IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Inhaltsverzeichnis
Allgemeine Einleitung
Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern oder Homeoffice Nutzern mit Windows 10/11, Mac OS, Linux sowie Smartphones und Pads unter Apple iOS und Android an die populären Firewalls pfSense (Netgate) und ihren Fork OPNsense. (Das Setup dieser Firewalls behandelt ein separates Firewall Tutorial).
Der Client VPN Zugang erfolgt vollständig mit den bordeigenen VPN Clients auf den Endgeräten aller Betriebssysteme und OHNE extra Installation von VPN Client Zusatzsoftware.
Das Tutorial ist eng angelehnt an das Linux IKEv2 Tutorial und wird ergänzt von den weiterführenden Links am Ende mit Hinweisen zu weiteren VPN Themen.
Ziel ist es bei privaten oder Firmen VPN Vernetzungen, ohne großes Probieren, schnell zu einer funktionierenden VPN Anbindung von mobilen Benutzern zu kommen, sei es per Laptop, Tablet oder Smartphone. Vorteil der bordeigenen VPN Clients sind die deutlich bessere Integration ins Betriebssystem und die Option eines zentralen Managements z.B. über GPO usw.
Die hier vorgestellten Beispiele und Screenshots können mehr oder minder auch auf andere VPN Hardware übertragen werden. IPsec mit IKEv2 ist ein weltweiter Standard und benutzt überwiegend gleiche Algorithmen.
Ein klein wenig Basiswissen zum Thema Netzwerke, IP Adressen und IPsec VPNs sollte, wie immer, generell vorhanden sein ! Aber auch Netzwerk Laien sollten mit den hier geschilderten Werkzeugen sehr schnell zum Erfolg kommen.
Es empfiehlt sich ggf. die hiesigen Basis Tutorials (weiterführende Links am Ende) zum IPsec Protokoll noch einmal zu lesen. Für die harten Fälle bleibt dann immer das Forum mit entsprechender Hilfe.
Das Tutorial nutzt als FQDN Adressen freie DNS Hostnamen mit nip.io DNS Adressen, die auch private RFC 1918 IPs im Heimnetz auflösen. Diese dienen im Tutorial als Ersatz für feste FQDN Hostnamen oder DDNS Hostnamen (bei wechselnden Provider IPs) ohne einen DNS Server oder registrierte Hostnamen zu erzwingen. Man kann so sehr einfach FQDN Hostnamen verwenden, auch im Heimnetz.
Los gehts....
Vorbereiten der pfSense / OPNsense für die Basiskonfiguration
Die aktuellen, bordeigenen VPN Clients fast aller Betriebssysteme und Smartphones nutzen in der Regel das moderne IPsec IKEv2 VPN Verfahren. IKEv2 erfordert aus Sicherheitsgründen eine Zertifikats Prüfung des VPN Servers. Der Einsatz der onboard VPN Clients schafft damit immer eine zusätzliche VPN Sicherheit.
Dieses Plus an Sicherheit erfordert eine kleine, einfache PKI die die Firewalls schon an Bord haben.
Sofern nicht schon vorhanden, muss eine Zertifizierungstelle (CA) und mit ihr ein Serverzertifikat für die Firewal erstellt werden. Quasi also die zentrale "Meldebehörde" und ein "Server-Ausweis" mit Stempel der Behörde.
Die "Behörde" (CA) gibt man den Endgeräten jeweils mit dem Import des CA Zertifikats in den Endgeräten (Stammzertifizierungsstellen) bekannt. So kann der VPN Client den "Ausweis" des Servers überprüfen ob er gültig ist und ihm niemand einen fremden VPN Server untergeschoben hat.
Aus naheliegenden Gründen sollte das per Default installierte Server Zertifikat der pfSense oder OPNsense nicht verwendet werden !
Zur Sicherheit ist immer ein eigenes Zertifikat die Basis der Vertraulichkeit eines VPNs. Das o.g. Default Zertifikat sollte nach Abschluß der Installation des eigenen Firewall Zertifikats zwingend gelöscht werden !
Da Zertifikate Gültigkeitszeiten haben, sollte auf die Konfiguration der korrekten Zeitzone und eines NTP Servers (Uhrzeit) auf der Firewall geachtet werden.
(Wer den Umgang mit Zertifikaten scheut findet mit einem L2TP VPN, das ebenfalls bordeigene VPN Clients nutzt, eine einfachere Alternative.)
OPNsense Nutzer erstellen die Zertifikate im Menüpunkt "Trust".
Die OPNsense Screenshots zu den folgenden Konfig Schritten sind HIER zu finden.
Vorab: Wer schon eine existierende PKI bzw. CA hat überspringt diesen Schritt und generiert dann mit dieser bestehenden CA lediglich ein neues Server Zertifikat.
Die Schritte zur Zertifikats Neueinrichtung sind schnell erledigt. Dazu geht man folgendermaßen vor:
CA erstellen
- Menü: System -> Certificates (OPNsense "Trust").
Auf dem “Authorities” Reiter klicken und "+Add" für eine neue CA Authority. - Descriptive Name: Ist der Name der CA. Man kann ihn frei wählen z.B. pfSense-CA. Hier gilt es keine Leer- und Sonderzeichen zu verwenden. Binde- und Unterstrich sind erlaubt.
- Method: "Create an internal Certificate Authority"
- Key length: 2048
- Digest Algorithm: sha256
- Lifetime: Gültigkeitszeit in Tagen wählen (z.B. 10 Jahre = 3650)
- Den Rest füllt man entsprechend seiner Daten aus, Ländercode etc. Der Inhalt ist nicht wichtig für die Funktion
- "Common Name”: MUSS ein eindeutiger Name sein z.B. pfsense-ca. Es kann auch ein Domain Name sein.
- Länder Code und Standort spezifische Eintragungen entsprechend dein eigenen Vorgaben ergänzen. (ist optional)
- Save klicken zum Sichern
CA Zertifikat für VPN Clients exportieren
Das oben erstellte CA Zertifikat (Aussteller-Zertifikat) muss nun für die Installation auf den VPN Clients exportiert werden:
- Menü: System > Certificates und dort den Authorities Reiter klicken.
- Hier das blaue "Siegel Icon" rechts in der Ecke klicken das aussieht wie eine kleine Sonne. Bei Mouseover zeigt der Hilfetext "Export CA" ! Es wird eine Datei <commonname>.crt exportiert die nachher später auf die VPN Clients importiert werden muss. (Stammzertifikate)
Wie der Client Import des CA Zertifikats genau gemacht wird erklärt das Tutorial im Abschnitt mit der Einrichtung der diversen VPN Clients auf den Endgeräten.
Server Zertifikat erstellen
- Menü: System -> Certificates.
- Auf dem “Certificates” Reiter den "Add/Sign" Button klicken für die Erstellung eines eigenen Server Zertifikats.
- Method: "Create an internal Certificate”.
- Eine Beschreibung Descriptive Name angeben wie z.B. "pfSense SRV".
- Für die “Certificate Authority” wählt man jetzt die CA aus, die man gerade oben im ersten Schritt eingerichtet hat.
- Key length, Digest algorithm, und Lifetime belässt man auf dem Default 2048 und sha256. Die Lifetime wie in Schritt 1 auf den dort definierten Wert belassen sofern man nicht in einem kürzeren Abstand neue Zertifikate ausgeben will !
- Certificate Type”: Server Certificate. --> (⚠️ Das Zertifikat immer als Server Zertifikat erstellen!! (Siehe Fragen im Threadverlauf unten mit Fehlern, wenn dies vergessen wurde !) )
- Die Daten wie Ländercode usw. so belassen wie sie sind und in der CA Konfig bereits eingegeben wurden.
- Common und Alternative Names: Hier nimmt man den pfSense Hostnamen im DNS wie er als FQDN Hostnamen angezeigt wird, die WAN IP Adresse (geht nur wenn diese statisch ist !). Dieser Punkt ist extrem wichtig für den onboard Windows 10/11 IKEv2 VPN Client. Dieser prüft das Zertifikat darauf ! Hat man nur einen Common Name eingegeben und connected mit der IP Adresse verweigert der Windows 10 Client die VPN Verbindung! MacOS, iOS oder StrongSwan sind da erheblich toleranter. Der folgende Konfig Schritt deckt alle 3 Optionen ab, so das man immer auf Nummer sicher geht das es später auch mit wirklich allen Clients verlässlich klappt:
- Common Name: Der FQDN Hostname dieser pfSense/OPNsense Firewall wie im General Setup oder im DNS Setting als Hostname konfiguriert mit Domain Suffix, also z.B. "pfsense.meine.domain") ⚠️Auch ein Unterschied in der Groß- Kleinschreibung führt zu einem Fehler! FQDN Namen sind in der Regel immer klein. Eine genaue Kontrolle zahlt sich also später aus !
Bzw. im Dashboard unter "System Information"
- Unter Alternative Names jetzt “Add” klicken, “FQDN or Hostname” auswählen und nochmals den gesetzten Hostnamen der pfSense eingeben
wie oben ohne Domain Suffix. (z.B. "pfsense") - Wer eine feste WAN IP hat: Nochmals “Add” klicken, “IP Adress” auswählen und die WAN IP Adresse eingeben sofern eine feste, statische IP vorhanden ist. (⚠️Ohne feste Internet IP am Firewall WAN Port entfällt dieser Schritt!! In einem Router Kaskaden Setup, wie weiter unten beschrieben, setzt man hier die statische WAN IP aus dem Koppelnetz ein.)
- Save zum Sichern klicken.
Damit ist die Zertifikatserstellung auf der Firewall abgeschlossen...
⚠️ Das alte Default Server Zertifikat, was die pfSense oder OPNsense automatisch mitbringt, sollte man, wenn nicht schon geschehen, jetzt unbedingt LÖSCHEN !!
Dazu ist zuallererst das SSL GUI für den Webzugriff auf die Firewall auf dieses neu generierte Zertifikat einzustellen unter System --> Advanced --> Admin Access (OPNsense = System -> Administration):
Hier wählt man das eigene, zuvor generierte Zertifikat anhand seines Namens aus und geht dann zurück in die Zertifikats Verwaltung um dann das Default Zertifikat der pfSense bzw. OPNsense final zu löschen. Mit der o.a. Umstellung erhält es dann auch das "Papierkorb Symbol" was anzeigt das es nun sicher löschbar ist.
Nach einem Reboot sollte dann alles sauber sein und ein Login dann mit dem eigenen Zertifikat problemlos klappen. Im Web Browser muss man dann ggf. einer neuen Ausnahme zustimmen, da dies ein selbstgeneriertes Zertifikat ist und die meisten Browser dafür eine Ausnahme anfordern !
Sinnvoll und hilfreich sich jetzt auf dem "Dashboard" zusätzlich das IPsec Widget zu installieren zur schnellen VPN Übersicht.
Dies geschieht mit einem Klick auf "+" und Auswahl von "IPsec", damit man die IPsec VPN Verbindungen auch alle monitoren und damit managen kann:
Weiter geht es nun mit der eigentlichen IPsec VPN Einrichtung für die mobilen Benutzer...
Mobiles Client VPN auf der pfSense / OPNsense einrichten
In diesem Schritt wird der eigentliche IPsec IKEv2 Tunnel für die mobilen Benutzer eingerichtet. Dazu sind folgende Punkte der Reihe nach einzugeben:
- Menü: VPN > IPsec -> Mobile Clients.
- “IKE Extensions”: Haken setzen bei “Enable IPsec Mobile Client Support”
- “User Authentication”: Local Database anwählen (Blau markieren !)
- “Group Authentication”: None.
- “Virtual Address Pool”: Haken setzen bei “Provide a virtual IP address to clients”. ⚠️ Hier muss ein IP Netzwerk gewählt werden was komplett unbenutzt ist und NIRGENDWO sonst im gesamten Netzwerk auftaucht ! Auch nicht in VM Umgebungen usw. (Beispiel hier 10.98.1.0 /24).
- Haken setzen bei: “Provide a list of accessible networks to clients".
- Wer einen lokalen DNS Server (z.B. Windows DNS o. Filter wie PiHole/Adguard) an die Clients senden will um lokale DNS Namen auflösen zu können, setzt hier den entsprechenden Haken und trägt die DNS Server IP ein. Ansonsten leer lassen und so den am VPN Client lokal gelernten DNS verwenden.
- Der Rest bleibt ohne Haken (Default).
- Save und dann Apply klicken
IPsec Phase 1 Konfiguration
Nun erscheint automatisch der "Apply Changes" und "Create Phase 1" Knopf den man klickt. Zuerst "Apply Changes" um die Mobile Clients Einstellungen zu sichern und danach "Create Phase 1" um die IPsec Phase 1 zu definieren. Alternativ auf den Reiter "Tunnels" und klickt dort “Add P1”.
Dort dann die folgenden Eingaben einstellen:
- "Description": "Mobile IKEv2 VPN User" (was immer man will hier, ist nur kosmetisch).
- “Key Exchange version”: auf IKEv2.
- "Connection Method": auf Respond only. (Nur OPNsense!)
- "Internet Protocol" und "Interface" belässt man auf IPv4 und WAN.
- “Authentication method” auf “EAP-MSChapv2”
- “My Identifier” pfSense = Fully qualified domain name OPNsense = Distinguished name Hier jetzt den zuvor konfigurierten Common Name angeben. ⚠️Der Identifier Name MUSS zwingend mit dem "Common Name" oder einem der "Alternative names" aus dem ersten Schritt oben zur Erstellung des Server Zertfikats übereinstimmen!! Üblicherweise der oben verwendete DDNS, FQDN oder die feste IP.
- “Peer Identifier”: Any.
- “My Certificate”: Hier das zuvor erstellte Server Zertifikat aus dem ersten Schritt auswählen.
- “Encryption algorithm”: “AES” und “256”
- “Hash algorithm”: SHA256
- DH key group auf: 2 (1024 Bit) und 14 (2048 Bit) (pfSense = "Add Algorithm" und zweiten Eintrag mit DH 14 anlegen!)
- Lifetime auf 28800 (8 Std.) belassen
- MOBIKE auf enable
- Haken entfernen: Disable Rekey
- Haken entfernen: Disable Reauth
- Haken setzen bei: Enable DPD, hier Delay auf 35 und Max.failures auf dem Default von 5 belassen. Rest mit Default Settings belassen.
- Save und Apply klicken
IPsec Phase 2 Konfiguration
Jetzt springt man in der pfSense Konfig zurück auf den "Tunnels" Reiter und sieht dort den Eintrag für “Mobile Client” den man gerade eingerichtet hat und klickt darunter den “Show Phase 2 Entries” Knopf und dann “Add P2” um die Phase 2 zu konfigurieren:
- “Mode”: Tunnel IPv4
- Das Local Network Setup ist wichtig, denn es bestimmt welcher Client IP Verkehr in den VPN Tunnel geroutet wird! Default ist immer “LAN subnet”, also das lokale LAN an der pfSense (sog. Split Tunneling). Sollen zusätzliche lokale Netzwerke an der pfSense (ggf. VLANs etc.) in den Tunnel geroutet werden, dann werden auch sie hier eingetragen. (Bsp: Network, 192.168.0.0 /16 routet z.B. alle 192.168er IP Netze in den VPN Tunnel)
- ⚠️Wer den gesamten VPN Client Traffic in den Tunnel routen will (Gateway Redirect), setzt “Local Network” auf Network, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein!
- “NAT/BINAT”: None.
- "Description”: "Mobile Nutzer Phase 2". (was immer man will hier, ist nur kosmetisch).
- “Protocol”: ESP
- “Encryption Algorithms”: Hier Haken bei AES" und "256” wählen und Haken bei AES256-GCM und Auto dahinter.
- “Hash Algorithms”: SHA1, SHA256, SHA384, SHA512 anhaken. (Fehlendes SHA1 ergibt "ungültiges Aufkommen" Fehler bei Windows!
- “PFS Key Group”: Off (Wichtiger Hinweis !: Bei Timeouts unter Windows, Mac OS / iOS HIER und HIER beachten !)
- “Lifetime”: 3600 (1 Std.)
- Save und dann Apply klicken
Überblick Phase1/Phase2 Einstellungen
pfSense Setup:
OPNsense Setup:
⚠️ Bei der OPNsense nicht vergessen "IPsec" global unter den Connections zu aktivieren, was auch die automatischen WAN Port Firewall Regeln für den VPN Zugang einrichtet!
Benutzername und Passwörter für den VPN Zugriff einrichten
- Menü: VPN > IPsec -> Pre-Shared Keys Reiter wählen. Hier “Add” (Hinzufügen) klicken um einen neuen VPN Benutzer mit Usernamen und Passswort einzurichten:
- “Identifier” ist der Benutzername fürs Login z.B. testuser
- “Secret type”: EAP
- “Pre-Shared Key”: Ist das Passwort für den Benutzer z.B. Geheim123. ⚠️Die Firewall mag auch hier keine äüöß Sonderzeichen. Also nur Ziffern- und Groß- Kleinschreibung nutzen!
- Optional kann man unter Virtual Address Pool und DNS Server (nur pfSense) benutzerspezifisch feste IPs aus dem IP Pool und DNS Server IPs vergeben
- Weitere optionale Felder leer lassen
- Save klicken zum Sichern und ggf. für weitere Benutzernamen wiederholen
- Dann “Save” und “Apply” klicken
Firewall Regeln für IPsec einrichten
⚠️Die für IPsec relevanten, eingehenden WAN Port Regeln (ESP, UDP 500 und UDP 4500), die den Zugang auf die WAN IP Adresse der Firewall für IPsec VPNs passieren lassen, sollten immer automatisch eingerichtet sein aber eine Kontrolle kann an dieser Stelle nicht schaden !
Auf dem virtuellen IPsec Tunnel Interface der Firewall muss eingehend eine any any Rule eingerichtet sein damit Traffic über den VPN Tunnel passieren darf.
(Screenshot OPNsense. Gleiches Regelset gilt für die pfSense)
Damit ist die IKEv2 Client VPN Konfiguration der Firewall abgeschlossen. Im nächsten Schritt folgt die Einrichtung der onboard VPN Clients auf den Endgeräten.
Windows VPN Client einrichten
⚠️ (21H2 oder älter benötigt diesen Patch! 22H2 oder neuer erfordert keinen Patch!)
Wie Eingangs bereits beschrieben ist die gute Nachricht, das KEIN dedizierter, extra VPN Software Client wie Shrew, Greenbow usw. mehr benötigt wird um eine Client VPN Verbindung mit der pfSense oder OPNsense zu etablieren !!
