
mit der powershell ohne splittunneling eingerichtet.
Dann mit einem Gateway Redirect so das sämtlicher Traffic in den Tunnel geroutet wird ?? Oder wie ist das zu verstehen.
So oder so hast du ein Problem mit dem Zertifikat was du erstmal fixen musst !

(P.S.: Editiere bitte mal das obige Posting und lösche die ganzen "received cert request for unknown ca with keyid " Zeilen bis auf 2oder 3 weg. Es reicht wenn man das einmal sieht. Nur um das Tutorial hier nicht unnötig aufzublähen ! Ggf. auch etwas anonymisieren http://www.utrace.de/?query=109.41.194.92 )
Bitte warten ..
Mitglied: mtb931
16.03.2019 um 22:45 Uhr
Danke für's Verständnis. Log hab ich gekürzt und etwas anonymisiert.
Um sicher zugehen habe ich das Zertifikat in WIN mit der certmgr gelöscht. In der pfsense das Zertifikat unter "certivicates" und die CA unter "CAs" gelöscht und nach Anleitung noch einmal erstellt.
Unter "CAs" wie beschrieben den Export der .crt durchgeführt und in WIN importiert - Lokaler Computer - das neue Zertifikat steht jetzt wie im Bild der Anleitung drin.
Phase 1 angepasst - das neu erstellte Server-Zertifikat ausgewählt.
VPN Verbindung wie beschrieben mit Powershell erstellt.

Ergebnis:
Die Android Geräte mit Strong Swan funktionieren erwartungsgem. nach dem Wechsel auf das neue Zertifikat einwandfrei.
WIN10 --> Fehlermeldung - ungültiges Aufkommen erhalten

Im pfsense LOG gibt es immer noch die die "received cert request for unknown ca" Zeilen, welche auf ein Problem mit dem Zertifikat hindeuten.
Danach hat sich aber etwas verändert - ich gehe jedoch davon aus, dass es mit dem Zertifikat immer noch nicht passt.
Bin etwas ratlos.
LOG pfsense:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> lease 172.19.8.1 by 'vpnuser' went offline
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: DELETING => DESTROYING
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (80 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating INFORMATIONAL response 6 [ ]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA deleted
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: ESTABLISHED => DELETING
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> deleting IKE_SA con-mobile[1] between 10.19.8.254[pfsense]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> received DELETE for IKE_SA con-mobile[1]
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed INFORMATIONAL request 6 [ D ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (80 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (256 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 5 [ AUTH CPRP(ADDR SUBNET U_BANNER) N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(NO_PROP) ]
Mar 16 21:10:25 charon 13[CHD] <con-mobile|1> CHILD_SA con-mobile{1} state change: CREATED => DESTROYING
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> failed to establish CHILD_SA, keeping IKE_SA
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> no acceptable proposal found
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> configured proposals: ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> no acceptable ENCRYPTION_ALGORITHM found
...
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> no acceptable ENCRYPTION_ALGORITHM found
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> selecting proposal:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> found matching child config "con-mobile" with prio 12
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> candidate "con-mobile" with prio 10+2
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> 172.19.8.1/32|/0
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> proposing traffic selectors for other:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> 0.0.0.0/0|/0
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> proposing traffic selectors for us:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> building UNITY_BANNER attribute
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> building INTERNAL_IP4_SUBNET attribute
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> no virtual IP found for %any6 requested by 'vpnuser'
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> peer requested virtual IP %any6
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> assigning virtual IP 172.19.8.1 to peer 'vpnuser'
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> assigning new lease to 'vpnuser'
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> peer requested virtual IP %any
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> maximum IKE_SA lifetime 28745s
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> scheduling reauthentication in 28205s
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: CONNECTING => ESTABLISHED
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] established between 10.19.8.254[pfsense]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> authentication of 'pfsense' (myself) with EAP
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> authentication of '192.168.43.71' with EAP successful
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 5 [ AUTH ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (112 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (80 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 4 [ EAP/SUCC ]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> EAP method EAP_MSCHAPV2 succeeded, MSK established
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (80 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (144 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (144 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (112 bytes)
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> initiating EAP_MSCHAPV2 method (id 0xEC)
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> received EAP identity 'vpnuser'
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> parsed IKE_AUTH request 2 [ EAP/RES/ID ]
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (96 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (276 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (1236 bytes)
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ EF(2/2) ]
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ EF(1/2) ]
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> splitting IKE message (1440 bytes) into 2 fragments
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> sending end entity cert "CN=pfsense, C=DE, L=Ingolstadt"
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> authentication of 'pfsense' (myself) with RSA signature successful
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> peer supports MOBIKE
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_SERVER attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_DNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_ADDRESS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_SERVER attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_NBNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_DNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_ADDRESS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> initiating EAP_IDENTITY method (id 0x00)
Mar 16 21:10:25 charon 11[CFG] <con-mobile|1> selected peer config 'con-mobile'
Mar 16 21:10:25 charon 11[CFG] <1> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Mar 16 21:10:25 charon 11[CFG] <1> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Mar 16 21:10:25 charon 11[CFG] <1> looking for peer configs matching 10.19.8.254[%any]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 11[IKE] <1> received 52 cert requests for an unknown ca
Bitte warten ..
Mitglied: aqui
16.03.2019, aktualisiert um 23:05 Uhr
Das Tutorial hatte nach einem kosmetischen Update noch ein paar Fehler. Die sind aber mit neuen Bildern und Text jetzt korrigiert.
Habe das eben auf 2 verschiedenen pfSense HW Plattformen und jeweils 4 Clients aller Betriebssysteme nochmal getestet.
Funktioniert absolut fehlerlfrei. Der Fehler liegt irgendwo in deinem Zertifikat.
Im Zweifel löschst du die CA nochmal komplett und erstellst die neu. Die IPsec VPN Konfig musst du nicht ändern.
Bitte warten ..
Mitglied: mtb931
27.03.2019 um 22:36 Uhr
Danke für die Unterstützung. Habe Konfiguration aus dem Tutorial noch einmal gelöscht und von vorne mit dem Einrichten der CA bis zur WIN10 Client Konfiguration durchgearbeitet.
Verflixt - ich komm nicht weiter.
Die Fehlermeldung WIN10 VPN Verbindung : "Fehlermeldung IKE-Authentifizierung - Anmeldeinformationen sind nicht akzeptabel" belibt.
Der StrongSwan VPN Client auf den Androiden funktioniert wie einwandfrei.
Um das Tutorial Posting nicht weiter aufzublähen - gibt es vielleicht eine Chance für eine direkte Hilfe ?
Bitte warten ..
Mitglied: aqui
28.03.2019 um 10:39 Uhr
Diese Fehlermeldung kommt wenn man das Zertifikat NICHT oder falsch importiert !!
Irgendwas machst du da noch falsch.
Hab es gerade hier testweise mit aktueller pfSense Firmware und aktuellem Win10 aufgesetzt.... Funktioniert fehlerfrei auf 3 ! Windows 10 Rechnern !
Bitte warten ..
Mitglied: gublgubl
27.04.2019 um 23:17 Uhr
Vielen Dank fuer diese super Anleitung. Es hat alles auf anhieb funktioniert, da alles gut erklaert ist.