Das VPN Client Setup wird vollständig mit Windows 10 Bordmitteln und ohne jegliche zusätzliche Software erledigt. Ein erheblicher Vorteil gegenüber der FritzBox und anderen IPsec basierten VPN Servern, die eine separate, extra zu installierende IPsec Clientsoftware erzwingen. Dies entfällt hier!
Zertifikat in Windows importieren
- Jetzt kommt das oben exportierte CA Zertifikat in Form der .crt Datei wieder ins Spiel ! Dieser Schritt ist sehr wichtig. Wird er vergessen kann der Client den VPN Tunnel nicht aufbauen ! Diese CA Zertifikats Datei wird unter Windows 10 mit dem Zertifikats Manager importiert. Smartphones usw. sendet man es z.B. ganz einfach per Email Attachment.
- Auf dem Windows 10 Client PC die oben exportierte Zertifikats Datei kopieren und <name>.crt doppelklicken und "Öffnen".
- "Zertifikat installieren" klicken.
- Dann "Lokaler Computer" und "Weiter" auswählen und die Security Abfrage mit "Ja" abnicken.
- Jetzt "Alle Zertifikate in folgendem Speicher speichern" auswählen und "Durchsuchen" klicken
- Hier "Vertrauenswürdige Stammzertifizierungsstellen" auswählen und mit "OK" bestätigen.
- Dann "Weiter" klicken und Beenden mit OK. Hat alles geklappt erscheint ein Fenster: "Der Importvorgang war erfolgreich".
- Fertig...
VPN Verbindung mit Windows anlegen
Der Client wird ganz normal über das Windows Netzwerk Setup -> VPN hinzugefügt:
An dieser Stelle sei nochmals darauf hingewiesen das bei der Verwendung von FQDN oder DDNS Hostnamen für die Server Adresse diese oben im Zertifikat (CN, SAN) enthalten sein muss, ansonsten scheitert die Windows Authentisierung!
Gesamten VPN Client Traffic in den VPN Tunnel senden
Wer den gesamten VPN Client Traffic in den IPsec VPN Tunnel routen will um z.B. in einem öffentlichen Hotspot gesichert über seinen Heimanschluss zu surfen etc. lässt schlicht und einfach den Parameter -SplitTunneling im Add-VpnConnection Kommando oben weg oder trägt ihn explizit als false ein (-SplitTunneling --> -SplitTunneling:False). Siehe dazu auch HIER.
Der Default Gateway Redirect Haken im VPN Adapter muss natürlich gesetzt sein damit sämtlicher Traffic in den VPN Tunnel geht.
Damit werden dann auch für andere Clients (Apple, Smartphone, etc.) alles in den VPN Tunnel gesendet.
Der Thread Hinweis des Kollegen @justas unten in den weiterführenden Links hat weitere Infos zu dieser Thematik.
Windows VPN Verbindung und Security mit Powershell anpassen
❗️Die folgenden Schritte sind optional! Wer mit den klassischen Standard Einstellungen leben kann überspringt dieses Kapitel!!
Bei Bedarf und dem Wunsch nach höherer Verschlüsselung unter Windows kann man mit der Powershell die IPsec Phase 1 oder Phase 2 Krypto Parameter des Windows Clients noch weiter anpassen.
Windows nutzt im Default z.B. nur DH Group 2. Hier kann man mit der Powershell nacharbeiten und DH Group 14 aktivieren. Ebenso das sichere GCM Verfahren wie z.B. hier empfohlen.
Analog müssen solche Änderungen am Client dann natürlich auch in den IPsec P1 und P2 Settings der Firewall oben unbedingt angepasst werden !
Nochmal zur Erinnerung: Das Folgende ist, wie auch die oben bereits genannte Registry Anpassung, nicht zwingend ! Dies ist nur gedacht für diejenigen, die die Verschlüsselung anpassen möchten. (Siehe dazu auch hier).
Wer mit den Windows Default Settings leben kann ignoriert diesen Part.
Man öffnet dazu mit einem Rechtsklick auf das Powershell Icon die Powershell mit Administratorrechten oder als Administrator ausführen und gibt folgende 3 Befehle ein, die man hier einfach per Cut and Paste aus der Vorlage nimmt.
⚠️ Bevor man das macht, sollte man das Kommando natürlich VORHER mit dem Text Editor oder Notepad++ editieren ! und auf seine persönlichen IP Adress Belange anpassen ! ##
Add-VpnConnection -Name "pfSense" -ServerAddress "88.1.2.3" -TunnelType IKEv2 -EncryptionLevel Required -AuthenticationMethod EAP -SplitTunneling -AllUserConnection
- Den Parameter "-Name" kann man frei wählen. Es ist der Name der VPN Verbindung wie er in der Auswahl erscheint. Dieser gewählte Name MUSS bei den 2 folgenden Kommandos unter ConnectionName absolut identisch sein !
- "-ServerAddress" bestimmt die WAN IP Adresse oder Hostname (DynDNS) der pfSense, sprich das VPN Server Ziel. Hier kann man statt der IP Adresse natürlich auch einen Domainnamen verwenden wie z.B. meinepfsense.dyndns.org wenn man mit DynDNS arbeitet oder man einen festen DNS Hostnamen hat.
Das nächste Powershell Kommando setzt z.B. die IPsec Schlüssel Parameter:
Set-VpnConnectionIPsecConfiguration -ConnectionName "pfSense" -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -DHGroup Group14 -PfsGroup None -PassThru -AllUserConnection
Last but not least das letzte Win10 PS Kommando um das VPN Routing zu aktivieren mit:
Add-VpnConnectionRoute -ConnectionName "pfSense" -DestinationPrefix 192.168.1.0/24 -PassThru
- "-DestinationPrefix 192.168.1.0/24" gibt das lokale LAN Netzwerk der pfSense an. Ggf. an eigene IP Adress Nutzung anpassen.
Z.B. routet "-DestinationPrefix 192.168.0.0/16" alle 192.168er Netze in den VPN Tunnel und "-DestinationPrefix 10.0.0.0/8" alle 10er Netze usw.
Bei unterschiedlichen Netzen, die sich nicht über die Maske zusammenfassen lassen, wiederholt man das Add-VpnConnectionRoute Kommando für alle diese Netze.
Wer die Powershell fürchtet kann natürlich das VPN Client Setup auch im Windows Netzwerk- und Freigabecenter über die VPN Konfig zusammenklicken wie oben schon beschrieben:
Den VPN Login Usernamen und Passwort kann man unter Windows 10 speichern damit man ihn nicht immer wieder neu eingeben muss mit jedem Start des VPNs:
Noch eleganter ist es natürlich statt eines separaten VPN Users gleich den lokalen Usernamen des Windows Logons zu verwenden:
Ändern sich diese Daten kann man sie im Setup unter Netzwerk und Internet nach Auswahl der VPN Verbindung in den erweiterten Optionen auch wieder löschen und neu setzen.
VPN Verbindung unter Windows per Script automatisieren
Für mehr Bedienungskomfort kann man z.B. den VPN Aufruf in ein einfaches .bat Skript verpacken und elegant per Doppelklick ausführen:
@set vpn=pfSense-VPN
@rasdial | find "%vpn%" >nul
@if errorlevel 1 rasdial %vpn% >nul && echo Verbunden mit pfSense VPN ! && exit /b
@rasdial %vpn% /d >nul && echo pfSense-VPN getrennt
Apple MacOS VPN Client einrichten
Ebenso wie bei Windows ist keine VPN Client Software erforderlich. Im ersten Schritt wird auch hier die oben von der Firewall exportierte CA Zertifikatsdatei in den Mac Schlüsselbund importiert und als vertrauenswürdig zu markiert:
- Dazu die .crt Datei doppelklicken zum Importieren
- In der Schlüsselbundverwaltung das Zertifikat doppel- oder rechtsklicken und "Information" wählen.
- Hier jetzt unter Vertrauen das Aufklappmenü öffnen und "Bei Verwendung dieses Zertifikats" die Einstellung auf Immer vertrauen setzen.
- Schlüsselbundverwaltung schliessen
- Unter Apfel -> Systemeinstellungen -> Netzwerk und + das VPN mit der Funktion "IKEv2" hinzufügen und einen Namen vergeben z.B. "pfSense":
Die Entfernte ID entspricht der Identity also dem Distinguished Name (My identifier, FQDN) des Server Zertifikats. Bei Verwendung von DDNS Hostnamen (myfritz etc.) wird dieser hier eingetragen.
Die Lokale ID bleibt leer.
Mit Klick auf "Authentifizierungseinstellungen" konfiguriert man abschliessend Username und Passwort.
Haken setzen bei "VPN-Status in der Menüleiste zeigen" so das man die VPNs bequem über die Taskleiste steuern kann.
Die Installation des Mac OS Clients ist damit abgeschlossen.
Beim Apple IKEv2 VPN Client wird bei aktivem VPN generell aller Traffic in den Tunnel gesendet (Gateway Redirect). Per se lassen sich also weitere remote Netze erreichen sofern vorhanden. Ein reines Split Tunneling erreicht man nur mit etwas Handarbeit. (Siehe dazu auch hier und hier).
Eine Regelung wie oben beim Windows VPN Client über die Client Options ist bei Apple nur mit dem L2TP VPN Client möglich.
iPhone und iPad (iOS) VPN Client einrichten
Das Einrichten des VPN Clients ist, wie üblich bei Apple iOS, eigentlich ein Selbstgänger der, Menü geführt, fast keiner Erklärung mehr bedarf.
Zuallererst muß auch hier wieder das oben gesicherte CA Zertifikat importiert werden !
Das erledigt man ganz einfach indem man sich die Zertifikats Datei als Email Attachment (Email Anhang) aufs iPhone/iPad sendet. Entweder direkt oder über einen Email Account auf den man mit dem iPhone Web Browser (Safari) zugreifen kann. Als iChat Anhang geht es ebenso wie mit Airdrop oder USB Stick.
Man klickt dann einfach auf die Zertifikatsdatei und importiert und installiert sie damit.
In der Profilansicht unter Allgemein -> Profile kann man das kontrollieren das es dort auch richtig gelandet ist:
(Der Menüpunkt Allgemein -> Profile erscheint nur wenn mindestens ein Profil (Zertifikat) importiert wurde !)
Der Rest ist dann schnell erledigt...:
- Auf iPhone oder iPad geht man ins Setup (Zahnrad) und wählt dort das Menü Allgemein --> VPN und fügt einen VPN Account vom Typ IKEv2 hinzu. Ganz genau so wie es oben schon bei Mac OS und Windows beschrieben würde.
- Identisch dazu trägt man die Entfernte ID ein, die wieder dem Common Name entspricht (hier im Beispiel pfsense) und setzt die Benutzer Authentisierung auf Benutzername und Passwort mit den in der pfSense definierten Userdaten unter IPsec -> Pre Shared Keys.
Aktiviert man jetzt das VPN ist es sofort verbunden:
Ein sehr hilfreiches Tool bzw. App um die Verbindung ins remote Netz zu testen (Ping etc.) sind die kostenlosen HE-Tools aus dem Apple App Store.
Android VPN Client einrichten
Die Verfügbarkeit von IKEv2 unter Android ist in aktuellen Android Versionen in der Regel ähnlich einheitlich wie bei Apple iOS.
Die Einrichtung des onboard Clients ist identisch zu der unter iOS und beginnt auch hier wieder mit dem Import des oben gesicherten CA Zertifikats, per Email, Messaging, SD Card etc.
Wichtig ist hier wiederum den VPN Typ "IKEv2" mit MSCHAPv2 zu wählen.
Android VPN Client mit Strongswan App
Sollte kein bordeigenes IKEv2 auf dem Androiden verfügbar sein, muss eine entsprechende App verwendet werden.
Empfehlung als kostenfreie Alternative bietet sich als Klassiker der StrongSwan VPN Client aus dem Play Store an.
Da auch das pfSense/OPNsense VPN (und auch das vieler andere Hersteller) auf StrongSwan basiert, klappt die Installation reibungslos und sofort auf Anhieb. Zudem nutzt auch die weiter unten beschriebene Linux Variante StrongSwan.
Eine andere Alternative ist VPNcilla was auch bei FritzBox VPNs eine gute Figur macht, allerdings ist es kostenpflichtig.
Nach der Installation der StrongSwan App muss auch hier zuallererst wieder die erforderliche CA Zertifikatsdatei importiert werden.
Dazu sendet man sich auch hier am einfachsten die .crt Zertifikatsdatei wieder als Email Attachment oder per Messaging aufs Telefon wie es schon beim iPhone/iPad oder Android oben beschrieben ist. Ein simpler Doppelklick reicht dann zum Importieren.
Alternativ kopiert man sie auf die SD Karte oder den internen Speicher und installiert das Zertifikat von dort.
Einige Androiden geben ihre interne SD Karte auf dem PC als USB Speicherstick frei was noch einfacher ist oder haben eine Download App mit FTP Server oder können von Windows Freigaben (SMB/CIFS Share) kopieren. Alles geht, Hauptsache die Datei kommt irgendwie aufs Telefon oder Tablet.
Im Setup dient dann der Menüpunkt Sicherheit --> Zertifikate von SD Karte installieren zur Installation. Meist reicht auch ein simpler Doppelklick zum Import.
Hat man das Zertifikat erfolgreich importiert, kann und sollte man das unter Sicherheit --> Vertrauenswürdige Anmeldedaten (Zertifikate ansehen) bei den Nutzer Zertifikaten kontrollieren.
Strongswan App konfigurieren
Der Einrichtung des ist dann identisch wie man es oben auch schon bei den anderen Clients gesehen hat.
Der folgenden Screenshot zeigt die Einstellungen:
Wer es etwas strikter haben will weist das Zertifikat fest zu statt der automatischen Auswahl:
Nach dem Einrichten kommt auch hier die VPN Verbindung sofort zustande:
Auch hier helfen wieder die kostenlosen HE-Tools aus dem Google Play Store um die Verbindung ins remote Netz zu testen (Ping etc.)
Soll das VPN permanent aktiv sein, quasi ein "allways on", kann man das im StrongSwan Client entsprechend einstellen:
Linux VPN Client einrichten
Am einfachsten klappt die Linux Client Einrichtung über das grafische GUI Management des Network Managers wie z.B. bei Ubuntu oder RaspberryPi OS bzw. allen Distros die den NetworkManager als Netzwerk Verwaltung nutzen.
⚠️ Dies muss natürlich vorab mit apt install network-manager-strongswan installiert werden um es nutzen zu können.
Auf headless Servern ohne GUI löst man es über das klassische Setup als .conf Textdatei im Stromngswan Verzeichnis /etc/swanctl/conf.d/.
Eine moderne VICI Strongswan Konfig findet man u.a. HIER
Die dortige Konfig für eine Sophos Firewall kann man 1:1 auf die OPNsense bzw. pfSense übernehmen oder passt sie entsprechend an.
Eine einfache Strongswan Client VPN Konfig auf .conf Dateibasis unter /etc/swanctl/conf.d/ sieht z.B. so aus:
connections {
pfsense {
version = 2
remote_addrs = 88.1.2.3
vips = 0.0.0.0, ::
local {
auth = eap-mschapv2
eap_id = user
}
children {
pfsense {
remote_ts = 192.168.1.0/24
start_action = trap
}
}
}
}
secrets {
eap-user {
id = user
secret = "Geheim1234"
}
}
VPN Hardware der pfSense / OPNsense tunen
Wer APU Boards oder aktuelle CPUs mit der pfSense oder OPNsense nutzt, sollte bei VPN Nutzung in jedem Falle die Krypto Hardware Unterstützung AES-NI der CPU aktivieren um die VPN Gesamtperformance und den Durchsatz zu steigern.
Das erledigt man in den Miscellaneous Settings unter Cryptographic Hardware und überprüft dies in der Anzeige im Dashboard.
Dort aktiviert man auch gleich das IPsec Widget um immer einen Überblick aller aktiven VPN Tunnel zu haben.
Bei virtualisierten Firewalls sollte man darauf achten die AES NI Krypto Funktion der CPU auf die VMs durchzureichen. VmWare oder HyperV erledigen das automatisch, bei Proxmox muss man es z.B. bei den CPU Settings der VM separat aktivieren!
Firewall hinter einem NAT Router betreiben (sog. "Router Kaskade")
Wie im unten zitierten pfSense_Tutorial schon beschrieben, ist die technisch beste Lösung die Firewall an deren WAN/Internet Port immer direkt mit einem "NUR" Modem an einem xDSL, TV-Kabel oder Glasfaseranschluß zu betreiben.
"Nur" Modem bedeutet in diesem Kontext ein reines, nacktes Modem, also ein reines Layer 2 Gerät was NICHT am Layer 3 Forwarding (IP Routing) aktiv beteiligt ist wie z.B. ein vollständiger Router mit integriertem Modem wie im unten gezeigten Beispiel zu sehen (Kaskade).
Das Internet wird so direkt und performant an der Firewall terminiert und nicht am davor liegenden NAT Router, der quasi dann nur Performance fressender "Durchlauferhitzer" ist.
Klassische Consumer NAT Router werden hier in Foren Threads leider sehr oft fälschlicherweise als "Modem" bezeichnet was so ein Router technisch gar nicht ist ! Dieser Umstand führt dann sehr häufig zu Missverständnissen bei der Technik und Troubleshooting Threads im hiesigen Forum.
Reine "NUR" Modems für den xDSL Bereich mit denen man nichts falsch macht sind z.B. die Folgenden:
VDSL/ADSL Hybrid Modems:
https://www.draytek.de/vigor165.html
https://www.zyxel.com/de/de/products_services/vmg3006modem/
https://www.reichelt.de/vdsl2-modem-zte-h186-p254352.html
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
(FritzBox als Modem) https://www.heise.de/select/ct/2020/2/1578238295698254
Reine ADSL2+ Modems:
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...
TV Kabel Modems:
https://shop.wernerelectronic.de/antennen-und-kabelfernsehtechnik/catv-m ...
https://www.heise.de/tests/Schnelles-Kabelmodem-fuer-DOCSIS-3-1-4241602. ...
https://shop.wernerelectronic.de/antennen-und-kabelfernsehtechnik/kabelm ...
Oft lassen sich auch vorhandene Telekom Speedport Router im reinem Modem Betrieb nutzen inkl. dem Tagging bei VDSL:
Die Verwendung eines reinen NUR Modems verhindert gerade im VPN Umfeld aufwändige Konfigurationen mit Port Forwarding und ist aus Performance Sicht immer vorzuziehen wenn immer das umsetzbar ist.
Lösung mit Router Kaskade
In einigen Situationen ist es allerdings nicht möglich so ein Setup zu realisieren. Z.B. Nutzer die trotz EU weiter freier Routerwahl sog. Provider "Zwangsrouter" mit minderer Qualität und Performance betreiben müssen.
Betroffenen bleibt dann meist nichts anderes übrig als in den sauren Apfel einer Router Kaskade zu beissen.
Generell gesehen ist die oben im Tutorial beschreibene VPN Client Funktion zum Zugriff auf ein lokales Heim- oder Firmennetz auch immer mit einer Kaskade möglich, wenn man mit den o.g. Nachteilen dieses Designs leben kann oder auch muß.
Ein Kaskaden Design erfordert deshalb ein klein wenig mehr Konfigurations Aufwand, insbesondere des davorliegenden Routers.
Ein weiterer Punkt der im Forum häufig Ursache von VPN Problemen ist, ist die leidige DS-Lite Problematik:
Eine VPN Einwahl ist an Provider Anschlüssen die DS-Lite mit CGN nutzen technisch per IPv4 nicht möglich, weil das providerseitige NAT Gateway (CGN) nicht überwunden werden kann und dies eingehende IPv4 VPN Verbindungen blockt.
VPNs an DS-Lite Anschlüssen funktionieren deshalb eingehend immer nur mit IPv6 wie z.B. dieser Thread zeigt.
Ein VPN Tunnelaufbau ohne Jumphost ist nur dann an einem DS-Lite Anschluss per IPv4 möglich, wenn dieser ein VPN Initiator ist (Client), also die DS-Lite Tunnelseite aktiv den VPN Tunnel zu einem VPN Responder (Server) aufbaut. Nur so kann das bei DS-Lite Anschlüssen dazwischen liegenden CG-NAT Gateway überwunden werden. Ein VPN Responder (Server) auf DS-Lite Seite ist generell technisch nicht möglich.
Für ein Site-to-Site (Standort) VPN mit einer Seite DS-Lite Seite ist so problemlos ein VPN möglich, nicht aber für die Einwahl externer, mobiler VPN Clients auf einen DS-Lite Anschluß. Dort blockt immer das Provider CG-NAT.
Fazit:
Bucht oder migriert man auf einen DS-Lite Anschluss, sollte man bei einem VPN Umfeld mit IPv4 diesen Punkt genau beachten! Fast immer sind davon Consumer Glasfaser- und Kabel-TV Anschlüsse oder kleine lokale Provider betroffen die keinerlei IPv4 Adresskontingente mehr haben oder diese lukrativeren Business Kunden vorbehalten.
Ein vor der Firewall kaskadierter NAT Router (IP Adress Translation) verhindert durch sein NAT Firewalling erst einmal per se den Zugang der mobilen Internet VPN Clients auf die dahinterliegende Firewall. Im hiesigen Kaskaden Beispiel agiert nur die Firewall als VPN Server.
Der NAT Prozess im davor kaskadierten Router blockt generell aus dem Internet eingehende IP Pakete, so das diese die Firewall erst gar nicht mehr erreichen können. Ein gewollter Schutzeffekt, aber nachteilig für den VPN Zugang, denn VPN Pakete werden dort ebenso geblockt.
Effekt ist dann die klassische Log Fehlermeldung "Timeout..." und der Hinweis das der VPN Server nicht erreichbar ist.
Die direkte WAN Port IP Adresse der Firewall im Koppelnetz oder ein DynDNS Hostname der darauf verweist, kann man im mobilen VPN Client nicht als Ziel angeben.
Klar, denn im Koppelnetz verwendet man ja in der Regel ebenfalls private_IP_Adressen nach RFC 1918 die im Internet gar nicht geroutet werden. Ein DynDNS Verweis auf solch eine IP Adresse ist also sinnfrei da unroutebar.
Fürs Erste bleibt so die VPN Firewall mit dem davor liegenden Router erstmal unerreichbar von außen ohne eine entsprechende Port Weiterleitungs Konfiguration.
Diese Lösung ist aber kinderleicht und schnell gemacht...
Man muss lediglich nur dafür sorgen das der davor kaskadierte Router die entsprechenden, aus dem Internet eingehenden VPN Pakete, einfach 1:1 an die dahinter liegende VPN Firewall (WAN Port) "durchreicht".
Das erreicht man mit der Funktion Port Forwarding o. Weiterleitung oder auch Port Freigabe in Router oder Firewall !
Diese Funktion hat heutzutage ausnahmslos jeder handelsübliche Internet Router mit an Bord.
Die Weiterleitungs Funktion "sagt" dem Router mit einer statischen Anweisung in der Konfiguration das bestimmte, aus dem Internet eingehende Pakete, mit entsprechenden TCP oder UDP Zielports oder anderen Protokollkomponenten, einfach an eine lokale LAN IP Adresse weitergeleitet werden sollen statt sie zu verwerfen.
Diese Ziel IP Adresse für die Weiterleitung ist in einer Kaskaden Anordnung natürlich immer die dahinter kaskadierte Firewall oder auch Router der diese aus dem Internet weitergeleiteten VPN Pakete erhalten sollen.
Damit ist dann die fehlerfreie VPN Funktion, trotz blockierendem NAT Router davor, wieder gegeben. Ein simpler Klassiker in solchen Router Kaskaden.
Viele Router bieten auch die Funktion eines sog. "Exposed Hosts".
Das ist eine lokale IP Adresse an die im Schrotschuss Verfahren ALLES weitergeleitet wird. Da man ja zum eigentlichen Schutz die Firewall hat, ist auch diese Funktion nutzbar. Sie macht die Firewall dann aber insgesamt angreifbarer weil man so alles an eingehenden Traffic forwardet statt nur die Dinge die man von außen auch wirklich durchlassen möchte.
Im mobilen VPN Client selber muss dann natürlich die WAN / Internet IP Adresse des VOR der Firewall liegenden Routers als VPN Gateway Zieladresse angegeben werden ! Verständlich, denn dieser hält ja die öffentliche Internet IP die weltweit von einem Client erreichbar ist.
Wer keine feste statische IP besitzt und der Provider zudem wechselnde Internet IP Adressen verwendet. (z.B. Zwangstrennung usw.) muss einen DynDNS Client auf dem Router aktivieren der diese IP Adresse auf einen fester Hostname wie meinvpn.meindyndns.de mappt den man dann für den VPN Client verwendet. Mit einem festen DynDNS Hostnamen erreicht man so immer einen Router oder Firewall auch mit wechselnder WAN IP.
Hat man das alles richtig gemacht, sieht ein dazu passendes Router Kaskaden Design immer so aus:
Die entsprechenden Port Forwarding bzw. Weiterleitungs Einstellungen für IPsec VPNs zeigt das nächste Bild am Beispiel einer FritzBox. Diese Port Weiterleitungen gelten analog auch für alle anderen Router am Markt:
Firewall WAN Port Regel anpassen (nur Kaskade !)
An der Firewall muss man in solchen Kaskaden Designs am WAN Port immer den Haken bei "Block private networks" entfernen, denn in einem Kaskaden Design befindet sich der Firewall WAN Port ja in der Regel immer in dem privaten _IP_Adressbereich (LAN Koppelnetz) des davor liegenden Routers. IP Pakete die der vorgelagerte Router weiterleitet würden ansonsten geblockt und verworfen, sollte diese Firewall Blocking Regel der privaten IPs aktiv sein.
⚠️ Ein Wort der Warnung:
Das Entfernen dieser Regel gilt ausschliesslich NUR für ein solches Firewall Kaskaden Design hinter NAT Routern!
Arbeitet die Firewall mit einem reinen "NUR" Modem oder ganz ohne Modem direkt im öffentlichen Internet (öffentliche Provider IP direkt am WAN Port der Firewall !) MUSS dieser Haken unbedingt gesetzt bleiben und darf in dem Falle keinesfalls entfernt werden !
Port Forwarding gängiger VPN Protokolle
Die Port Forwarding ToDos für häufig genutzte VPN Protokolle hier nochmals in einer Übersicht:- IPsec = UDP 500, UDP 4500, ESP Protokoll (IP Nr.50)
- OpenVPN = UDP 1194 (Default UDP Port, ist beliebig konfigurierbar)
- L2TP = UDP 1701, UDP 500, UDP 4500, ESP Protokoll (IP Nr.50)
- PPTP = TCP 1723, GRE Protokoll (IP Nr.47) (PPTP gilt als nicht mehr sicher!)
- SSTP = TCP 443 (Microsoft proprietär!)
- WireGuard = UDP 51820 (Default UDP Port, ist beliebig konfigurierbar)
Bei der FritzBox und anderen aktiven VPN Routern sollte man unbedingt beachten das die VPN Nutzung für eingerichtete User deaktiviert werden muss. (Siehe dazu auch HIER).
Geschieht das nicht, reicht die FritzBox die IPsec VPN Ports nicht per Port Forwarding weiter, da sie ja selber auch aktiver VPN Router ist!
Generell ist es Best Practice dem WAN Port eines hinter einem Router kaskadierten Systems, egal ob Router oder Firewall, immer eine feste, statische IP Adresse zu geben !
Diese IP Adresse muss immer außerhalb des LAN Port DHCP Bereichs des davor liegenden NAT Routers liegen ! Andernfalls droht ein IP Adresskonflikt !
Praktisch ginge auch die automatische Vergabe per DHCP.
Allerdings besteht durch die Dynamik von DHCP IP Adressen die Gefahr der Änderung und damit das die Port Forwarding Einstellungen dann irgendwann einmal ins Leere laufen! Freie DHCP Vergabe birgt also immer die latente Gefahr das deshalb das VPN über kurz oder lang nicht mehr funktioniert.
Dann geht das vorab eingestellte Port Forwarding ins Nirwana, sprich auf eine dann möglicherweise inexistente IP Adresse !
Eine gute Alternative dem zu entgehen, wenn man bei DHCP bleiben möchte, wäre dann immer die statische DHCP Vergabe anhand der Hardware Layer 2 Mac Adresse (DHCP Reservierung auf Mac Basis).
Das entspricht dann quasi einer statischen IP Adresse, da die DHCP IP immer fest auf Basis der Hardware Adresse des Gerätes (Mac Adresse) zugewiesen wird.
Die FritzBox und auch andere Consumer oder Profi Router supporten so eine feste Reservierung in ihren DHCP Server Einstellungen. Man trägt dann einfach die Geräte spezifische Hardware Adresse (Mac Adresse) des kaskadierten WAN Ports im DHCP Server ein und weist dieser damit immer eine feste IP Adresse zu.
Mit diesem "Trick" ist eine quasi "feste" IP Vergabe auch mit DHCP möglich und auch sinnvoll.
(AVM beschreibt die ToDo's dafür HIER).
Als generelles Beispiel sähe es z.B. auf einem Router internen DHCP Server so aus:
(Hier im Beispiel teilt der DHCP Server auf dem Router einem Gerät mit der Mac Adresse 00:C0:EB:85:4D:DA immer fest die IP Adresse 192.168.178.254 zu)
Oder hier bei einem anderen Router Modell
(Hier im Beispiel teilt der DHCP Server auf dem Router einem Gerät mit der Mac Adresse 00:43:5A:3F:01:22 immer fest die IP Adresse 192.168.8.173 zu)
Die Hardware- oder Mac Adresse eines Endgerätes ist entweder auf einem externen Aufkleber zu erkennen oder über das interne Setup. Bei einem Windows Rechner z.B. mit dem Kommando ipconfig -all oder bei Linux und Mac Rechnern mit ifconfig.
Auch beim Server Zertifikat oben ist die Angabe dieser festen IP statt eines Namens technisch die bessere Lösung.
Weiterführende Grundlagen Links zum Tutorial
Originale Anleitung in der NetGate Doku und Forum:
https://docs.netgate.com/pfsense/en/latest/recipes/ipsec-mobile-ikev2-cl ...
https://forum.netgate.com/topic/113227/ikev2-vpn-for-windows-10-and-osx- ...
Dito. für OPNsense Variante:
https://docs.opnsense.org/manual/how-tos/ipsec-rw-srv-mschapv2.html
Reine NUR xDSL Modems für pfSense/OPNsense:
Suche adsl2+ und vdsl modem
Wechsel ISP
Modem für Kabel-TV Provider an der pfSense:
https://www.heise.de/ct/ausgabe/2018-20-Netze-4159238.html?wt_mc=print.c ...
DNS Forwarding (Name Server) auf der pfSense und OPNsense richtig einstellen !:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
DS-Lite Anschluss und VPN: Lösung mit VPS Vermittlungsserver und fester IP:
vServer Jumphost mit Fritzbox
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Feste IPs zuhause in pfsense via WireGuard Tunnel
Feste IPs zuhause in pfsense via GRE Tunnel
Konfig Fehler bei IPv6 vermeiden:
PFsense IPv6 - Was mache ich falsch ?
https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...
Dual Stack Setup und Ping Check
Link Aggregation (LAG) mit pfSense und OPNsense:
Link Aggregation (LAG) im Netzwerk
Email Benachrichtigungen der Firewall richtig einrichten:
OPNSense - EMAIL Alerts - failed login
AirPrint Drucker und andere Bonjour/mDNS Dienste erreichbar machen:
Apple AirPrint über VLANs
Links zu VPN Client Themen
Mehrere lokale und remote IP Netze für mobilen VPN Client erreichbar machen:
IPSec Mobile to an other network IPSEC
VPN Client Troubleshooting:
Pfsense VPN - 1. Client OK - 2. will nicht
Windows 10 VPN Powershell Syntax:
https://technet.microsoft.com/de-de/library/dn262642(v=wps.630).aspx
VPN Benutzer Authentisierung mit Client Zertifikaten statt Pre-Shared Keys:
Mobile Clients mit Client Certificate authentifizieren
VPN Nutzer Authentisierung mit Radius:
Freeradius Management mit WebGUI
Feste IPs an VPN User per Radius zuweisen
Windows 10: Schneller VPN Aufbau per einfachem Mausklick:
https://www.heise.de/ct/ausgabe/2017-19-VPN-und-Remote-Desktop-Verbindun ...
Windows VPN User Credentials beachten:
Windows VPN L2TP , falsche Anmeldedaten
Automatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates:
https://openhabforum.de/viewtopic.php?t=116
VPN - Fritzbox vs. MikroTik
Aktuelle IKEv2 VPN Konfig für iPhone, Mac OS und IPsec native Clients:
https://forum.pfsense.org/index.php?topic=106433.0
Hardware Tips
pfSense / OPNsense auf Sophos Hardware
Sophos Hardware mit pfSense / OPNsense
pfSense / OPNsense auf Proxmox oder VmWare ESXi:
Pfsense in Proxmox als Router
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
Pfsense UNMAP error mit LSI Logic SAS?
Seriellen Terminal Anschluss der pfSense richtig handhaben:
Alschluss eines USB Seriel Adapter am APU2E4 Board
FritzBox 7412 als preiswertes VDSL "nur" Modem für pfSense/OPNsense:
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Firewall mit 2 oder mehr WAN Ports (Balancing, Failover):
https://docs.opnsense.org/manual/how-tos/multiwan.html
https://www.heise.de/select/ct/2016/24/1479992026108405
OpenSense mit 2 WAN und 2 LAN, Gateway festlegen
Glasfaser VLAN 7 Tagging am WAN Port OPNsense / pfSense:
Heise c't Artikel Zyxel PMG3000 , Links zum Artikel
Telekom FTTH, Zyxel GPON, OPNsense
https://www.heise.de/ct/artikel/pfSense-als-VDSL-Router-221500.html?seit ...
Verlässlicher Speedtest auf der pfSense:
https://www.andysblog.de/pfsense-wan-geschwindigkeit-direkt-am-router-me ...
https://github.com/sivel/speedtest-cli
Aufbau einer pfSense Firewall mit PCengines APU Mini Mainboard:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Weitere Hardware:
https://www.varia-store.com/de/produkt/36843-pc-engines-apu2e4-bundle-bo ...
https://www.amazon.de/HUNSN-Firewall-Mikrotik-Security-Appliance/dp/B07D ...
https://www.amazon.de/HUNSN-Firewall-Mikrotik-Rackmount-Appliance/dp/B07 ...
Dobby's Hardware Tips:
PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone
PfSense on ARM (Marvell Armada 385) 2nd Edition
AdGuard DNS Werbe- und Malware Filter auf pfSense/OPNsense installieren:
https://broadbandforum.co/t/205884/
Werbe- und Malware Filter als Plugin installieren (OPNsense):
https://samuelsson.dev/install-adguard-home-on-an-opnsense-router/
Werbung zentral im Netz blocken mit der pfSense:
PfSense Werbung blocken
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Weiterführende Links zu allgemeinen VPN Vernetzungsthemen
IPsec Grundlagen und Aufbau:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
⚠️NAT Tücken bei remotem Port Forwarding in den VPN Tunnel beachten !!:
Wie Portforwarding über 2 miteinander verbundenen pfSense realisieren
Routing zwischen zwei PfSense - Nutzung von public IP
FritzBox Kaskade: Port Forwarding auf fremde IPs ohne NAT:
Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?
Client VPN Lösungen mit alternativer Hardware
Windows, Apple IKEv2 VPN Server für alle onboard VPN Clients auf Linux bzw. RasPi Basis:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
pfSense L2TP VPN Server für alle onboard VPN Clients::
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Mikrotik L2TP VPN Server für alle onboard VPN Clients:
Mikrotik L2TP VPN Server
Cisco IOS Router als L2TP VPN Server:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
L2TP VPN mit Linux StrongSwan:
Ubtuntu 20.10 mit UdmPro L2tp VPN Server verbinden
Windows u. Apple Mac onboard Clients mit IKEv2 auf Mikrotik Router:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_using_ ...