Ein kleines Problem habe ich allerdings nun, was ich nicht beheben kann.
Die Verbindung wird aufgebaut und ich kann das remote netzwerk von windows 10 aus erreichen.
Nach einer gewissen Zeit geht diese allerdings verloren, der Tunnelstatus bleibt aber auf aktiv. Da das ganze Neuland fuer micht ist, weis ich nicht, wo ich anfangen soll zu suchen. Ich habe mal versucht die Timeouts hochzusetzen, das hatte allerdings keinen Effekt. Nach einigem Lesen vermute ich, dass die Neuaushandlung der Phase 2 nicht funktioniert?

01.
Apr 27 20:14:45	charon: 10[ENC] <con-mobile|34> generating CREATE_CHILD_SA response 184 [ N(NO_PROP) ]
02.
Apr 27 20:14:45	charon: 10[CHD] <con-mobile|34> CHILD_SA con-mobile{2463} state change: CREATED => DESTROYING
03.
Apr 27 20:14:45	charon: 10[IKE] <con-mobile|34> failed to establish CHILD_SA, keeping IKE_SA
04.
Apr 27 20:14:45	charon: 10[IKE] <con-mobile|34> no acceptable proposal found
05.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
06.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
07.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
08.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
09.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
10.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
11.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
12.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
13.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
14.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
15.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
16.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
17.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
18.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
19.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
20.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
21.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
22.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
23.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
24.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
25.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable INTEGRITY_ALGORITHM found
26.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
27.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable INTEGRITY_ALGORITHM found
28.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
29.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> no acceptable DIFFIE_HELLMAN_GROUP found
30.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> selecting proposal:
31.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> found matching child config "con-mobile" with prio 4
32.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> candidate "con-mobile" with prio 2+2
33.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> 10.0.10.200/32|/0
34.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> proposing traffic selectors for other:
35.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> 10.0.0.0/24|/0
36.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> proposing traffic selectors for us:
37.
Apr 27 20:14:45	charon: 10[CFG] <con-mobile|34> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
38.
Apr 27 20:14:45	charon: 10[ENC] <con-mobile|34> parsed CREATE_CHILD_SA request 184 [ SA No TSi TSr ]
39.
Apr 27 20:14:45	charon: 10[NET] <con-mobile|34> received packet: from 92.666.666.255[4500] to 666.666.20.201[4500] (304 bytes)
Bitte warten ..
Mitglied: aqui
28.04.2019, aktualisiert 29.04.2019
Es hat alles auf anhieb funktioniert, da alles gut erklaert ist.
Danke für die Blumen
Was böse ist: no acceptable ENCRYPTION_ALGORITHM found
Da stimmt irgendwas mit deinen angebotenen Encryption Optionen nicht bzw. ein Mismatch der zum Abbruch führt.
Auch die DH Group stimmt nicht.
Du solltest nochmal ganz genau überprüfen das du auch wirklich überall die Group 14 verwendest in Client UND Server ! Du hast definitiv einen Fehler in der Eingabe der Schlüsselparameter gemacht ! Das zeigen die IPsec Fehlermeldungen deutlich !
Eine saubere Einwahl sähe im pfSense Log unter "IPsec" so aus:
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> config: 192.168.1.0/24|/0, received: 0.0.0.0/0|/0 => match: 192.168.1.0/24|/0
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> selecting traffic selectors for us:
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> proposal matches
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> selecting proposal:
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> found matching child config "con-mobile" with prio 4
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> candidate "con-mobile" with prio 2+2
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> 10.111.222.1/32|/0
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> proposing traffic selectors for other:
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> 192.168.1.0/24|/0
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> proposing traffic selectors for us:
Apr 29 08:02:11	charon		15[IKE] <con-mobile|2> assigning virtual IP 10.111.222.1 to peer 'user1'
Apr 29 08:02:11	charon		15[CFG] <con-mobile|2> reassigning offline lease to 'user1'
Apr 29 08:02:11	charon		15[IKE] <con-mobile|2> maximum IKE_SA lifetime 28742s
Apr 29 08:02:11	charon		15[IKE] <con-mobile|2> scheduling reauthentication in 28202s
Apr 29 08:02:11	charon		15[IKE] <con-mobile|2> IKE_SA con-mobile[2] state change: CONNECTING => ESTABLISHED
Apr 29 08:02:11	charon		15[IKE] <con-mobile|2> IKE_SA con-mobile[2] established between 10.99.1.99[pfsense]...88.1.2.3[dialin.vodafone.de] 
Beachte oben die Aushandlung der Proposals !
Deine o.a Fehlermeldungen sind wenigstens nicht normal und sollten NICHT auftauchen !
Bitte warten ..
Mitglied: gublgubl
02.05.2019 um 19:37 Uhr
Danke fuer den Hinweis
Ich habe die logs durchgeschaut und bekomme genau die gleichen Angaben, nur beim "Rekey" geht was schief denke ich.
Es sieht bei der ersten Einwahl genau so aus und da funktioniert auch alles wunderbar. Alle Parameter stimmen mit dem Log ueberein.
active_connection - Klicke auf das Bild, um es zu vergrößern

Habe schon einiges ausprobiert, wie z.B. DPD disabled

Ist es sinnvoll den rekey zu disablen? Fuer Windows 7 wird es anscheinen empfohlen
https://wiki.strongswan.org/projects/strongswan/wiki/WindowsClients#CHIL ...

01.
May 2 17:32:40	charon: 12[CFG] <con-mobile|14> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
02.
May 2 17:32:40	charon: 12[CFG] <con-mobile|14> 10.0.10.200/32|/0
03.
May 2 17:32:40	charon: 12[CFG] <con-mobile|14> proposing traffic selectors for other:
04.
May 2 17:32:40	charon: 12[CFG] <con-mobile|14> 10.0.0.0/24|/0
05.
May 2 17:32:40	charon: 12[CFG] <con-mobile|14> proposing traffic selectors for us:
06.
May 2 17:32:40	charon: 12[IKE] <con-mobile|14> activating CHILD_REKEY task
07.
May 2 17:32:40	charon: 12[IKE] <con-mobile|14> activating new tasks
08.
May 2 17:32:40	charon: 12[IKE] <con-mobile|14> queueing CHILD_REKEY task
09.
May 2 17:32:37	charon: 16[CFG] vici client 405 disconnected
10.
May 2 17:32:37	charon: 16[CFG] vici client 405 requests: list-sas
11.
May 2 17:32:37	charon: 11[CFG] vici client 405 registered for: list-sa
12.
May 2 17:32:37	charon: 05[CFG] vici client 405 connected
13.
May 2 17:32:35	charon: 13[CFG] vici client 404 disconnected
14.
May 2 17:32:35	charon: 13[CFG] vici client 404 requests: list-sas
15.
May 2 17:32:35	charon: 13[CFG] vici client 404 registered for: list-sa
16.
May 2 17:32:35	charon: 08[CFG] vici client 404 connected
17.
May 2 17:32:32	charon: 14[CFG] vici client 403 disconnected
18.
May 2 17:32:32	charon: 14[CFG] vici client 403 requests: list-sas
19.
May 2 17:32:32	charon: 14[CFG] vici client 403 registered for: list-sa
20.
May 2 17:32:32	charon: 09[CFG] vici client 403 connected
21.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> nothing to initiate
22.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> activating new tasks
23.
May 2 17:32:31	charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{63} state change: CREATED => DESTROYING
24.
May 2 17:32:31	charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{17} state change: REKEYING => INSTALLED
25.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> CHILD_SA rekeying failed, trying again in 9 seconds
26.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> failed to establish CHILD_SA, keeping IKE_SA
27.
May 2 17:32:31	charon: 09[CFG] <con-mobile|14> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
28.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built
29.
May 2 17:32:31	charon: 09[ENC] <con-mobile|14> parsed CREATE_CHILD_SA response 44 [ N(NO_PROP) ]
30.
May 2 17:32:31	charon: 09[NET] <con-mobile|14> received packet: from 666.117.140.211[4500] to 666.76.59.91[4500] (80 bytes)
31.
May 2 17:32:31	charon: 09[NET] <con-mobile|14> sending packet: from 666.76.59.91[4500] to 666.117.140.211[4500] (704 bytes)
32.
May 2 17:32:31	charon: 09[ENC] <con-mobile|14> generating CREATE_CHILD_SA request 44 [ N(REKEY_SA) N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
33.
May 2 17:32:31	charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{17} state change: INSTALLED => REKEYING
34.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> establishing CHILD_SA con-mobile{63} reqid 2
35.
May 2 17:32:31	charon: 09[CFG] <con-mobile|14> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
36.
May 2 17:32:31	charon: 09[CFG] <con-mobile|14> 10.0.10.200/32|/0
37.
May 2 17:32:31	charon: 09[CFG] <con-mobile|14> proposing traffic selectors for other:
38.
May 2 17:32:31	charon: 09[CFG] <con-mobile|14> 10.0.0.0/24|/0
39.
May 2 17:32:31	charon: 09[CFG] <con-mobile|14> proposing traffic selectors for us:
40.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> activating CHILD_REKEY task
41.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> activating new tasks
42.
May 2 17:32:31	charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{62} state change: CREATED => DESTROYING
43.
May 2 17:32:31	charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{17} state change: REKEYING => INSTALLED
44.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> CHILD_SA rekeying failed, trying again in 13 seconds