Tips zur VPN Vernetzung mit pfSense / OPNsense
Tücken bei der Fritzbox Wireguard VPN Verbindung umgehen:
S2S-Wireguard: AVM zu Mikrotik
IPsec Praxis Tutorial: Standort Vernetzung:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Layer 2 VLANs über VxLAN Tunnel routen:
VLAN über Site2Site VPN
Über VPN remote per VoIP telefonieren:
Zwei Standorte in Deutschland und EU mit pfSense und FritzBox 7490 für VoIP verbinden
VoIP Fritzbox 7490: Gesprächspartner hören sich nicht bei internen Anrufen
IPsec VPNs unterschiedlicher Hersteller:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPN IPsec Standort Kopplung mit Cisco VTI Tunnel Interface:
Cisco SVTI - Tunnel
IPsec VPN Standort Vernetzung mit GRE Tunnel plus dynamischem OSPF Routing auf Mikrotik Router:
Routing Frage welches Protokoll für Mobile Geräte
Zwischen Miktrotik und PFSense GRE Tunnel mit IPSec Verschlüsslung
Beachten wenn mit IPsec Proxy Dienste wie Squid etc. aktiv sind !:
PFsense VPN tunnel zur FritzBox 7390 (IPSec)
OpenVPN oder WireGuard statt (oder mit) IPsec:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Merkzettel: VPN Installation mit OpenVPN
Merkzettel: VPN Installation mit Wireguard
Gemischte Firewall Themen
IP-TV (Magenta TV) auf pfSense und OPNsense:
https://www.heise.de/ct/artikel/MagentaTV-auf-pfSense-Co-4698826.html
Magenta TV hinter pfSense und Cisco c3560cx
IPv6 für bestimmte Domain od. Gerät umgehen
Gastnetz mit einem Login Captive Portal und Einmalpasswort auf pfSense einrichten:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt64/BT64_Mobile ...
Captive Portal User Statistiken per PHP aus der pfSense/OPNsense auslesen:
Daten aus pfSense Firewall auslesen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337198
Url: https://administrator.de/tutorial/ipsec-ikev2-vpn-fuer-mobile-benutzer-auf-der-pfsense-oder-opnsense-firewall-einrichten-337198.html
Ausgedruckt am: 28.12.2024 um 02:12 Uhr
208 Kommentare
Neuester Kommentar
Das Tutorial zu erweitern für so ein Kaskadendesign wäre eine Spitzensache. Zumal ich das nicht nur hier sondern auch in anderen Foren immer häufiger lese.
Was ich nicht verstehe ist IP Nummer 50:
ESP Protokoll mit der IP Nummer 50 (Achtung kein UDP oder TCP 50, ESP ist ein eigenes IP Protokoll!)
-> Bei der Fritzbox hab ich halt die Möglichkeit, die Portfreigabe direkt im Heimnetzgerät (Pfsense) einzutragen oder über die Freigabe dem Netzwerkgerät das Protokoll zu zuordnen. Mehr kann ich hier nicht einstellen.
Was ich nicht verstehe ist IP Nummer 50:
ESP Protokoll mit der IP Nummer 50 (Achtung kein UDP oder TCP 50, ESP ist ein eigenes IP Protokoll!)
-> Bei der Fritzbox hab ich halt die Möglichkeit, die Portfreigabe direkt im Heimnetzgerät (Pfsense) einzutragen oder über die Freigabe dem Netzwerkgerät das Protokoll zu zuordnen. Mehr kann ich hier nicht einstellen.
Achso, das meinst du! Ja klar ESP IP Nummer 50. Nee alles gut. So hab ich das auch. Was ich nicht so habe wie bei dir in der Grafik, ist die Adressierung. Bei der Fritzbox wird mir die Pfsense als XX.XX.XX.42 angezeigt, da ich wie in anderen Beiträgen geschrieben einen Business Vertrag von Unity Media habe. Zu diesem gehören 5 feste IP Adressen. Die erste IP also XX.XX.XX.41 hat die Fritzbox automatisch vom Provider bekommen und die XX.XX.XX.42 Pfsense. Am WAN Interface der Pfsense habe ich die XX.XX.XX.42 statisch und das Upstream GW auch statisch auf XX.XX.XX.41 zugewiesen. Internet hab ich.
Werde das aber mal um konfigurieren, dann hat halt die Pfsense die 192.168.178.254 und die Fritzbox 192.168.178.1. So spare ich mir die eine statische Adresse.
Diese Aussage fand ich auch noch sehr interessant:
Im VPN Client selber muss natürlich dann die WAN / Internet IP Adresse des davorliegenden Routers als VPN Gateway Zieladresse angegeben werden oder ggf. dort ein DynDNS Client aktiviert werden wenn ein Hostname verwendet wird bei wechselnder Internet IP Adresse.
Da dachte ich immer, muss ich die IP der Pfsense eingeben und nicht die der Fritzbox.
Frage: Mit welchem Tool machst du deine Grafiken?
Werde das heute Abend mal so konfigurieren und dann nochmals berichten.
Vielen Dank für deine Mühe
Werde das aber mal um konfigurieren, dann hat halt die Pfsense die 192.168.178.254 und die Fritzbox 192.168.178.1. So spare ich mir die eine statische Adresse.
Diese Aussage fand ich auch noch sehr interessant:
Im VPN Client selber muss natürlich dann die WAN / Internet IP Adresse des davorliegenden Routers als VPN Gateway Zieladresse angegeben werden oder ggf. dort ein DynDNS Client aktiviert werden wenn ein Hostname verwendet wird bei wechselnder Internet IP Adresse.
Da dachte ich immer, muss ich die IP der Pfsense eingeben und nicht die der Fritzbox.
Frage: Mit welchem Tool machst du deine Grafiken?
Werde das heute Abend mal so konfigurieren und dann nochmals berichten.
Vielen Dank für deine Mühe
Jetzt mal langsam mit der Braut
Und kläre mal das Mysterium deiner unterschiedlichen WAN IP Adressierung, das versteht keiner hier...
Hab ja nix umgestellt. Das war nur von mir falsch verstanden! Dachte, das ist bei mir kaskatiert. Aber wie du ja schreibst ist das ein eigenes öffentliches Subnetz und nicht kaskatiert!
OK, dann hast du ein eigenes öffentliches Subnetz. Dann kannst du den ganz Kram in einer Kaskaden Konfig natürlich vergessen. Dann hast du ja kein NAT Router davor und die öffentliche IP direkt an der pfSense.
Damit ist das ganze Kaskaden Kram für dich ja vollkommen überflüssig !
Aber warum sagt das IPSec Log dann: 14[IKE] <5> remote host is behind NAT? Das verstehe ich nicht!
Hab dir mal meine Settings als Anhang hochgeladen:
aktuelle Portfreigaben der Fritzbox
Vorbereiten der pfSense für die Basiskonfiguration:
Server Zertifikat erstellen:
Mobiles Client IPsec auf der pfSense einrichten:
IPsec Phase 1 Konfiguration:
IPsec Phase 2 Konfiguration:
VPN Einstellungen:
Pre Shared Key:
Firewall Rules:
VPN Log:
Hoffe, es ist alles soweot ersichtlich.
Grüße
Spitzbube
Und kläre mal das Mysterium deiner unterschiedlichen WAN IP Adressierung, das versteht keiner hier...
Hab ja nix umgestellt. Das war nur von mir falsch verstanden! Dachte, das ist bei mir kaskatiert. Aber wie du ja schreibst ist das ein eigenes öffentliches Subnetz und nicht kaskatiert!
OK, dann hast du ein eigenes öffentliches Subnetz. Dann kannst du den ganz Kram in einer Kaskaden Konfig natürlich vergessen. Dann hast du ja kein NAT Router davor und die öffentliche IP direkt an der pfSense.
Damit ist das ganze Kaskaden Kram für dich ja vollkommen überflüssig !
Aber warum sagt das IPSec Log dann: 14[IKE] <5> remote host is behind NAT? Das verstehe ich nicht!
Hab dir mal meine Settings als Anhang hochgeladen:
aktuelle Portfreigaben der Fritzbox
Vorbereiten der pfSense für die Basiskonfiguration:
Server Zertifikat erstellen:
Mobiles Client IPsec auf der pfSense einrichten:
IPsec Phase 1 Konfiguration:
IPsec Phase 2 Konfiguration:
VPN Einstellungen:
Pre Shared Key:
Firewall Rules:
VPN Log:
Sep 21 21:01:27 charon 14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
Sep 21 21:01:27 charon 14[IKE] <6> received retransmit of request with ID 0, retransmitting response
Sep 21 21:01:27 charon 14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 21 21:01:27 charon 14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
Sep 21 21:01:24 charon 14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
Sep 21 21:01:24 charon 14[IKE] <6> received retransmit of request with ID 0, retransmitting response
Sep 21 21:01:24 charon 14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 21 21:01:24 charon 14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
Sep 21 21:01:21 charon 14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
Sep 21 21:01:21 charon 14[IKE] <6> received retransmit of request with ID 0, retransmitting response
Sep 21 21:01:21 charon 14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 21 21:01:21 charon 14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
Sep 21 21:01:18 charon 14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
Sep 21 21:01:18 charon 14[ENC] <6> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 21 21:01:18 charon 14[IKE] <6> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=user@gmail.com, CN=vpnca, OU=Home"
Sep 21 21:01:18 charon 14[IKE] <6> remote host is behind NAT
Sep 21 21:01:18 charon 14[IKE] <6> 80.187.115.140 (IP der des iPhones T-Mobile LTE) is initiating an IKE_SA
Sep 21 21:01:18 charon 14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 21 21:01:18 charon 14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
Sep 21 21:01:14 charon 14[NET] <bypasslan|5> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[4500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[17675] (80 bytes)
Sep 21 21:01:14 charon 14[ENC] <bypasslan|5> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sep 21 21:01:14 charon 14[IKE] <bypasslan|5> peer supports MOBIKE
Sep 21 21:01:14 charon 14[IKE] <bypasslan|5> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sep 21 21:01:14 charon 14[CFG] <bypasslan|5> no alternative config found
Sep 21 21:01:14 charon 14[IKE] <bypasslan|5> peer requested EAP, config inacceptable
Sep 21 21:01:14 charon 14[CFG] <bypasslan|5> selected peer config 'bypasslan'
Sep 21 21:01:14 charon 14[CFG] <5> looking for peer configs matching XX.XX.XXX.42 (IP der Pfsense)[pfsense]...80.187.115.140 (IP der des iPhones T-Mobile LTE)[10.25.123.172]
Sep 21 21:01:14 charon 14[ENC] <5> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Sep 21 21:01:14 charon 14[ENC] <5> unknown attribute type (25)
Sep 21 21:01:14 charon 14[NET] <5> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[17675] to XX.XX.XXX.42 (IP der Pfsense)[4500] (496 bytes)
Sep 21 21:01:14 charon 14[NET] <5> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes)
Sep 21 21:01:14 charon 14[ENC] <5> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sep 21 21:01:14 charon 14[IKE] <5> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=user@gmail.com, CN=vpnca, OU=Home"
Sep 21 21:01:14 charon 14[IKE] <5> remote host is behind NAT
Sep 21 21:01:14 charon 14[IKE] <5> 80.187.115.140 (IP der des iPhones T-Mobile LTE) is initiating an IKE_SA
Sep 21 21:01:14 charon 14[ENC] <5> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 21 21:01:14 charon 14[NET] <5> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
Hoffe, es ist alles soweot ersichtlich.
Grüße
Spitzbube
Moin hab das mal in diesem Thema (Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense)neu zusammen gepackt.
Was ist das für ein merkwürdiges GUI ?? Farben sind nicht pfSense Default ? Nein, dass ist ein mitgeliefertes anderes Theme angenehmer für meine Augen.
Die Email Adresse ist fehlerhaft ! Aber wohl gewollt anonymisiert ?! Ja, anonymisiert!
Was ist das für ein merkwürdiges GUI ?? Farben sind nicht pfSense Default ? Nein, dass ist ein mitgeliefertes anderes Theme angenehmer für meine Augen.
Die Email Adresse ist fehlerhaft ! Aber wohl gewollt anonymisiert ?! Ja, anonymisiert!
Hallo aqui,
vielen Dank für Ihre super Anleitung.
Ich habe diese entsprechende Umgesetzt und konfiguriert.
Leider stelle ich nach zwei Tagen fest, das keine VPN Einwahl mehr stattfinden kann.
Im Windows komme folgende Fehlermeldung.
"Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet.
Das Verbindungsproblem wird möglicherweise verursacht, weil eins der Netzwerkgeräte (zum Beispiel Firewall, NAT, Router usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist."
Haben Sie da eine erklärung für.
Ich habe keine Änderungen vorgenommen, die WAN Anbindung beider Netze (pfsense / Remote) haben sich nicht geändert.
Würde mich über eine Idee der Problemlösung sehr freuen....
Vielen Dank
vielen Dank für Ihre super Anleitung.
Ich habe diese entsprechende Umgesetzt und konfiguriert.
Leider stelle ich nach zwei Tagen fest, das keine VPN Einwahl mehr stattfinden kann.
Im Windows komme folgende Fehlermeldung.
"Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet.
Das Verbindungsproblem wird möglicherweise verursacht, weil eins der Netzwerkgeräte (zum Beispiel Firewall, NAT, Router usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist."
Haben Sie da eine erklärung für.
Ich habe keine Änderungen vorgenommen, die WAN Anbindung beider Netze (pfsense / Remote) haben sich nicht geändert.
Würde mich über eine Idee der Problemlösung sehr freuen....
Vielen Dank
Hallo aqui und der Rest ;)
danke für das tolle VPN Tutourial. Ich hab mal ne Frage zu IPTV von der Telekom und VPN:
Ist es gernell möglich, dass man quasi in einem öffentlichen WLAN sich ins VPN einloggt, um dann das IPTV der Telekom zu streamen?
Leider klappt das bei mir nicht, obwohl ich im IGMP Proxy die Adresse 10.98.1.0/24 eingetragen habe (siehe VPN > IPsec -> Mobile Clients: Virtual Adress pool) und unter Firewall -> Rules -> IPsec auch die IP-Pakete-Option bei einer "allow all" Regel aktiviert habe.
Hab ich noch etwas vergessen oder einen Denkfehler?
Lieben Dank und viele Grüße
danke für das tolle VPN Tutourial. Ich hab mal ne Frage zu IPTV von der Telekom und VPN:
Ist es gernell möglich, dass man quasi in einem öffentlichen WLAN sich ins VPN einloggt, um dann das IPTV der Telekom zu streamen?
Leider klappt das bei mir nicht, obwohl ich im IGMP Proxy die Adresse 10.98.1.0/24 eingetragen habe (siehe VPN > IPsec -> Mobile Clients: Virtual Adress pool) und unter Firewall -> Rules -> IPsec auch die IP-Pakete-Option bei einer "allow all" Regel aktiviert habe.
Hab ich noch etwas vergessen oder einen Denkfehler?
Lieben Dank und viele Grüße
Ja die Anleitungen habe ich bei der Einrichtung auch benutzt. Wie gesagt im LAN funktioniert das IPTV. Nur eben nicht über VPN (IPSec)
Ein weiteres Downstream-Interface (auf LAN Interface) hab ich im IGMP Proxy bereits angelegt mit der Adresse 10.98.1.0/24 aus der IPSec Konfiguration (siehe VPN > IPsec -> Mobile Clients: Virtual Adress pool) Was muss ich sonst noch aktivieren?
Ein weiteres Downstream-Interface (auf LAN Interface) hab ich im IGMP Proxy bereits angelegt mit der Adresse 10.98.1.0/24 aus der IPSec Konfiguration (siehe VPN > IPsec -> Mobile Clients: Virtual Adress pool) Was muss ich sonst noch aktivieren?
danke für die super Anleitung.
ich nutze den Windows 10 VPN-Client.
Bei mir funktioniert der Verbindungsaufbau jedoch nur, wenn ich die
VPN Verbindung mittels der 3 Befehle mit PowerShell anlege.
Wenn ich die VPN-Verbindung mittels Client-Setup im Windows
Netzwerk- und Freigabecenter erstelle schlägt der Verbindungsaufbau
mit folgender Fehlermeldung fehl:
"Verbindung mit VPN-Verbindung nicht möglich
Fehler in Richtlinienübereinstimmung",
Die im Client-Setup einsehbaren Einstellungen sind für die mittels PowerShell
und für die mittels Client-Setup erstellte Verbindung identisch.
Mein Problem ist, dass ich von einem Windows 7-Client ebenfalls eine
Verbindung zur PFSense erstellen möchte. Hier ist jedoch die Erstellung
der Verbindung mittels PowerShell nicht möglich ist.
Ich habe auch deshalb eine Verbindung mittels Client-Setup erstellt und
erhalte hier beim Verbindungsaufbau folgende Fehlermeldung:
"Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel"
Gruß
Jürgen
ich nutze den Windows 10 VPN-Client.
Bei mir funktioniert der Verbindungsaufbau jedoch nur, wenn ich die
VPN Verbindung mittels der 3 Befehle mit PowerShell anlege.
Wenn ich die VPN-Verbindung mittels Client-Setup im Windows
Netzwerk- und Freigabecenter erstelle schlägt der Verbindungsaufbau
mit folgender Fehlermeldung fehl:
"Verbindung mit VPN-Verbindung nicht möglich
Fehler in Richtlinienübereinstimmung",
Die im Client-Setup einsehbaren Einstellungen sind für die mittels PowerShell
und für die mittels Client-Setup erstellte Verbindung identisch.
Mein Problem ist, dass ich von einem Windows 7-Client ebenfalls eine
Verbindung zur PFSense erstellen möchte. Hier ist jedoch die Erstellung
der Verbindung mittels PowerShell nicht möglich ist.
Ich habe auch deshalb eine Verbindung mittels Client-Setup erstellt und
erhalte hier beim Verbindungsaufbau folgende Fehlermeldung:
"Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel"
Gruß
Jürgen
Vielen Dank für die Super Anleitung. Ich habe die Anleitung befolgt, bekomme aber leider bei der VPN Verbindung mit Windows 10 eine Fehlermeldung. Mit einem Android Handy und StrongSwan funktioniert es ohne Probleme. Die Fehlermeldung am Client ist:
ike authentifizierung anmeldeinformationen sind nicht akzeptabel
Der Log in der pfSense sieht so aus:
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid d5:2e:13:c1:ab:e3:49:da:e8:b4:95:94:ef:7c:38:43:60:64:66:bd
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 59:79:12:de:61:75:d6:6f:c4:23:b7:77:13:74:c7:96:de:6f:88:72
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid d3:94:8a:4c:62:13:2a:19:2e:cc:af:72:8a:7d:36:d7:9a:1c:dc:67
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 6c:ca:bd:7d:b4:7e:94:a5:75:99:01:b6:a7:df:d4:5d:1c:09:1c:cc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ab:30:d3:af:4b:d8:f1:6b:58:69:ee:45:69:29:da:84:b8:73:94:88
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 42:32:b6:16:fa:04:fd:fe:5d:4b:7a:c3:fd:f7:4c:40:1d:5a:43:af
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid f0:63:ba:7c:9a:16:74:4a:9c:db:54:ec:23:cd:67:29:8e:7c:49:4d
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid a5:06:8a:78:cf:84:bd:74:32:dd:58:f9:65:eb:3a:55:e7:c7:80:dc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 5f:f3:24:6c:8f:91:24:af:9b:5f:3e:b0:34:6a:f4:2d:5c:a8:5d:cc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 6d:aa:9b:09:87:c4:d0:d4:22:ed:40:07:37:4d:19:f1:91:ff:de:d3
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 83:31:7e:62:85:42:53:d6:d7:78:31:90:ec:91:90:56:e9:91:b9:e3
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 7e:95:9f:ed:82:8e:2a:ed:c3:7c:0d:05:46:31:ef:53:97:cd:48:49
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:51:59:8b:a7:6f:54:5c:77:24:c5:66:eb:aa:fb:3e:2b:f3:ac:4f
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:18:e5:44:f6:bd:4d:77:50:28:c9:40:3e:5c:74:f5:4c:d9:60:29
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:22:d4:2c:1f:02:44:b8:04:10:65:61:7c:c7:6b:ae:da:87:29:9c
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid b1:81:08:1a:19:a4:c0:94:1f:fa:e8:95:28:c1:24:c9:9b:34:ac:c7
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 21:0f:2c:89:f7:c4:cd:5d:1b:82:5e:38:d6:c6:59:3b:a6:93:75:ae
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 23:4b:71:25:56:13:e1:30:dd:e3:42:69:c9:cc:30:d4:6f:08:41:e0
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid bb:c2:3e:29:0b:b3:28:77:1d:ad:3e:a2:4d:bd:f4:23:bd:06:b0:3d
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid b0:19:89:e7:ef:fb:4a:af:cb:14:8f:58:46:39:76:22:41:50:e1:ba
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ee:e5:9f:1e:2a:a5:44:c3:cb:25:43:a6:9a:5b:d4:6a:25:bc:bb:8e
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 90:2f:82:a3:7c:47:97:01:1e:0f:4b:a5:af:13:13:c2:11:13:47:ea
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 22:f1:9e:2e:c6:ea:cc:fc:5d:23:46:f4:c2:e8:f6:c5:54:dd:5e:07
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 67:ec:9f:90:2d:cd:64:ae:fe:7e:bc:cd:f8:8c:51:28:f1:93:2c:12
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 17:4a:b8:2b:5f:fb:05:67:75:27:ad:49:5a:4a:5d:c4:22:cc:ea:4e
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 68:33:0e:61:35:85:21:59:29:83:a3:c8:d2:d2:e1:40:6e:7a:b3:c1
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 9c:a9:8d:00:af:74:0d:dd:81:80:d2:13:45:a5:8b:8f:2e:94:38:d6
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f:1a:02:99:e7:90:f3:87
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid da:67:aa:54:74:54:9c:0e:6f:bc:92:f2:fa:97:9a:1a:93:62:d1:13
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ce:89:a4:e6:01:85:b1:71:4a:a7:10:db:d7:f4:7a:f3:0b:b4:cb:72
Oct 9 13:27:32 charon 15[IKE] <16> received 58 cert requests for an unknown ca
Oct 9 13:27:32 charon 15[CFG] <16> looking for peer configs matching 192.168.0.152[%any]...192.168.0.123[192.168.0.123]
Oct 9 13:27:32 charon 15[CFG] <16> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Oct 9 13:27:32 charon 15[CFG] <16> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Oct 9 13:27:32 charon 15[CFG] <con-mobile|16> selected peer config 'con-mobile'
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> initiating EAP_IDENTITY method (id 0x00)
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_ADDRESS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_DNS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_NBNS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_SERVER attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> peer supports MOBIKE
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> authentication of 'pfSense' (myself) with RSA signature successful
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> sending end entity cert "CN=pfSense, C=DE, ST=Bayern, L=Bodenmais, O=Weikl"
Oct 9 13:27:32 charon 15[ENC] <con-mobile|16> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Oct 9 13:27:32 charon 15[NET] <con-mobile|16> sending packet: from 192.168.0.152[4500] to 192.168.0.123[4500] (1488 bytes)
Oct 9 13:27:35 charon 12[JOB] <con-mobile|15> deleting half open IKE_SA with 192.168.0.123 after timeout
Oct 9 13:27:35 charon 12[IKE] <con-mobile|15> IKE_SA con-mobile[15] state change: CONNECTING => DESTROYING
Oct 9 13:28:02 charon 12[JOB] <con-mobile|16> deleting half open IKE_SA with 192.168.0.123 after timeout
Oct 9 13:28:02 charon 12[IKE] <con-mobile|16> IKE_SA con-mobile[16] state change: CONNECTING => DESTROYING
Hat jemand eine Idee?
Gruß Christian
ike authentifizierung anmeldeinformationen sind nicht akzeptabel
Der Log in der pfSense sieht so aus:
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid d5:2e:13:c1:ab:e3:49:da:e8:b4:95:94:ef:7c:38:43:60:64:66:bd
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 59:79:12:de:61:75:d6:6f:c4:23:b7:77:13:74:c7:96:de:6f:88:72
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid d3:94:8a:4c:62:13:2a:19:2e:cc:af:72:8a:7d:36:d7:9a:1c:dc:67
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 6c:ca:bd:7d:b4:7e:94:a5:75:99:01:b6:a7:df:d4:5d:1c:09:1c:cc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ab:30:d3:af:4b:d8:f1:6b:58:69:ee:45:69:29:da:84:b8:73:94:88
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 42:32:b6:16:fa:04:fd:fe:5d:4b:7a:c3:fd:f7:4c:40:1d:5a:43:af
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid f0:63:ba:7c:9a:16:74:4a:9c:db:54:ec:23:cd:67:29:8e:7c:49:4d
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid a5:06:8a:78:cf:84:bd:74:32:dd:58:f9:65:eb:3a:55:e7:c7:80:dc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 5f:f3:24:6c:8f:91:24:af:9b:5f:3e:b0:34:6a:f4:2d:5c:a8:5d:cc
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 6d:aa:9b:09:87:c4:d0:d4:22:ed:40:07:37:4d:19:f1:91:ff:de:d3
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 83:31:7e:62:85:42:53:d6:d7:78:31:90:ec:91:90:56:e9:91:b9:e3
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 7e:95:9f:ed:82:8e:2a:ed:c3:7c:0d:05:46:31:ef:53:97:cd:48:49
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:51:59:8b:a7:6f:54:5c:77:24:c5:66:eb:aa:fb:3e:2b:f3:ac:4f
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:18:e5:44:f6:bd:4d:77:50:28:c9:40:3e:5c:74:f5:4c:d9:60:29
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 3e:22:d4:2c:1f:02:44:b8:04:10:65:61:7c:c7:6b:ae:da:87:29:9c
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid b1:81:08:1a:19:a4:c0:94:1f:fa:e8:95:28:c1:24:c9:9b:34:ac:c7
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 21:0f:2c:89:f7:c4:cd:5d:1b:82:5e:38:d6:c6:59:3b:a6:93:75:ae
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 23:4b:71:25:56:13:e1:30:dd:e3:42:69:c9:cc:30:d4:6f:08:41:e0
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid bb:c2:3e:29:0b:b3:28:77:1d:ad:3e:a2:4d:bd:f4:23:bd:06:b0:3d
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid b0:19:89:e7:ef:fb:4a:af:cb:14:8f:58:46:39:76:22:41:50:e1:ba
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ee:e5:9f:1e:2a:a5:44:c3:cb:25:43:a6:9a:5b:d4:6a:25:bc:bb:8e
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 90:2f:82:a3:7c:47:97:01:1e:0f:4b:a5:af:13:13:c2:11:13:47:ea
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 22:f1:9e:2e:c6:ea:cc:fc:5d:23:46:f4:c2:e8:f6:c5:54:dd:5e:07
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 67:ec:9f:90:2d:cd:64:ae:fe:7e:bc:cd:f8:8c:51:28:f1:93:2c:12
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 17:4a:b8:2b:5f:fb:05:67:75:27:ad:49:5a:4a:5d:c4:22:cc:ea:4e
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 68:33:0e:61:35:85:21:59:29:83:a3:c8:d2:d2:e1:40:6e:7a:b3:c1
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 9c:a9:8d:00:af:74:0d:dd:81:80:d2:13:45:a5:8b:8f:2e:94:38:d6
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f:1a:02:99:e7:90:f3:87
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid da:67:aa:54:74:54:9c:0e:6f:bc:92:f2:fa:97:9a:1a:93:62:d1:13
Oct 9 13:27:32 charon 15[IKE] <16> received cert request for unknown ca with keyid ce:89:a4:e6:01:85:b1:71:4a:a7:10:db:d7:f4:7a:f3:0b:b4:cb:72
Oct 9 13:27:32 charon 15[IKE] <16> received 58 cert requests for an unknown ca
Oct 9 13:27:32 charon 15[CFG] <16> looking for peer configs matching 192.168.0.152[%any]...192.168.0.123[192.168.0.123]
Oct 9 13:27:32 charon 15[CFG] <16> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Oct 9 13:27:32 charon 15[CFG] <16> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Oct 9 13:27:32 charon 15[CFG] <con-mobile|16> selected peer config 'con-mobile'
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> initiating EAP_IDENTITY method (id 0x00)
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_ADDRESS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_DNS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_NBNS attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> processing INTERNAL_IP4_SERVER attribute
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> peer supports MOBIKE
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> authentication of 'pfSense' (myself) with RSA signature successful
Oct 9 13:27:32 charon 15[IKE] <con-mobile|16> sending end entity cert "CN=pfSense, C=DE, ST=Bayern, L=Bodenmais, O=Weikl"
Oct 9 13:27:32 charon 15[ENC] <con-mobile|16> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Oct 9 13:27:32 charon 15[NET] <con-mobile|16> sending packet: from 192.168.0.152[4500] to 192.168.0.123[4500] (1488 bytes)
Oct 9 13:27:35 charon 12[JOB] <con-mobile|15> deleting half open IKE_SA with 192.168.0.123 after timeout
Oct 9 13:27:35 charon 12[IKE] <con-mobile|15> IKE_SA con-mobile[15] state change: CONNECTING => DESTROYING
Oct 9 13:28:02 charon 12[JOB] <con-mobile|16> deleting half open IKE_SA with 192.168.0.123 after timeout
Oct 9 13:28:02 charon 12[IKE] <con-mobile|16> IKE_SA con-mobile[16] state change: CONNECTING => DESTROYING
Hat jemand eine Idee?
Gruß Christian
Ein CA-Zertifikat gehört in den ComputerStore, nicht in den des aktuellen Benutzers.
Gruß l
Gruß l
Hi,
vielleicht noch ein kurzer Hinweis zu diesem Fehler. Ich hatte den auch. Mit meinem Android und StronSwan funktioniert dann deine tolle Anleitung wunderbar. Ich habe sogar 2 Verbindungen, die in unterschiedliche Netze geroutet werden hinbekommen.
Auf dem Windows 10 Client bekomme ich dann aber genau den gleichen Fehler wie pipen1976. Das Zertifikat ist unter ComputerKonto entsprechend der Anleitung hinterlegt.
Der Client gibt in der GUI IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel als Fehlermeldung aus. Im Windows-Log steht "Ursachencode" 13801.
Nach einer kurzen Google-Suche findet man folgendes:
We may check it by the following steps: On VPN server, run mmc, add snap-in “certificates”, expand certificates-personal-certificates, double click the certificate installed, click detail for “enhanced key usage”, verify if there is “server authentication” below.
Quelle: Antwort von Anne He https://social.technet.microsoft.com/Forums/ie/en-US/771bf5ec-7017-4fd3- ...
Lösung war, das das Zertifikat bei der pfsense nicht, wie in deiner Anleitung beschrieben, auf Server-Zertifikat gestellt war. (kann ja mal schnell passieren, dass man sich verklickt ;) )
VG
Green14
PS: Ich hatte auch den Fehler "Fehler 633 - das Modem (oder ein anderes Gerät) wird bereits verwendet". Lösung: https://support.microsoft.com/de-de/help/885959/error-633-the-modem-or-o ... (ist ein reines Windows-Problem). Auch wenn laut netstat nichts auf dem Port war, habe ich es eingerichtet und hatte den Fehler nicht mehr.
vielleicht noch ein kurzer Hinweis zu diesem Fehler. Ich hatte den auch. Mit meinem Android und StronSwan funktioniert dann deine tolle Anleitung wunderbar. Ich habe sogar 2 Verbindungen, die in unterschiedliche Netze geroutet werden hinbekommen.
Auf dem Windows 10 Client bekomme ich dann aber genau den gleichen Fehler wie pipen1976. Das Zertifikat ist unter ComputerKonto entsprechend der Anleitung hinterlegt.
Der Client gibt in der GUI IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel als Fehlermeldung aus. Im Windows-Log steht "Ursachencode" 13801.
Nach einer kurzen Google-Suche findet man folgendes:
We may check it by the following steps: On VPN server, run mmc, add snap-in “certificates”, expand certificates-personal-certificates, double click the certificate installed, click detail for “enhanced key usage”, verify if there is “server authentication” below.
Quelle: Antwort von Anne He https://social.technet.microsoft.com/Forums/ie/en-US/771bf5ec-7017-4fd3- ...
Lösung war, das das Zertifikat bei der pfsense nicht, wie in deiner Anleitung beschrieben, auf Server-Zertifikat gestellt war. (kann ja mal schnell passieren, dass man sich verklickt ;) )
VG
Green14
PS: Ich hatte auch den Fehler "Fehler 633 - das Modem (oder ein anderes Gerät) wird bereits verwendet". Lösung: https://support.microsoft.com/de-de/help/885959/error-633-the-modem-or-o ... (ist ein reines Windows-Problem). Auch wenn laut netstat nichts auf dem Port war, habe ich es eingerichtet und hatte den Fehler nicht mehr.
Hallo,
so pfSense ist installiert. Alles funktioniert so wie es sein sollte, bis auf ein kleines DNS Problem. Wenn ich jetzt mit einem Mobilen Gerät (Notebook Win10) eine VPN Verbindung aufbaue dann habe ich ein DNS Problem. Die Netzlaufwerke sind mit DNS Namen gemappt. Das mobile Gerät kann bei Verbindung nicht richtig auflösen. Per IP Adresse ist das Laufwerk erreichbar. Das mobile Gerät bekommt ein Virtuelles Netz 10.98.1.0/24. Mein LAN hat 192.168.0.0/24. Wie bekomme ich das jetzt am elegantesten hin das bei der VPN Verbindung die Laufwerke aufgelöst werden können?
Gruß Christian
so pfSense ist installiert. Alles funktioniert so wie es sein sollte, bis auf ein kleines DNS Problem. Wenn ich jetzt mit einem Mobilen Gerät (Notebook Win10) eine VPN Verbindung aufbaue dann habe ich ein DNS Problem. Die Netzlaufwerke sind mit DNS Namen gemappt. Das mobile Gerät kann bei Verbindung nicht richtig auflösen. Per IP Adresse ist das Laufwerk erreichbar. Das mobile Gerät bekommt ein Virtuelles Netz 10.98.1.0/24. Mein LAN hat 192.168.0.0/24. Wie bekomme ich das jetzt am elegantesten hin das bei der VPN Verbindung die Laufwerke aufgelöst werden können?
Gruß Christian
Hallo,
versuche mich gerade an der hier gezeigten IPSec-Konfiguration.
Bin gerade bei dem Schritt,
wo man die Phase 1 konfiguriert (ein "Proposal" für die Phase 1 festlegen).
Bei "Phase 1 Proposal (Authentication)" beim Punkt "Authentication Method" soll “EAP-MSChapv2” ausgewählt werden,
leider gibt es diesen Punkt bei mir gar nicht.
Ich nutze die aktuelle Version der "pfsense"-Firewall (Version 2.4.4 Release p1),
habe von dem genannten Problem auch einen Screenshot mit angehängt.
Bei mir sind bei "Authentication Method" lediglich die Optionen "Mutual RSA" sowie "Mutual PSK" auswählbar ^^.
Woran kann das liegen?
Ist "“EAP-MSChapv2” inzwischen aus der "pfsense"-Firewall entfernt worden (ggf. zu unsicher!?)
oder könnte ich einen Fehler bei der Konfiguration gemacht haben?
versuche mich gerade an der hier gezeigten IPSec-Konfiguration.
Bin gerade bei dem Schritt,
wo man die Phase 1 konfiguriert (ein "Proposal" für die Phase 1 festlegen).
Bei "Phase 1 Proposal (Authentication)" beim Punkt "Authentication Method" soll “EAP-MSChapv2” ausgewählt werden,
leider gibt es diesen Punkt bei mir gar nicht.
Ich nutze die aktuelle Version der "pfsense"-Firewall (Version 2.4.4 Release p1),
habe von dem genannten Problem auch einen Screenshot mit angehängt.
Bei mir sind bei "Authentication Method" lediglich die Optionen "Mutual RSA" sowie "Mutual PSK" auswählbar ^^.
Woran kann das liegen?
Ist "“EAP-MSChapv2” inzwischen aus der "pfsense"-Firewall entfernt worden (ggf. zu unsicher!?)
oder könnte ich einen Fehler bei der Konfiguration gemacht haben?
Erst einmal ein dickes Dankeschön für die detaillierten Tutorials zur pfsense. Ich bin Netzwerkanfänger und hoffe dass Ihr mich nicht gleich zerreist.
Die pfSens Firewall habe ich aqui's Tutorial erfolgreich eingerichtet.
Das VPN Tutorial hier habe ich mehrmals einschließlich auch der Kommentare von pipen1976, der ein auf den ersten Blick ähnlich gelagertes Problem hatte, durchgearbeitet. Leider ohne Erfolg. Nun brauche ich glaube ich Eure Hilfe.
Problem:
Keine VPN-Verbindung mit WIN 10 - Fehlermeldung IKE-Authentifizierung - Anmeldeinformationen sind nicht akzeptabel / ABER VPN-Verbindung über Androidgeräte Strong Swan Client und identischem Zertifikat funktioniert perfekt
System:
pfsense 2.4.4 rel p2 als Kaskade hinter fritzbox 7490, Client WIN10 1803
Mit meinem laienhaften Verständnis meine ich aus dem IPSEC Log (siehe unten) der pfsense zu erkennen, dass es am Zertifikat hängt.