45.
May 2 17:32:31	charon: 09[IKE] <con-mobile|14> failed to establish CHILD_SA, keeping IKE_SA
Bitte warten ..
Mitglied: mrsunfire
07.06.2019, aktualisiert um 09:28 Uhr
Bei mir hat die Anleitung bis einschließlich Windows 10 1809 einwandfrei funktioniert. Mit 1903 jedoch wird keine Verbindung mehr aufgebaut. Auf der pfSense sieht man auch erst gar keinen Verbindungsversuch. Hat sich hier also etwas geändert? Habe es nun auf 2 Systemen getestet, bei beiden das selbe Problem.

EDIT: ok das Problem liegt wirklich an 1903, aber nicht an der Konfiguration. Man darf die Verbindung nicht über die Taskleiste herstellen, sondern muss es über Einstellungen machen. Dann klappt es.
Bitte warten ..
Mitglied: DasBrot
08.06.2019, aktualisiert um 11:55 Uhr
Kann ich bestätigen. Mit 1903 geht es nicht mehr.
Unter welchen Einstellungen klappt bei dir die Verbindung ?
Unter Netzwerkverbindungen öffnet sich bei mir auch nur wieder das Kontext Menu aus der Taskleiste, mit welchem es nicht geht.

Eventuell wäre dies auch ein Frage für einen Baum höher. Hier wird ja ein anderes Problem besprochen.


Edit
Ok auch wenn ich den Kommentar oben absetze ist er in diesem Thema .... Mein Fehler. Habe den "Baum" falsch verstanden.
Bitte warten ..
Mitglied: aqui
08.06.2019, aktualisiert um 11:59 Uhr
Ja was denn nun ?? Der eine sagt 1809, der andere 1903....sehr verwirrend.
Fakt ist das es mit allen Win 10 Versionen bis 1809 einschliesslich fehlerlos funltioniert ! Getestet an 5 unterschiedlichen HW Plattformen.
Wenn man die Verbindung nicht über die Taskleiste herstellen kann, sondern nur über Einstellungen, dann ist das ja wohl ganz klar ein Bug in dieser Windows Version. Zeigt aber auch das es grundsätzlich ja mit dieser Version klappt und nur der Aufruf intern in Win 10 (1903) Fehler behaftet ist. Also kein Fehler des IPsec Protokolls oder der Firewall selber.
1903 ist ja so oder so die "Skandalversion" mit der man vermutlich generell vorsichtig sein sollte und das Update zurückstellen sollte in den Update Settings.
Bitte warten ..
Mitglied: DasBrot
08.06.2019 um 12:05 Uhr
Ja ich habe es korrigiert. Ich meinte natürlich die 1903 .... Habe einen weiteren Client getestet. Ab 1903 lässt sich die Verbindung nicht mehr via Taskleiste aufbauen.
Das es an Windows liegt ist unstrittig. Sie werden es aber genau so unstrittig nicht für uns ändern, so das wir einen anderen Weg finden müssen.
Bitte warten ..
Mitglied: aqui
08.06.2019, aktualisiert um 12:13 Uhr
Na ja Shortcut auf die Einstellungen oder kleine Batch geht ja auch
Oder warten auf den ersten Patch für 1903...
https://social.technet.microsoft.com/Forums/en-US/821b5675-743b-4d52-87a ...
Bitte warten ..
Mitglied: DasBrot
08.06.2019 um 12:40 Uhr
Ja so geht es ja erst mal.
Beim Erstellen kannte ich diese Möglichkeit noch nicht. Da bekommt man etwas Bammel ;) Der Link scheint aber nicht direkt mit der 1903 zu tun zu haben, scheinbar hatten einige wenige das Problem schon vorher. Hoffen wir mal auf einen Bug nicht das es ein wie auch immer entartetes neues Win 10 Feature ist. welches das Menu verhindert.
Bitte warten ..
Mitglied: aqui
08.06.2019, aktualisiert 19.06.2019
Bei MS weiss man nie ob das "Bug oder Feature" ist !
Ist aber wohl sicher ein Bug den andere Komponenten anderer Hersteller haben die gleiche Problematik mit der 1903:
https://administrator.de/content/detail.php?id=463391&nid=764817
Bitte warten ..
Mitglied: aqui
27.06.2019, aktualisiert 10.07.2019
Update:
Heute einmal 2 Winblows 10 Pro Rechner über das Media Creation Tool von einer bestehenden 1809 auf die aktuelle 1903 upgedatet um den Fehler zu reproduzieren. Und siehe da....
Es funktioniert mit aktuellen (Stand heute) 1903 auch über die Taskleiste fehlerfrei !! Das o.a. Problem lässt sich nicht mehr reproduzieren !
Vermutlich hat M$ es in der Zwischenzeit gepatcht....