Das Zertifikat wurde unter LokalerComputer installiert:
Die alternativen DNS Namen habe ich gem. Anleitung versucht einzutragen (durchgestrichen ist Adresse unter der die Fritzbox von außen erreichbar ist):
pfSense Name:
Zertifikat in der pfsense aktiv:
Die VPN Verbindung wurde wie hier in der Anleitung beschrieben mit der powershell ohne splittunneling eingerichtet.
Hat von Euch jemand eine Idee was ich bei der WIN10 VPN Konfiguration falsch mache ?
pfsense Log:
Mar 16 10:34:09 charon 12[NET] <con-mobile|33> sending packet: from 10.19.8.254[4500] to xxx [24198] (484 bytes)
Mar 16 10:34:09 charon 12[NET] <con-mobile|33> sending packet: from 10.19.8.254[4500] to xxx [24198] (1236 bytes)
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ EF(2/2) ]
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ EF(1/2) ]
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> splitting IKE message (1648 bytes) into 2 fragments
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> sending end entity cert "CN=pfsense, C=GE, ST=Germany, L=Ingolstadt, O=mm, OU=m"
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> authentication of 'pfsense' (myself) with RSA signature successful
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> peer supports MOBIKE
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_SERVER attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_DNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_ADDRESS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_SERVER attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_NBNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_DNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_ADDRESS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> initiating EAP_IDENTITY method (id 0x00)
Mar 16 10:34:09 charon 12[CFG] <con-mobile|33> selected peer config 'con-mobile'
Mar 16 10:34:09 charon 12[CFG] <33> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Mar 16 10:34:09 charon 12[CFG] <33> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Mar 16 10:34:09 charon 12[CFG] <33> looking for peer configs matching 10.19.8.254[%any]...xxx [192.168.43.71]
Mar 16 10:34:09 charon 12[IKE] <33> received 51 cert requests for an unknown ca
...
5c:b8:69:fe:8d:ef:c1:ed:66:27:ee:b2:12:0f:72:1b:b8:0a:0e:04
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for unknown ca with keyid 4a:5c:75:22:aa:46:bf:a4:08:9d:39:97:4e:bd:b4:a3:60:f7:a0:1d
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for "CN=pfsense, C=GE, ST=Germany, L=Ingolstadt, O=mm, OU=m"
...
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for unknown ca with keyid 87:c1:62:a6:79:1e:bb:b9:37:a8:fe:4e:2f:35:0e:ff:00:4b:eb:e0
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #3 of 3, reassembled fragmented IKE message (1344 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(3/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (356 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #2 of 3, waiting for complete IKE message
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(2/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (580 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #1 of 3, waiting for complete IKE message
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(1/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (580 bytes)
Mar 16 10:34:09 charon 16[JOB] next event in 19s 998ms, waiting
Mar 16 10:34:09 charon 16[JOB] next event in 19s 998ms, waiting
Mar 16 10:34:09 charon 12[NET] <33> sending packet: from 10.19.8.254[500] to xxx [12513] (473 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Mar 16 10:34:09 charon 12[IKE] <33> sending cert request for "C=GE, ST=Germany, L=Ingolstadt, O=mm, E=m-my@online.de, CN=vpnca, OU=m"
Mar 16 10:34:09 charon 16[JOB] next event in 19s 999ms, waiting
Mar 16 10:34:09 charon 16[JOB] next event in 19s 999ms, waiting
Mar 16 10:34:09 charon 12[IKE] <33> remote host is behind NAT
Mar 16 10:34:09 charon 12[IKE] <33> local host is behind NAT, sending keep alives
Mar 16 10:34:08 charon 12[CFG] <33> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> proposal matches
Mar 16 10:34:08 charon 12[CFG] <33> selecting proposal:
Mar 16 10:34:08 charon 12[IKE] <33> IKE_SA (unnamed)[33] state change: CREATED => CONNECTING
Mar 16 10:34:08 charon 12[IKE] <33> xxx is initiating an IKE_SA
Mar 16 10:34:08 charon 12[ENC] <33> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Mar 16 10:34:08 charon 12[IKE] <33> received Vid-Initial-Contact vendor ID
Mar 16 10:34:08 charon 12[IKE] <33> received MS-Negotiation Discovery Capable vendor ID
Mar 16 10:34:08 charon 12[IKE] <33> received MS NT5 ISAKMPOAKLEY v9 vendor ID
Mar 16 10:34:08 charon 12[CFG] <33> found matching ike config: 10.19.8.254...%any with prio 1052
Mar 16 10:34:08 charon 12[CFG] <33> candidate: 10.19.8.254...%any, prio 1052
Mar 16 10:34:08 charon 12[CFG] <33> candidate: %any...%any, prio 24
Mar 16 10:34:08 charon 12[CFG] <33> looking for an IKEv2 config for 10.19.8.254...xxx
Mar 16 10:34:08 charon 12[ENC] <33> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Mar 16 10:34:08 charon 12[NET] <33> received packet: from xxx [12513] to 10.19.8.254[500] (544 bytes)
Die pfSens Firewall habe ich aqui's Tutorial erfolgreich eingerichtet.
Das VPN Tutorial hier habe ich mehrmals einschließlich auch der Kommentare von pipen1976, der ein auf den ersten Blick ähnlich gelagertes Problem hatte, durchgearbeitet. Leider ohne Erfolg. Nun brauche ich glaube ich Eure Hilfe.
Problem:
Keine VPN-Verbindung mit WIN 10 - Fehlermeldung IKE-Authentifizierung - Anmeldeinformationen sind nicht akzeptabel / ABER VPN-Verbindung über Androidgeräte Strong Swan Client und identischem Zertifikat funktioniert perfekt
System:
pfsense 2.4.4 rel p2 als Kaskade hinter fritzbox 7490, Client WIN10 1803
Mit meinem laienhaften Verständnis meine ich aus dem IPSEC Log (siehe unten) der pfsense zu erkennen, dass es am Zertifikat hängt.
Das Zertifikat wurde unter LokalerComputer installiert:
Die alternativen DNS Namen habe ich gem. Anleitung versucht einzutragen (durchgestrichen ist Adresse unter der die Fritzbox von außen erreichbar ist):
pfSense Name:
Zertifikat in der pfsense aktiv:
Die VPN Verbindung wurde wie hier in der Anleitung beschrieben mit der powershell ohne splittunneling eingerichtet.
Hat von Euch jemand eine Idee was ich bei der WIN10 VPN Konfiguration falsch mache ?
pfsense Log:
Mar 16 10:34:09 charon 12[NET] <con-mobile|33> sending packet: from 10.19.8.254[4500] to xxx [24198] (484 bytes)
Mar 16 10:34:09 charon 12[NET] <con-mobile|33> sending packet: from 10.19.8.254[4500] to xxx [24198] (1236 bytes)
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ EF(2/2) ]
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ EF(1/2) ]
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> splitting IKE message (1648 bytes) into 2 fragments
Mar 16 10:34:09 charon 12[ENC] <con-mobile|33> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> sending end entity cert "CN=pfsense, C=GE, ST=Germany, L=Ingolstadt, O=mm, OU=m"
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> authentication of 'pfsense' (myself) with RSA signature successful
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> peer supports MOBIKE
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_SERVER attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_DNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP6_ADDRESS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_SERVER attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_NBNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_DNS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> processing INTERNAL_IP4_ADDRESS attribute
Mar 16 10:34:09 charon 12[IKE] <con-mobile|33> initiating EAP_IDENTITY method (id 0x00)
Mar 16 10:34:09 charon 12[CFG] <con-mobile|33> selected peer config 'con-mobile'
Mar 16 10:34:09 charon 12[CFG] <33> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Mar 16 10:34:09 charon 12[CFG] <33> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Mar 16 10:34:09 charon 12[CFG] <33> looking for peer configs matching 10.19.8.254[%any]...xxx [192.168.43.71]
Mar 16 10:34:09 charon 12[IKE] <33> received 51 cert requests for an unknown ca
...
5c:b8:69:fe:8d:ef:c1:ed:66:27:ee:b2:12:0f:72:1b:b8:0a:0e:04
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for unknown ca with keyid 4a:5c:75:22:aa:46:bf:a4:08:9d:39:97:4e:bd:b4:a3:60:f7:a0:1d
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for "CN=pfsense, C=GE, ST=Germany, L=Ingolstadt, O=mm, OU=m"
...
Mar 16 10:34:09 charon 12[IKE] <33> received cert request for unknown ca with keyid 87:c1:62:a6:79:1e:bb:b9:37:a8:fe:4e:2f:35:0e:ff:00:4b:eb:e0
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #3 of 3, reassembled fragmented IKE message (1344 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(3/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (356 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #2 of 3, waiting for complete IKE message
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(2/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (580 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> received fragment #1 of 3, waiting for complete IKE message
Mar 16 10:34:09 charon 12[ENC] <33> parsed IKE_AUTH request 1 [ EF(1/3) ]
Mar 16 10:34:09 charon 12[NET] <33> received packet: from xxx [24198] to 10.19.8.254[4500] (580 bytes)
Mar 16 10:34:09 charon 16[JOB] next event in 19s 998ms, waiting
Mar 16 10:34:09 charon 16[JOB] next event in 19s 998ms, waiting
Mar 16 10:34:09 charon 12[NET] <33> sending packet: from 10.19.8.254[500] to xxx [12513] (473 bytes)
Mar 16 10:34:09 charon 12[ENC] <33> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Mar 16 10:34:09 charon 12[IKE] <33> sending cert request for "C=GE, ST=Germany, L=Ingolstadt, O=mm, E=m-my@online.de, CN=vpnca, OU=m"
Mar 16 10:34:09 charon 16[JOB] next event in 19s 999ms, waiting
Mar 16 10:34:09 charon 16[JOB] next event in 19s 999ms, waiting
Mar 16 10:34:09 charon 12[IKE] <33> remote host is behind NAT
Mar 16 10:34:09 charon 12[IKE] <33> local host is behind NAT, sending keep alives
Mar 16 10:34:08 charon 12[CFG] <33> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Mar 16 10:34:08 charon 12[CFG] <33> proposal matches
Mar 16 10:34:08 charon 12[CFG] <33> selecting proposal:
Mar 16 10:34:08 charon 12[IKE] <33> IKE_SA (unnamed)[33] state change: CREATED => CONNECTING
Mar 16 10:34:08 charon 12[IKE] <33> xxx is initiating an IKE_SA
Mar 16 10:34:08 charon 12[ENC] <33> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Mar 16 10:34:08 charon 12[IKE] <33> received Vid-Initial-Contact vendor ID
Mar 16 10:34:08 charon 12[IKE] <33> received MS-Negotiation Discovery Capable vendor ID
Mar 16 10:34:08 charon 12[IKE] <33> received MS NT5 ISAKMPOAKLEY v9 vendor ID
Mar 16 10:34:08 charon 12[CFG] <33> found matching ike config: 10.19.8.254...%any with prio 1052
Mar 16 10:34:08 charon 12[CFG] <33> candidate: 10.19.8.254...%any, prio 1052
Mar 16 10:34:08 charon 12[CFG] <33> candidate: %any...%any, prio 24
Mar 16 10:34:08 charon 12[CFG] <33> looking for an IKEv2 config for 10.19.8.254...xxx
Mar 16 10:34:08 charon 12[ENC] <33> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Mar 16 10:34:08 charon 12[NET] <33> received packet: from xxx [12513] to 10.19.8.254[500] (544 bytes)
Danke für's Verständnis. Log hab ich gekürzt und etwas anonymisiert.
Um sicher zugehen habe ich das Zertifikat in WIN mit der certmgr gelöscht. In der pfsense das Zertifikat unter "certivicates" und die CA unter "CAs" gelöscht und nach Anleitung noch einmal erstellt.
Unter "CAs" wie beschrieben den Export der .crt durchgeführt und in WIN importiert - Lokaler Computer - das neue Zertifikat steht jetzt wie im Bild der Anleitung drin.
Phase 1 angepasst - das neu erstellte Server-Zertifikat ausgewählt.
VPN Verbindung wie beschrieben mit Powershell erstellt.
Ergebnis:
Die Android Geräte mit Strong Swan funktionieren erwartungsgem. nach dem Wechsel auf das neue Zertifikat einwandfrei.
WIN10 --> Fehlermeldung - ungültiges Aufkommen erhalten
Im pfsense LOG gibt es immer noch die die "received cert request for unknown ca" Zeilen, welche auf ein Problem mit dem Zertifikat hindeuten.
Danach hat sich aber etwas verändert - ich gehe jedoch davon aus, dass es mit dem Zertifikat immer noch nicht passt.
Bin etwas ratlos.
LOG pfsense:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> lease 172.19.8.1 by 'vpnuser' went offline
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: DELETING => DESTROYING
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (80 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating INFORMATIONAL response 6 [ ]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA deleted
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: ESTABLISHED => DELETING
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> deleting IKE_SA con-mobile[1] between 10.19.8.254[pfsense]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> received DELETE for IKE_SA con-mobile[1]
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed INFORMATIONAL request 6 [ D ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (80 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (256 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 5 [ AUTH CPRP(ADDR SUBNET U_BANNER) N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(NO_PROP) ]
Mar 16 21:10:25 charon 13[CHD] <con-mobile|1> CHILD_SA con-mobile{1} state change: CREATED => DESTROYING
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> failed to establish CHILD_SA, keeping IKE_SA
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> no acceptable proposal found
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> configured proposals: ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> no acceptable ENCRYPTION_ALGORITHM found
...
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> no acceptable ENCRYPTION_ALGORITHM found
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> selecting proposal:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> found matching child config "con-mobile" with prio 12
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> candidate "con-mobile" with prio 10+2
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> 172.19.8.1/32|/0
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> proposing traffic selectors for other:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> 0.0.0.0/0|/0
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> proposing traffic selectors for us:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> building UNITY_BANNER attribute
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> building INTERNAL_IP4_SUBNET attribute
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> no virtual IP found for %any6 requested by 'vpnuser'
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> peer requested virtual IP %any6
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> assigning virtual IP 172.19.8.1 to peer 'vpnuser'
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> assigning new lease to 'vpnuser'
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> peer requested virtual IP %any
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> maximum IKE_SA lifetime 28745s
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> scheduling reauthentication in 28205s
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: CONNECTING => ESTABLISHED
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] established between 10.19.8.254[pfsense]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> authentication of 'pfsense' (myself) with EAP
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> authentication of '192.168.43.71' with EAP successful
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 5 [ AUTH ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (112 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (80 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 4 [ EAP/SUCC ]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> EAP method EAP_MSCHAPV2 succeeded, MSK established
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (80 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (144 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (144 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (112 bytes)
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> initiating EAP_MSCHAPV2 method (id 0xEC)
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> received EAP identity 'vpnuser'
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> parsed IKE_AUTH request 2 [ EAP/RES/ID ]
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (96 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (276 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (1236 bytes)
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ EF(2/2) ]
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ EF(1/2) ]
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> splitting IKE message (1440 bytes) into 2 fragments
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> sending end entity cert "CN=pfsense, C=DE, L=Ingolstadt"
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> authentication of 'pfsense' (myself) with RSA signature successful
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> peer supports MOBIKE
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_SERVER attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_DNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_ADDRESS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_SERVER attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_NBNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_DNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_ADDRESS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> initiating EAP_IDENTITY method (id 0x00)
Mar 16 21:10:25 charon 11[CFG] <con-mobile|1> selected peer config 'con-mobile'
Mar 16 21:10:25 charon 11[CFG] <1> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Mar 16 21:10:25 charon 11[CFG] <1> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Mar 16 21:10:25 charon 11[CFG] <1> looking for peer configs matching 10.19.8.254[%any]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 11[IKE] <1> received 52 cert requests for an unknown ca
Um sicher zugehen habe ich das Zertifikat in WIN mit der certmgr gelöscht. In der pfsense das Zertifikat unter "certivicates" und die CA unter "CAs" gelöscht und nach Anleitung noch einmal erstellt.
Unter "CAs" wie beschrieben den Export der .crt durchgeführt und in WIN importiert - Lokaler Computer - das neue Zertifikat steht jetzt wie im Bild der Anleitung drin.
Phase 1 angepasst - das neu erstellte Server-Zertifikat ausgewählt.
VPN Verbindung wie beschrieben mit Powershell erstellt.
Ergebnis:
Die Android Geräte mit Strong Swan funktionieren erwartungsgem. nach dem Wechsel auf das neue Zertifikat einwandfrei.
WIN10 --> Fehlermeldung - ungültiges Aufkommen erhalten
Im pfsense LOG gibt es immer noch die die "received cert request for unknown ca" Zeilen, welche auf ein Problem mit dem Zertifikat hindeuten.
Danach hat sich aber etwas verändert - ich gehe jedoch davon aus, dass es mit dem Zertifikat immer noch nicht passt.
Bin etwas ratlos.
LOG pfsense:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> lease 172.19.8.1 by 'vpnuser' went offline
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: DELETING => DESTROYING
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (80 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating INFORMATIONAL response 6 [ ]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA deleted
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: ESTABLISHED => DELETING
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> deleting IKE_SA con-mobile[1] between 10.19.8.254[pfsense]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> received DELETE for IKE_SA con-mobile[1]
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed INFORMATIONAL request 6 [ D ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (80 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (256 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 5 [ AUTH CPRP(ADDR SUBNET U_BANNER) N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(NO_PROP) ]
Mar 16 21:10:25 charon 13[CHD] <con-mobile|1> CHILD_SA con-mobile{1} state change: CREATED => DESTROYING
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> failed to establish CHILD_SA, keeping IKE_SA
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> no acceptable proposal found
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> configured proposals: ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> no acceptable ENCRYPTION_ALGORITHM found
...