1902-3 - Klicke auf das Bild, um es zu vergrößern

Dashboard mit aktivem VPN User:
1902-2 - Klicke auf das Bild, um es zu vergrößern

Ping des lokalen USB LAN Interfaces der pfSense:
1902-1 - Klicke auf das Bild, um es zu vergrößern
(Das LAN Interface klappt selbstredend auch !)

Case closed !
Bitte warten ..
Mitglied: mrsunfire
16.07.2019 um 12:59 Uhr
Bei meiner 1903 geht es noch immer nicht über die Taskleiste. Weiterhin bekomme ich auch nicht mehr als 30 MBit/s netto Datendurchsatz und das trotz i5 CPU und AES-NI crypto unter den Advanced Settings.
Bitte warten ..
Mitglied: aqui
17.07.2019, aktualisiert um 09:26 Uhr
Welchen 1903er Build nutzt du ? So ist die Aussage logischerweise wenig hilfreich.
Was den Durchsatz angeht gibt es 2 Faktoren. Bandbreite der Internet Anbindung des Clients und dessen Leistungsfähigkeit. Dazu leider keinerlei Aussage von dir.
An der Firewall mit der CPU Ausstattung wird es dann ganz sicher nicht liegen. Die kannst du als Ursache sicher ausschließen, denn die schafft Wirespeed.
Bitte warten ..
Mitglied: mrsunfire
18.07.2019, aktualisiert um 08:09 Uhr
Aktuellste Version, siehe Bild. Klicke ich via Taskleiste auf die VPN Verbindung, bleibt es bei "Verbindung wird hergestellt" hängen und es kommt keine Anmeldemaske. Interessanterweise bekomme ich aktuell auf meiner Hauptmaschine nun auch die Meldung "Falscher Parameter", obwohl die Verbindung mal funktioniert hat. Im Log der pfSense bleibt es dann hier hängen:

unbenannt2 - Klicke auf das Bild, um es zu vergrößern

01.
Jul 18 08:02:13	charon		10[JOB] <179> deleting half open IKE_SA with 192.168.1.20 after timeout
02.
Jul 18 08:01:43	charon		10[NET] <179> sending packet: from xxx[500] to 192.168.1.20[500] (473 bytes)
03.
Jul 18 08:01:43	charon		10[ENC] <179> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
04.
Jul 18 08:01:43	charon		10[IKE] <179> sending cert request for "xxx"
05.
Jul 18 08:01:43	charon		10[CFG] <179> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
06.
Jul 18 08:01:43	charon		10[IKE] <179> 192.168.1.20 is initiating an IKE_SA
07.
Jul 18 08:01:43	charon		10[ENC] <179> received unknown vendor ID: xxx
08.
Jul 18 08:01:43	charon		10[IKE] <179> received Vid-Initial-Contact vendor ID
09.
Jul 18 08:01:43	charon		10[IKE] <179> received MS-Negotiation Discovery Capable vendor ID
10.
Jul 18 08:01:43	charon		10[IKE] <179> received MS NT5 ISAKMPOAKLEY v9 vendor ID
11.
Jul 18 08:01:43	charon		10[ENC] <179> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
12.
Jul 18 08:01:43	charon		10[NET] <179> received packet: from 192.168.1.20[500] to xxx[500] (544 bytes)
Die Anbindung hat einen Upstream von 40 MBit/s. Zuvor gingen auch via LAN nicht mehr durch. Habe dann MSS Clamping in den Advanced Options von IPsec auf 1350 gesetzt. Damit schaffe ich via LAN nun knapp 200 MBit/s, was aber auch zu wenig ist. Die CPU ist dabei nicht mal 30% ausgelastet. Es ist übrigens inzwischen eine i7 CPU. WAN aber weiterhin je nach Anwendung maximal 25-30, meist eher 10-15 MBit/s. TCP/UDP ist dabei egal.
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
18.07.2019, aktualisiert um 10:42 Uhr
Schon komisch, denn hier klappt es mit 5 Rechnern unterschiedlicher Hardware völlig fehlerlos mit der o.a. Build Nummer.
Sieht dann wohl doch eher so aus als ob es doch eine Stellschraube unter Winblows 1903 ist. Nur welche...??? Das ist die große Frage...
Ist die Pest mit diesen Updates...
Bitte warten ..
Mitglied: mrsunfire
18.07.2019 um 14:30 Uhr
Auch ein anderes System mit gleichem Build hat das selbe Problem.

Kannst Du zum Geschwindigkeitsthema oder dem Parameterfehler etwas sagen?
Bitte warten ..
Mitglied: aqui
19.07.2019 um 10:16 Uhr
Was meinst du mit Parameterfehler ? Hier rennt ein APU3 mit aktiviertem AES NI Support mit guten 550 MBit was auch ein realistischer Wert ist. Mit deiner CPU sollten noch mehr drin sein.
Bitte warten ..
Mitglied: mrsunfire
19.07.2019 um 11:38 Uhr
Siehe meinen Post darüber. Windows 10 sagt "Falscher Parameter". Ich habe mich genau an die Anleitung gehalten. Auf einer anderen Maschine geht es problemlos. Wie kann ich untersuchen warum die Geschwindigkeit so gering ist? Alle Einstellungen sind der Anleitung hier identisch.
Bitte warten ..
Mitglied: mrsunfire
20.07.2019 um 07:49 Uhr
Habe die VPN Verbindung auf dem Windows 10 Client noch mal neu angelegt. Nun bekomme ich "Fehler in Richtlinienübermittlung" mit dem Code 13868. Verstehe es nicht mehr...
Bitte warten ..
Mitglied: aqui
20.07.2019, aktualisiert 07.10.2019
Habe es gerade mal nachgestellt auf einem frisch installierten 1903. Klappt fehlerlos auch aus der Taskleiste. Exakt wie oben beschrieben.
Sieht doch nach irgendeiner Stellschraube im 1903 aus....
Am Windows 10 wurde nur Cortana totgelegt, der Sperrschirm deaktiviert:
https://www.heise.de/select/ct/2019/13/softlinks/yqbc?wt_mc=pred.red.ct. ...
Sowie alle überflüssige Software deinstalliert.
Nach o.a. Tutorial das VPN angelegt und klappt auf Anhieb.
Was gerne mal vergessen wird ist das Zertifikat, was sich dann in den o.a. Fehlern äußert.
Allerdings scheint es wohl trotzdem noch manchmal unerklärliche Aussetzer bei der VPN Taskleiste zu geben.
Auch das ct' Magazin empfiehlt dann den Standard Workaround:
https://www.heise.de/select/ct/2019/21/1570459863818446#titel_1570459863 ...

Was die Performance angeht kann es nicht an deiner HW liegen. Die CPU hat genügend Reserven sofern der Krypto Support aktiviert ist.
Es kann sein du ggf. Autonegotiation Probleme am LAN oder WAN Port hast. Ggf. MTU bzw. MSS aber das sollte automatisch auf dem richtigen Wert stehen. Wenn nicht kommt es zu Fragmentierung was erheblich an de Performance kratzt. Über die CPU Last kannst du das im Dashboard sehen.
Autonegotiation ggf. an den NIC Port Countern. Dort sollten keine Error Frames zu sehen sein.
Bitte warten ..
Mitglied: mrsunfire
21.07.2019 um 08:13 Uhr
Meine NIC's stehen alle fix auf 1000base-T full-duplex. MTU ist keine gesetzt. Die CPU Last geht nie über 30%, auch wenn der Speed nicht durch kommt.
Bitte warten ..
Mitglied: msense
21.07.2019 um 20:09 Uhr
Dank dieser Anleitung kann ich nun eine VPN Verbindung von W10 und IOS mit der pfsense herstellen !
Bitte warten ..
Mitglied: msense
21.07.2019, aktualisiert um 23:29 Uhr
Hier noch ergänzende Hinweise:

Powershell Skript
Mit folgendem kann man den Parameter einfach nach Bedarf adaptieren. Ja, $false und nicht vorhanden sind ident, aber man muss suchen wie die Parameter für true sind. Damit wird das aber klar.
-SplitTunneling --> -SplitTunneling:$false

Phase1 - Interface
Das kann tricky sein, folgender Hinweis:
Wenn man mit dem WAN am ISP hängt und man hat zb Domains mit fester IP adresse registiert mit der/denen man per VPN zugreifen will, kann es sein dass die WAN IP und die Domain IP die am WAN mit ankommt NICHT ident sind. Man muss dann das Interface auf die richtige Domain IP stellen. Am besten ist es, wenn man vorher schon mal den Zugriff auf die internen Server via http eingerichtet und getestet hat, denn dann weis man dass das soweit funktioniert. (Hinweis, ein Alias für die zugewiesene statische Domain IP ist da sehr hilfreich).