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> no acceptable ENCRYPTION_ALGORITHM found
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> selecting proposal:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> found matching child config "con-mobile" with prio 12
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> candidate "con-mobile" with prio 10+2
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> 172.19.8.1/32|/0
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> proposing traffic selectors for other:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> 0.0.0.0/0|/0
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> proposing traffic selectors for us:
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> building UNITY_BANNER attribute
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> building INTERNAL_IP4_SUBNET attribute
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> no virtual IP found for %any6 requested by 'vpnuser'
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> peer requested virtual IP %any6
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> assigning virtual IP 172.19.8.1 to peer 'vpnuser'
Mar 16 21:10:25 charon 13[CFG] <con-mobile|1> assigning new lease to 'vpnuser'
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> peer requested virtual IP %any
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> maximum IKE_SA lifetime 28745s
Mar 16 21:10:25 charon 02[JOB] next event in 19s 646ms, waiting
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> scheduling reauthentication in 28205s
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] state change: CONNECTING => ESTABLISHED
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> IKE_SA con-mobile[1] established between 10.19.8.254[pfsense]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> authentication of 'pfsense' (myself) with EAP
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> authentication of '192.168.43.71' with EAP successful
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 5 [ AUTH ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (112 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (80 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 4 [ EAP/SUCC ]
Mar 16 21:10:25 charon 13[IKE] <con-mobile|1> EAP method EAP_MSCHAPV2 succeeded, MSK established
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (80 bytes)
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (144 bytes)
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[ENC] <con-mobile|1> parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]
Mar 16 21:10:25 charon 13[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (144 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (112 bytes)
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> initiating EAP_MSCHAPV2 method (id 0xEC)
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> received EAP identity 'vpnuser'
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> parsed IKE_AUTH request 2 [ EAP/RES/ID ]
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> received packet: from xxx[26163] to 10.19.8.254[4500] (96 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (276 bytes)
Mar 16 21:10:25 charon 11[NET] <con-mobile|1> sending packet: from 10.19.8.254[4500] to xxx[26163] (1236 bytes)
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ EF(2/2) ]
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ EF(1/2) ]
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> splitting IKE message (1440 bytes) into 2 fragments
Mar 16 21:10:25 charon 11[ENC] <con-mobile|1> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> sending end entity cert "CN=pfsense, C=DE, L=Ingolstadt"
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> authentication of 'pfsense' (myself) with RSA signature successful
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> peer supports MOBIKE
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_SERVER attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_DNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP6_ADDRESS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_SERVER attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_NBNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_DNS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> processing INTERNAL_IP4_ADDRESS attribute
Mar 16 21:10:25 charon 11[IKE] <con-mobile|1> initiating EAP_IDENTITY method (id 0x00)
Mar 16 21:10:25 charon 11[CFG] <con-mobile|1> selected peer config 'con-mobile'
Mar 16 21:10:25 charon 11[CFG] <1> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Mar 16 21:10:25 charon 11[CFG] <1> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Mar 16 21:10:25 charon 11[CFG] <1> looking for peer configs matching 10.19.8.254[%any]...xxx[192.168.43.71]
Mar 16 21:10:25 charon 11[IKE] <1> received 52 cert requests for an unknown ca
Danke für die Unterstützung. Habe Konfiguration aus dem Tutorial noch einmal gelöscht und von vorne mit dem Einrichten der CA bis zur WIN10 Client Konfiguration durchgearbeitet.
Verflixt - ich komm nicht weiter.
Die Fehlermeldung WIN10 VPN Verbindung : "Fehlermeldung IKE-Authentifizierung - Anmeldeinformationen sind nicht akzeptabel" belibt.
Der StrongSwan VPN Client auf den Androiden funktioniert wie einwandfrei.
Um das Tutorial Posting nicht weiter aufzublähen - gibt es vielleicht eine Chance für eine direkte Hilfe ?
Verflixt - ich komm nicht weiter.
Die Fehlermeldung WIN10 VPN Verbindung : "Fehlermeldung IKE-Authentifizierung - Anmeldeinformationen sind nicht akzeptabel" belibt.
Der StrongSwan VPN Client auf den Androiden funktioniert wie einwandfrei.
Um das Tutorial Posting nicht weiter aufzublähen - gibt es vielleicht eine Chance für eine direkte Hilfe ?
Vielen Dank fuer diese super Anleitung. Es hat alles auf anhieb funktioniert, da alles gut erklaert ist.
Ein kleines Problem habe ich allerdings nun, was ich nicht beheben kann.
Die Verbindung wird aufgebaut und ich kann das remote netzwerk von windows 10 aus erreichen.
Nach einer gewissen Zeit geht diese allerdings verloren, der Tunnelstatus bleibt aber auf aktiv. Da das ganze Neuland fuer micht ist, weis ich nicht, wo ich anfangen soll zu suchen. Ich habe mal versucht die Timeouts hochzusetzen, das hatte allerdings keinen Effekt. Nach einigem Lesen vermute ich, dass die Neuaushandlung der Phase 2 nicht funktioniert?
Ein kleines Problem habe ich allerdings nun, was ich nicht beheben kann.
Die Verbindung wird aufgebaut und ich kann das remote netzwerk von windows 10 aus erreichen.
Nach einer gewissen Zeit geht diese allerdings verloren, der Tunnelstatus bleibt aber auf aktiv. Da das ganze Neuland fuer micht ist, weis ich nicht, wo ich anfangen soll zu suchen. Ich habe mal versucht die Timeouts hochzusetzen, das hatte allerdings keinen Effekt. Nach einigem Lesen vermute ich, dass die Neuaushandlung der Phase 2 nicht funktioniert?
Apr 27 20:14:45 charon: 10[ENC] <con-mobile|34> generating CREATE_CHILD_SA response 184 [ N(NO_PROP) ]
Apr 27 20:14:45 charon: 10[CHD] <con-mobile|34> CHILD_SA con-mobile{2463} state change: CREATED => DESTROYING
Apr 27 20:14:45 charon: 10[IKE] <con-mobile|34> failed to establish CHILD_SA, keeping IKE_SA
Apr 27 20:14:45 charon: 10[IKE] <con-mobile|34> no acceptable proposal found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable ENCRYPTION_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable INTEGRITY_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable INTEGRITY_ALGORITHM found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> no acceptable DIFFIE_HELLMAN_GROUP found
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> selecting proposal:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> found matching child config "con-mobile" with prio 4
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> candidate "con-mobile" with prio 2+2
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> 10.0.10.200/32|/0
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> proposing traffic selectors for other:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> 10.0.0.0/24|/0
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> proposing traffic selectors for us:
Apr 27 20:14:45 charon: 10[CFG] <con-mobile|34> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
Apr 27 20:14:45 charon: 10[ENC] <con-mobile|34> parsed CREATE_CHILD_SA request 184 [ SA No TSi TSr ]
Apr 27 20:14:45 charon: 10[NET] <con-mobile|34> received packet: from 92.666.666.255[4500] to 666.666.20.201[4500] (304 bytes)
Danke fuer den Hinweis
Ich habe die logs durchgeschaut und bekomme genau die gleichen Angaben, nur beim "Rekey" geht was schief denke ich.
Es sieht bei der ersten Einwahl genau so aus und da funktioniert auch alles wunderbar. Alle Parameter stimmen mit dem Log ueberein.
Habe schon einiges ausprobiert, wie z.B. DPD disabled
Ist es sinnvoll den rekey zu disablen? Fuer Windows 7 wird es anscheinen empfohlen
https://wiki.strongswan.org/projects/strongswan/wiki/WindowsClients#CHIL ...
Ich habe die logs durchgeschaut und bekomme genau die gleichen Angaben, nur beim "Rekey" geht was schief denke ich.
Es sieht bei der ersten Einwahl genau so aus und da funktioniert auch alles wunderbar. Alle Parameter stimmen mit dem Log ueberein.
Habe schon einiges ausprobiert, wie z.B. DPD disabled
Ist es sinnvoll den rekey zu disablen? Fuer Windows 7 wird es anscheinen empfohlen
https://wiki.strongswan.org/projects/strongswan/wiki/WindowsClients#CHIL ...
May 2 17:32:40 charon: 12[CFG] <con-mobile|14> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
May 2 17:32:40 charon: 12[CFG] <con-mobile|14> 10.0.10.200/32|/0
May 2 17:32:40 charon: 12[CFG] <con-mobile|14> proposing traffic selectors for other:
May 2 17:32:40 charon: 12[CFG] <con-mobile|14> 10.0.0.0/24|/0
May 2 17:32:40 charon: 12[CFG] <con-mobile|14> proposing traffic selectors for us:
May 2 17:32:40 charon: 12[IKE] <con-mobile|14> activating CHILD_REKEY task
May 2 17:32:40 charon: 12[IKE] <con-mobile|14> activating new tasks
May 2 17:32:40 charon: 12[IKE] <con-mobile|14> queueing CHILD_REKEY task
May 2 17:32:37 charon: 16[CFG] vici client 405 disconnected
May 2 17:32:37 charon: 16[CFG] vici client 405 requests: list-sas
May 2 17:32:37 charon: 11[CFG] vici client 405 registered for: list-sa
May 2 17:32:37 charon: 05[CFG] vici client 405 connected
May 2 17:32:35 charon: 13[CFG] vici client 404 disconnected
May 2 17:32:35 charon: 13[CFG] vici client 404 requests: list-sas
May 2 17:32:35 charon: 13[CFG] vici client 404 registered for: list-sa
May 2 17:32:35 charon: 08[CFG] vici client 404 connected
May 2 17:32:32 charon: 14[CFG] vici client 403 disconnected
May 2 17:32:32 charon: 14[CFG] vici client 403 requests: list-sas
May 2 17:32:32 charon: 14[CFG] vici client 403 registered for: list-sa
May 2 17:32:32 charon: 09[CFG] vici client 403 connected
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> nothing to initiate
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> activating new tasks
May 2 17:32:31 charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{63} state change: CREATED => DESTROYING
May 2 17:32:31 charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{17} state change: REKEYING => INSTALLED
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> CHILD_SA rekeying failed, trying again in 9 seconds
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> failed to establish CHILD_SA, keeping IKE_SA
May 2 17:32:31 charon: 09[CFG] <con-mobile|14> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built
May 2 17:32:31 charon: 09[ENC] <con-mobile|14> parsed CREATE_CHILD_SA response 44 [ N(NO_PROP) ]
May 2 17:32:31 charon: 09[NET] <con-mobile|14> received packet: from 666.117.140.211[4500] to 666.76.59.91[4500] (80 bytes)
May 2 17:32:31 charon: 09[NET] <con-mobile|14> sending packet: from 666.76.59.91[4500] to 666.117.140.211[4500] (704 bytes)
May 2 17:32:31 charon: 09[ENC] <con-mobile|14> generating CREATE_CHILD_SA request 44 [ N(REKEY_SA) N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
May 2 17:32:31 charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{17} state change: INSTALLED => REKEYING
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> establishing CHILD_SA con-mobile{63} reqid 2
May 2 17:32:31 charon: 09[CFG] <con-mobile|14> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
May 2 17:32:31 charon: 09[CFG] <con-mobile|14> 10.0.10.200/32|/0
May 2 17:32:31 charon: 09[CFG] <con-mobile|14> proposing traffic selectors for other:
May 2 17:32:31 charon: 09[CFG] <con-mobile|14> 10.0.0.0/24|/0
May 2 17:32:31 charon: 09[CFG] <con-mobile|14> proposing traffic selectors for us:
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> activating CHILD_REKEY task
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> activating new tasks
May 2 17:32:31 charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{62} state change: CREATED => DESTROYING
May 2 17:32:31 charon: 09[CHD] <con-mobile|14> CHILD_SA con-mobile{17} state change: REKEYING => INSTALLED
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> CHILD_SA rekeying failed, trying again in 13 seconds
May 2 17:32:31 charon: 09[IKE] <con-mobile|14> failed to establish CHILD_SA, keeping IKE_SA
Bei mir hat die Anleitung bis einschließlich Windows 10 1809 einwandfrei funktioniert. Mit 1903 jedoch wird keine Verbindung mehr aufgebaut. Auf der pfSense sieht man auch erst gar keinen Verbindungsversuch. Hat sich hier also etwas geändert? Habe es nun auf 2 Systemen getestet, bei beiden das selbe Problem.
EDIT: ok das Problem liegt wirklich an 1903, aber nicht an der Konfiguration. Man darf die Verbindung nicht über die Taskleiste herstellen, sondern muss es über Einstellungen machen. Dann klappt es.
EDIT: ok das Problem liegt wirklich an 1903, aber nicht an der Konfiguration. Man darf die Verbindung nicht über die Taskleiste herstellen, sondern muss es über Einstellungen machen. Dann klappt es.
Kann ich bestätigen. Mit 1903 geht es nicht mehr.
Unter welchen Einstellungen klappt bei dir die Verbindung ?
Unter Netzwerkverbindungen öffnet sich bei mir auch nur wieder das Kontext Menu aus der Taskleiste, mit welchem es nicht geht.
Eventuell wäre dies auch ein Frage für einen Baum höher. Hier wird ja ein anderes Problem besprochen.
Edit
Ok auch wenn ich den Kommentar oben absetze ist er in diesem Thema .... Mein Fehler. Habe den "Baum" falsch verstanden.
Unter welchen Einstellungen klappt bei dir die Verbindung ?
Unter Netzwerkverbindungen öffnet sich bei mir auch nur wieder das Kontext Menu aus der Taskleiste, mit welchem es nicht geht.
Eventuell wäre dies auch ein Frage für einen Baum höher. Hier wird ja ein anderes Problem besprochen.
Edit
Ok auch wenn ich den Kommentar oben absetze ist er in diesem Thema .... Mein Fehler. Habe den "Baum" falsch verstanden.
Ja ich habe es korrigiert. Ich meinte natürlich die 1903 .... Habe einen weiteren Client getestet. Ab 1903 lässt sich die Verbindung nicht mehr via Taskleiste aufbauen.
Das es an Windows liegt ist unstrittig. Sie werden es aber genau so unstrittig nicht für uns ändern, so das wir einen anderen Weg finden müssen.
Das es an Windows liegt ist unstrittig. Sie werden es aber genau so unstrittig nicht für uns ändern, so das wir einen anderen Weg finden müssen.
Ja so geht es ja erst mal.
Beim Erstellen kannte ich diese Möglichkeit noch nicht. Da bekommt man etwas Bammel ;) Der Link scheint aber nicht direkt mit der 1903 zu tun zu haben, scheinbar hatten einige wenige das Problem schon vorher. Hoffen wir mal auf einen Bug nicht das es ein wie auch immer entartetes neues Win 10 Feature ist. welches das Menu verhindert.
Beim Erstellen kannte ich diese Möglichkeit noch nicht. Da bekommt man etwas Bammel ;) Der Link scheint aber nicht direkt mit der 1903 zu tun zu haben, scheinbar hatten einige wenige das Problem schon vorher. Hoffen wir mal auf einen Bug nicht das es ein wie auch immer entartetes neues Win 10 Feature ist. welches das Menu verhindert.
Aktuellste Version, siehe Bild. Klicke ich via Taskleiste auf die VPN Verbindung, bleibt es bei "Verbindung wird hergestellt" hängen und es kommt keine Anmeldemaske. Interessanterweise bekomme ich aktuell auf meiner Hauptmaschine nun auch die Meldung "Falscher Parameter", obwohl die Verbindung mal funktioniert hat. Im Log der pfSense bleibt es dann hier hängen:
Die Anbindung hat einen Upstream von 40 MBit/s. Zuvor gingen auch via LAN nicht mehr durch. Habe dann MSS Clamping in den Advanced Options von IPsec auf 1350 gesetzt. Damit schaffe ich via LAN nun knapp 200 MBit/s, was aber auch zu wenig ist. Die CPU ist dabei nicht mal 30% ausgelastet. Es ist übrigens inzwischen eine i7 CPU. WAN aber weiterhin je nach Anwendung maximal 25-30, meist eher 10-15 MBit/s. TCP/UDP ist dabei egal.
Jul 18 08:02:13 charon 10[JOB] <179> deleting half open IKE_SA with 192.168.1.20 after timeout
Jul 18 08:01:43 charon 10[NET] <179> sending packet: from xxx[500] to 192.168.1.20[500] (473 bytes)
Jul 18 08:01:43 charon 10[ENC] <179> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Jul 18 08:01:43 charon 10[IKE] <179> sending cert request for "xxx"
Jul 18 08:01:43 charon 10[CFG] <179> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Jul 18 08:01:43 charon 10[IKE] <179> 192.168.1.20 is initiating an IKE_SA
Jul 18 08:01:43 charon 10[ENC] <179> received unknown vendor ID: xxx
Jul 18 08:01:43 charon 10[IKE] <179> received Vid-Initial-Contact vendor ID
Jul 18 08:01:43 charon 10[IKE] <179> received MS-Negotiation Discovery Capable vendor ID
Jul 18 08:01:43 charon 10[IKE] <179> received MS NT5 ISAKMPOAKLEY v9 vendor ID
Jul 18 08:01:43 charon 10[ENC] <179> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Jul 18 08:01:43 charon 10[NET] <179> received packet: from 192.168.1.20[500] to xxx[500] (544 bytes)
Die Anbindung hat einen Upstream von 40 MBit/s. Zuvor gingen auch via LAN nicht mehr durch. Habe dann MSS Clamping in den Advanced Options von IPsec auf 1350 gesetzt. Damit schaffe ich via LAN nun knapp 200 MBit/s, was aber auch zu wenig ist. Die CPU ist dabei nicht mal 30% ausgelastet. Es ist übrigens inzwischen eine i7 CPU. WAN aber weiterhin je nach Anwendung maximal 25-30, meist eher 10-15 MBit/s. TCP/UDP ist dabei egal.
Hier noch ergänzende Hinweise:
Powershell Skript
Mit folgendem kann man den Parameter einfach nach Bedarf adaptieren. Ja, $false und nicht vorhanden sind ident, aber man muss suchen wie die Parameter für true sind. Damit wird das aber klar.
-SplitTunneling --> -SplitTunneling:$false
Phase1 - Interface
Das kann tricky sein, folgender Hinweis:
Wenn man mit dem WAN am ISP hängt und man hat zb Domains mit fester IP adresse registiert mit der/denen man per VPN zugreifen will, kann es sein dass die WAN IP und die Domain IP die am WAN mit ankommt NICHT ident sind. Man muss dann das Interface auf die richtige Domain IP stellen. Am besten ist es, wenn man vorher schon mal den Zugriff auf die internen Server via http eingerichtet und getestet hat, denn dann weis man dass das soweit funktioniert. (Hinweis, ein Alias für die zugewiesene statische Domain IP ist da sehr hilfreich).
W10x64 Build 1903
Bei mir kann man über die Taskleiste das VPN nicht starten. Man muss das dz. über die VPN Einstellungen machen. Wann das wieder geht...??