W10x64 Build 1903
Bei mir kann man über die Taskleiste das VPN nicht starten. Man muss das dz. über die VPN Einstellungen machen. Wann das wieder geht...??
Nachtrag: siehe Manuelle VPN Wahl per Link

IOS12.3.1
Die Einstellungen gehen sehr einfach. Allerdings hat IOS hier auch einen Bug:
Man MUSS dz User und PWD als Parameter fest eintragen, sonst gibt es keinen Connect. Im pfsense log wäre alles ok, nur wird die Verbindung nicht final aufgebaut. Einen Bugreport bei Apple habe ich geschrieben.

Wunsch
Das Einzige was ich mir noch wünschen würde wäre zu wissen wie man das Stammzertifikat so exportiert/verarbeitet dass es mit einem Passwort geschützt ist, es aber genauso eingebunden werden kann wie beschrieben.
Bitte warten ..
Mitglied: aqui
22.07.2019 um 10:51 Uhr
Danke für das Feedback !
Bei mir kann man über die Taskleiste das VPN nicht starten. Man muss das dz. über die VPN Einstellungen machen.
Wie gesagt...hier klappt es bei 5 komplett neu installierten 1903ern Professional und 3 Maschinen die per Update von 1809 auf 1903 gezogen wurden (auch Prof.) fehlerlos !!
Die 5 neuen 1903er mit einem Media Creation Tool mit Auswahl (Edition: May 2019) installiert.
Fragt sich dann nur warum das dann klappt ??
IOS12.3.1
Kann ich auch nicht ganz bestätigen. Aktuelles iPad und iPhone 7 sowie diverse X hier mit 12.3.1. Dort reicht es zumindestens NUR den Usernamen einzutragen. Das Passwort kann man auf abfragen stellen. Auch das klappt fehlerlos ! Egal ob man das nun komplett einträgt oder nur das Passwort abfragt. (pfSense 2.4.4 p3 latest)
Bitte warten ..
Mitglied: mrsunfire
27.07.2019 um 10:51 Uhr
Die Neuinstallation des WAN-Miniport (IKEv2) Treibers hat bei mir geholfen dass es wieder funktioniert!
Bitte warten ..
Mitglied: aqui
29.07.2019 um 13:06 Uhr
Perfekt ! 👍
Bitte warten ..
Mitglied: dschlich
06.10.2019 um 14:24 Uhr
Hallo aqui,

erstmal danke für das sehr gute tutorial, was mir heute Nacht viele Erfolgserlebnisse während meinen ersten Stunden mit pfSense beschert hat!

Eine Frage habe ich allerdings und ich komme nicht weiter...

Mein Setup..
iphone via LTE -> IP-Speedport -> pfsense.

Was geht....
Ich kann mich via ssh auf meine geräte z.B. Raspberry connecten, aber wenn ich z.b. https://www.wieistmeineip.de/ aufrufe, dann bekomme ich stets die IP, welche mein Iphone vom ISP zugewiesenen bekam gemeldet und nicht wie ich annehmen würde die IP meines meines Speedport-ISP`s, also Tcom....?
Fazit, ich "surfe" also nicht "durch" das VPN...
Kann es irgendwie sein, dass mein iphone (safari) denkt es bekommt alles ausser "meiner" privaten netze nicht aus dem tunnel? Wie kann ich dafür sorgen, dass mein iphone alles, also 0.0.0.0 über den Tunnel abwickelt?

Ich habe die Option "Liste mit zugänglichenNetzwerken dem Gerät zur Verfügung stellen" gecheckt, aber wie / wo konfiguriere ich das , oder bin ich schon auf dem Holzweg?

Wäre cool, wenn du eine idee hättest.

VG Daniel
Bitte warten ..
Mitglied: aqui
06.10.2019, aktualisiert um 21:25 Uhr
viele Erfolgserlebnisse während meinen ersten Stunden mit pfSense beschert hat!
So sollte es sein !
iphone via LTE -> IP-Speedport -> pfsense.
Fazit, ich "surfe" also nicht "durch" das VPN...
Das ist klar, denn die Konfig zeigt eine Split Tunneling Konfig. Sprich nur die remoten LAN Netzwerke werden durch den Tunnel geschickt. Lokaler Internet Traffic bleibt lokal.
Die Lösung alles in den VPN Tunnel zu routen, also ein Gateway Redirect zu machen, ist aber kinderleicht. Du musst nur eine Default Route auf den Tunnel eintragen. Das o.a. Tutorial erklärt diese Option im Detail im Kapitel "Alles in den Tunnel routen...".
Bitte warten ..
Mitglied: dschlich
07.10.2019 um 23:36 Uhr
Hi aqui,

danke, da war es wohl doch zu spät für mch und ich habe diesen Absatz in der Nacht überlesen.

Ich habs gerade getestet, zuerst hatte ich keinen Erfolg, aber nachdem ich in Phase 1 unter Mobile Clients den Haken bei "Netzwerk-Liste >>x<< Liste mit zugänglichenNetzwerken dem Gerät zur Verfügung stellen" entfernte schnurrte es wie ein Kätzchen, danke!

VG Daniel
Bitte warten ..
Mitglied: aqui
08.10.2019, aktualisiert um 11:34 Uhr
Intuitiv richtig gemacht und danke für das hilfreiche Feedback !
Ich hab das Tutorial entsprechend in diesem Punkt nochmal angepasst.
Bitte warten ..
Mitglied: DasBrot
07.11.2019, aktualisiert um 13:48 Uhr
Hallo, @mrsunfire
Die hast geschrieben das du nach Neuinstallation des WMiniport treibers die VPN Verbindung wieder aus der Taskleiste heraus benutzen kannst.
Oder habe ich den Post im falschen Kontext gesehen ? Gab es da noch weitere Schritte ?
Ich habe das Problem weiterhin mit 14 Clients. Das Löschen und neustarten aller Miniport treiber aus dem Gerätemanager brachte keinen Erfolg
Gruß
Bernd

EDIT:
Ich bin einen Schritt weiter. Zumindest kommt jetzt die Benutzerauthentifizierung wieder.
Mittels dieser Anleitung :

Am Rechner als Benutzer mit „Administrator-Rechten“ anmelden
Den Registry Edit öffen
Zum Schlüssel „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Control Panel\Settings\Network“ navigieren
Den Eigentümer des Schlüssel-Ordner „Network“ ändern
Im Berechtigungen-Fenster „Erweitert“ auswählen
Im Fenster „Erweiterte Sicherheitseinstellungen“ bei Besitzer auf „Ändern“ klicken (am oberen Rand des Fensters)
Deinen Benutzernamen eingeben und Änderungen speicheren
Fenster für „Erweiterte Sicherheitseinstellungen“ schließen
Nun „Admininistratoren“ im Berechtigungsfenster auswählen
Sicherstellen, das „Vollzugiff“ ausgewählt ist und die Einstellungen übernehmen.
Doppelklick auf den Schlüssel „ReplaceVan“ und den Wert von 0 auf 2 ändern
Letzteres ist wohl nur die Ansicht. Aber wenn ich es auf 0 belasse kommt die Abfrage nicht

Allerdings erscheint dann eine Fehlermeldung Fehler 87 falscher Parameter.... Ich probiere noch etwas rum.
Bitte warten ..
Ähnliche Inhalte
Netzwerke

IPsec VPN Praxis mit Standort Kopplung zw. Cisco, IPCop, pfSense, FritzBox und mehr

Anleitung von aquiNetzwerke20 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eine Erweiterung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und soll in loser ...

Router & Routing

Routed IPsec in pfSense 2.4.4

Tipp von C.R.S.Router & Routing1 Kommentar

Sehr schöne Möglichkeit in pfSense, die ich bislang ganz übersehen hatte: Hat das schon jemand im Einsatz, z.B. für ...

Sicherheit

Schwachstellen in VPN Clients

Tipp von transoceanSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Router & Routing

PfSense Routing durch VPN-Tunnel

Tipp von FA-jkaRouter & Routing2 Kommentare

Ich hatte vorhin das Problem, dass eine pfSense keine Route auf einen OpenVPN-Client setzen kann. In der Sense war ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 3 TagenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 4 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 4 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 5 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
E-Business
Brainstorming: Zeiterfassungs- oder gesamtes Abrechnungssystem
Frage von certifiedit.netE-Business23 Kommentare

Guten Abend, alles neu macht der, naja, schon lange nicht mehr, Mai Zum Ende des Jahres, besser zum Beginn ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
Frage von matze2090MikroTik RouterOS14 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...

Netzwerkmanagement
Hausverkabelung auf billig für 8
Frage von AmateurverkablerNetzwerkmanagement10 Kommentare

Hallo Community, ich bin in eine Haus-WG eingezogen welche 7 Zimmer hat und eine Einliegerwohnung. Der Vermieter hat in ...

Weiterbildung
Thema Gehaltsverhandlung - Angemessenes Gehalt als (SAP)-Supportmitarbeiter
Frage von DennisWeberWeiterbildung10 Kommentare

Hallo Leute, ich möchte nach ca. 3 Jahre Betriebszugehörigkeit und 4 Jahre Berufserfahrung (Arbeitsjahre/ keine Ausbildungszeit) endlich eine Gehaltsanpassung ...