Nachtrag: siehe Manuelle VPN Wahl per Link
IOS12.3.1
Die Einstellungen gehen sehr einfach. Allerdings hat IOS hier auch einen Bug:
Man MUSS dz User und PWD als Parameter fest eintragen, sonst gibt es keinen Connect. Im pfsense log wäre alles ok, nur wird die Verbindung nicht final aufgebaut. Einen Bugreport bei Apple habe ich geschrieben.
Wunsch
Das Einzige was ich mir noch wünschen würde wäre zu wissen wie man das Stammzertifikat so exportiert/verarbeitet dass es mit einem Passwort geschützt ist, es aber genauso eingebunden werden kann wie beschrieben.
Powershell Skript
Mit folgendem kann man den Parameter einfach nach Bedarf adaptieren. Ja, $false und nicht vorhanden sind ident, aber man muss suchen wie die Parameter für true sind. Damit wird das aber klar.
-SplitTunneling --> -SplitTunneling:$false
Phase1 - Interface
Das kann tricky sein, folgender Hinweis:
Wenn man mit dem WAN am ISP hängt und man hat zb Domains mit fester IP adresse registiert mit der/denen man per VPN zugreifen will, kann es sein dass die WAN IP und die Domain IP die am WAN mit ankommt NICHT ident sind. Man muss dann das Interface auf die richtige Domain IP stellen. Am besten ist es, wenn man vorher schon mal den Zugriff auf die internen Server via http eingerichtet und getestet hat, denn dann weis man dass das soweit funktioniert. (Hinweis, ein Alias für die zugewiesene statische Domain IP ist da sehr hilfreich).
W10x64 Build 1903
Bei mir kann man über die Taskleiste das VPN nicht starten. Man muss das dz. über die VPN Einstellungen machen. Wann das wieder geht...??
Nachtrag: siehe Manuelle VPN Wahl per Link
IOS12.3.1
Die Einstellungen gehen sehr einfach. Allerdings hat IOS hier auch einen Bug:
Man MUSS dz User und PWD als Parameter fest eintragen, sonst gibt es keinen Connect. Im pfsense log wäre alles ok, nur wird die Verbindung nicht final aufgebaut. Einen Bugreport bei Apple habe ich geschrieben.
Wunsch
Das Einzige was ich mir noch wünschen würde wäre zu wissen wie man das Stammzertifikat so exportiert/verarbeitet dass es mit einem Passwort geschützt ist, es aber genauso eingebunden werden kann wie beschrieben.
Hallo aqui,
erstmal danke für das sehr gute tutorial, was mir heute Nacht viele Erfolgserlebnisse während meinen ersten Stunden mit pfSense beschert hat!
Eine Frage habe ich allerdings und ich komme nicht weiter...
Mein Setup..
iphone via LTE -> IP-Speedport -> pfsense.
Was geht....
Ich kann mich via ssh auf meine geräte z.B. Raspberry connecten, aber wenn ich z.b. https://www.wieistmeineip.de/ aufrufe, dann bekomme ich stets die IP, welche mein Iphone vom ISP zugewiesenen bekam gemeldet und nicht wie ich annehmen würde die IP meines meines Speedport-ISP`s, also Tcom....?
Fazit, ich "surfe" also nicht "durch" das VPN...
Kann es irgendwie sein, dass mein iphone (safari) denkt es bekommt alles ausser "meiner" privaten netze nicht aus dem tunnel? Wie kann ich dafür sorgen, dass mein iphone alles, also 0.0.0.0 über den Tunnel abwickelt?
Ich habe die Option "Liste mit zugänglichenNetzwerken dem Gerät zur Verfügung stellen" gecheckt, aber wie / wo konfiguriere ich das , oder bin ich schon auf dem Holzweg?
Wäre cool, wenn du eine idee hättest.
VG Daniel
erstmal danke für das sehr gute tutorial, was mir heute Nacht viele Erfolgserlebnisse während meinen ersten Stunden mit pfSense beschert hat!
Eine Frage habe ich allerdings und ich komme nicht weiter...
Mein Setup..
iphone via LTE -> IP-Speedport -> pfsense.
Was geht....
Ich kann mich via ssh auf meine geräte z.B. Raspberry connecten, aber wenn ich z.b. https://www.wieistmeineip.de/ aufrufe, dann bekomme ich stets die IP, welche mein Iphone vom ISP zugewiesenen bekam gemeldet und nicht wie ich annehmen würde die IP meines meines Speedport-ISP`s, also Tcom....?
Fazit, ich "surfe" also nicht "durch" das VPN...
Kann es irgendwie sein, dass mein iphone (safari) denkt es bekommt alles ausser "meiner" privaten netze nicht aus dem tunnel? Wie kann ich dafür sorgen, dass mein iphone alles, also 0.0.0.0 über den Tunnel abwickelt?
Ich habe die Option "Liste mit zugänglichenNetzwerken dem Gerät zur Verfügung stellen" gecheckt, aber wie / wo konfiguriere ich das , oder bin ich schon auf dem Holzweg?
Wäre cool, wenn du eine idee hättest.
VG Daniel
Hi aqui,
danke, da war es wohl doch zu spät für mch und ich habe diesen Absatz in der Nacht überlesen.
Ich habs gerade getestet, zuerst hatte ich keinen Erfolg, aber nachdem ich in Phase 1 unter Mobile Clients den Haken bei "Netzwerk-Liste >>x<< Liste mit zugänglichenNetzwerken dem Gerät zur Verfügung stellen" entfernte schnurrte es wie ein Kätzchen, danke!
VG Daniel
danke, da war es wohl doch zu spät für mch und ich habe diesen Absatz in der Nacht überlesen.
Ich habs gerade getestet, zuerst hatte ich keinen Erfolg, aber nachdem ich in Phase 1 unter Mobile Clients den Haken bei "Netzwerk-Liste >>x<< Liste mit zugänglichenNetzwerken dem Gerät zur Verfügung stellen" entfernte schnurrte es wie ein Kätzchen, danke!
VG Daniel
Hallo, @mrsunfire
Die hast geschrieben das du nach Neuinstallation des WMiniport treibers die VPN Verbindung wieder aus der Taskleiste heraus benutzen kannst.
Oder habe ich den Post im falschen Kontext gesehen ? Gab es da noch weitere Schritte ?
Ich habe das Problem weiterhin mit 14 Clients. Das Löschen und neustarten aller Miniport treiber aus dem Gerätemanager brachte keinen Erfolg
Gruß
Bernd
EDIT:
Ich bin einen Schritt weiter. Zumindest kommt jetzt die Benutzerauthentifizierung wieder.
Mittels dieser Anleitung :
Am Rechner als Benutzer mit „Administrator-Rechten“ anmelden
Den Registry Edit öffen
Zum Schlüssel „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Control Panel\Settings\Network“ navigieren
Den Eigentümer des Schlüssel-Ordner „Network“ ändern
Im Berechtigungen-Fenster „Erweitert“ auswählen
Im Fenster „Erweiterte Sicherheitseinstellungen“ bei Besitzer auf „Ändern“ klicken (am oberen Rand des Fensters)
Deinen Benutzernamen eingeben und Änderungen speicheren
Fenster für „Erweiterte Sicherheitseinstellungen“ schließen
Nun „Admininistratoren“ im Berechtigungsfenster auswählen
Sicherstellen, das „Vollzugiff“ ausgewählt ist und die Einstellungen übernehmen.
Doppelklick auf den Schlüssel „ReplaceVan“ und den Wert von 0 auf 2 ändern
Letzteres ist wohl nur die Ansicht. Aber wenn ich es auf 0 belasse kommt die Abfrage nicht
Allerdings erscheint dann eine Fehlermeldung Fehler 87 falscher Parameter.... Ich probiere noch etwas rum.
Die hast geschrieben das du nach Neuinstallation des WMiniport treibers die VPN Verbindung wieder aus der Taskleiste heraus benutzen kannst.
Oder habe ich den Post im falschen Kontext gesehen ? Gab es da noch weitere Schritte ?
Ich habe das Problem weiterhin mit 14 Clients. Das Löschen und neustarten aller Miniport treiber aus dem Gerätemanager brachte keinen Erfolg
Gruß
Bernd
EDIT:
Ich bin einen Schritt weiter. Zumindest kommt jetzt die Benutzerauthentifizierung wieder.
Mittels dieser Anleitung :
Am Rechner als Benutzer mit „Administrator-Rechten“ anmelden
Den Registry Edit öffen
Zum Schlüssel „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Control Panel\Settings\Network“ navigieren
Den Eigentümer des Schlüssel-Ordner „Network“ ändern
Im Berechtigungen-Fenster „Erweitert“ auswählen
Im Fenster „Erweiterte Sicherheitseinstellungen“ bei Besitzer auf „Ändern“ klicken (am oberen Rand des Fensters)
Deinen Benutzernamen eingeben und Änderungen speicheren
Fenster für „Erweiterte Sicherheitseinstellungen“ schließen
Nun „Admininistratoren“ im Berechtigungsfenster auswählen
Sicherstellen, das „Vollzugiff“ ausgewählt ist und die Einstellungen übernehmen.
Doppelklick auf den Schlüssel „ReplaceVan“ und den Wert von 0 auf 2 ändern
Letzteres ist wohl nur die Ansicht. Aber wenn ich es auf 0 belasse kommt die Abfrage nicht
Allerdings erscheint dann eine Fehlermeldung Fehler 87 falscher Parameter.... Ich probiere noch etwas rum.
Hallo, Ich nutze die Roadwarrior nach dieser Anleitung bereits länger erfolgreich. (Windows 10 Clients)
Was ich jedoch nicht hin bekomme ist das der Tunnel längere Zeit auch ohne Aktivität bestehen bleibt.
Nach unterschiedlicher Zeit verliert der Client die Verbindung, der Tunnel wird jedoch auf Windows 10 Seite offen angezeigt.
Ich habe Einstellungen seitens Windows auf Standard belassen, und nur die Shell Befehle abgesendet. Ich vermute etwas passt nicht zusammen, das der Tunnel nach einiger Zeit nicht mehr nutzbar ist. Das können 10 Minuten sein, oder auch 20. Grundsätzlich spricht nix dagegen den ungenutzten Tunnel zu beenden. Aber die Zeit bis dahin, womit hängt diese zusammen ? Und warum zeigt die Netzwerkverbindung Windows 10 immer noch verbunden an ?
lg
Bernd.
Was ich jedoch nicht hin bekomme ist das der Tunnel längere Zeit auch ohne Aktivität bestehen bleibt.
Nach unterschiedlicher Zeit verliert der Client die Verbindung, der Tunnel wird jedoch auf Windows 10 Seite offen angezeigt.
Ich habe Einstellungen seitens Windows auf Standard belassen, und nur die Shell Befehle abgesendet. Ich vermute etwas passt nicht zusammen, das der Tunnel nach einiger Zeit nicht mehr nutzbar ist. Das können 10 Minuten sein, oder auch 20. Grundsätzlich spricht nix dagegen den ungenutzten Tunnel zu beenden. Aber die Zeit bis dahin, womit hängt diese zusammen ? Und warum zeigt die Netzwerkverbindung Windows 10 immer noch verbunden an ?
lg
Bernd.
Hollo, und vielen Dank.
Sorry nicht ausführlich genug geschrieben. Ich meinte nach Anleitung auf Windows 10, also mit Boardmitteln ohne externen Client.
Mit der Lifetime versuche ich mal. Witzig ist das ich eine pfsense habe wo das Problem nicht auftritt. Ich kann jedoch keinen Unterschied ausmachen in der Config. Ausser das diese Verbindung das Passwort gespeichert hat.
Die Verbindung bricht unterhalb einer Stunde ab. Ich melde mich, wenn ich mehr weis.
Gruß
Bernd.
Sorry nicht ausführlich genug geschrieben. Ich meinte nach Anleitung auf Windows 10, also mit Boardmitteln ohne externen Client.
Mit der Lifetime versuche ich mal. Witzig ist das ich eine pfsense habe wo das Problem nicht auftritt. Ich kann jedoch keinen Unterschied ausmachen in der Config. Ausser das diese Verbindung das Passwort gespeichert hat.
Die Verbindung bricht unterhalb einer Stunde ab. Ich melde mich, wenn ich mehr weis.
Gruß
Bernd.
Erstmal vielen Dank für die tolle Anleitung. War auch für mich als Halb Laie gut anwendbar.
Genutzt werden zwei Internetanschlüsse mit Multi-WAN, Failover und Load Balance.
Folgende Fragen hätte ich noch.
1. Wie kann ich Nutzern nur bestimmte Zugangsberechtigungen geben, z. B. nur auf einen Serverdienst?
Kann ich das innerhalb der VPN Umgebung machen, muss ich es über Regeln in der FW definieren, muss ich eine neue Phase 1 und 2 aufmachen oder ist das gar nicht möglich?
2. Ich nutze Multi-WAN auf der pfSense. In der Phase 1 kann man ja auch als Interface, eine Gateway Gruppe auswählen. Wenn sich z. B. mehrere Benutzer gleichzeitig aufschalten wollen, kann dann die Last auf beide Anschlüsse verteilt werden oder geht das eigentlich gar nicht und es muss immer eine feste IP des Anschlusses pro Tunnel angegeben werden?
Habe eine Anleitung gefunden, dass mit einem Dyndns Dienst Mulit-WAN möglich wäre.
3. Sollte im Multi-WAN Betrieb für das VPN unter "System / Advanced / Miscellaneous --> Use sticky connections" verwendet werden?
Bei einem Webmail Anbieter hatte ich schon das Problem, dass die Verbindung nicht zustande kam, da anscheinend die Pakete immer über die zwei Leitungen rausgegangen sind. Aktiviere ich den Dienst, halbiert sich im Speedtest aber auch die Geschwindigkeit..
Waren jetzt viele Fragen und sage schon einmal vielen Dank vorab.
Genutzt werden zwei Internetanschlüsse mit Multi-WAN, Failover und Load Balance.
Folgende Fragen hätte ich noch.
1. Wie kann ich Nutzern nur bestimmte Zugangsberechtigungen geben, z. B. nur auf einen Serverdienst?
- Die ganzen Nutzer für das VPN lege ich unter Pre-Shared-Keys an.
- Unter "Tunnels" -> "Phase 2" habe ich zwei Einträge. Einmal wie in der Anleitung beschrieben, mit "Scheunentor" (gedacht für Admin) und einen mit einer Adresse der nur auf einen Serverdienst (Nutzer) soll.
Kann ich das innerhalb der VPN Umgebung machen, muss ich es über Regeln in der FW definieren, muss ich eine neue Phase 1 und 2 aufmachen oder ist das gar nicht möglich?
2. Ich nutze Multi-WAN auf der pfSense. In der Phase 1 kann man ja auch als Interface, eine Gateway Gruppe auswählen. Wenn sich z. B. mehrere Benutzer gleichzeitig aufschalten wollen, kann dann die Last auf beide Anschlüsse verteilt werden oder geht das eigentlich gar nicht und es muss immer eine feste IP des Anschlusses pro Tunnel angegeben werden?
Habe eine Anleitung gefunden, dass mit einem Dyndns Dienst Mulit-WAN möglich wäre.
3. Sollte im Multi-WAN Betrieb für das VPN unter "System / Advanced / Miscellaneous --> Use sticky connections" verwendet werden?
Bei einem Webmail Anbieter hatte ich schon das Problem, dass die Verbindung nicht zustande kam, da anscheinend die Pakete immer über die zwei Leitungen rausgegangen sind. Aktiviere ich den Dienst, halbiert sich im Speedtest aber auch die Geschwindigkeit..
Waren jetzt viele Fragen und sage schon einmal vielen Dank vorab.
Vielen Dank für die rasche Antwort.
Zum Verständnis, ob ich die Ipsec Anleitung vom Prinzip verstanden habe, folgende etwas längere Ausführung. Hoffe dadurch wird ersichtlich, ob ich a) es überhaupt einigermaßen verstanden habe und b) wo mein gedanklicher Knoten liegt. Meine Gedanken sind aus der Anwendersicht beschrieben und anhand der Gliederungspunkte der Anleitung.
Um die Verwirklichung um folgendes Szenario geht es:
Es gibt ein LAN 1 und LAN 2. An "Nutzergruppen" soll es Admins und Nutzer geben. Die Admins sollen auf beide LANs zugreifen dürfen. Die Nutzer jedoch nur auf einen bestimmten Dienst innerhalb des LAN2 (Zugriff auf Dateien auf Server, die im Datei-Explorer angezeigt werden sollen).
Die Einrichtung des VPN hat nach der Erstellung des Zertifikats und Einrichtung der Clients, drei Schritte (entsprechend der Anleitung):
1. Mobiles Client IPsec VPN auf der pfSense einrichten
Hier ermögliche ich überhaupt den Betrieb des VPN und vergebe einen IP-Adressbereich innerhalb der pfSense. Jeder angelegte Nutzer landet ja in diesem Adress-Bereich und die FW vergibt die Adressen nach dem Motto "wer zuerst kommt, malt zuerst".
Habe es so wie in der Anleitung konfiguriert.
2. IPsec Phase 1 Konfiguration:
Hier bestimme ich u. a. über welches Gateway die mobilen Nutzer rein kommen.
Habe es so wie in der Anleitung konfiguriert.
3. IPsec Phase 2 Konfiguration:
A) Das Local Network setzt man jetzt wie gewünscht. Normal ist immer “LAN subnet”, also das lokale LAN an der pfSense. Sollen weitere lokale Netzwerke an der pfSense (ggf. VLANs) in den Tunnel geroutet werden, dann werden sie hier eingetragen. (Bsp: 192.168.0.0 /16 routet alle 192.168er Netze in den VPN Tunnel)
B) ACHTUNG: Wer den gesamten Client Traffic in den Tunnel routen will setzt “Local Network” auf “Network”, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein.
"A" verstehe ich so, dass ich bestimmen kann, welcher Teil meines Netzwerkes von "außen" erreichbar ist.
"B" verstehe ich jedoch so, dass der komplette Traffic des Notebooks über den VPN gelenkt wird. Habe wo gelesen, dass dies sinnig wäre, wenn man z. B. in einem öffentlichen WLAN ist.
Hier habe ich mich dafür entschieden, dass der gesamte Traffic in den Tunnel geroutet werden soll für die Nutzer, da die Zugriffsrechte für die Nutzer "Verwalter" und "Nutzer" ja innerhalb der FW-Regeln-IPsec geregelt werden.
Benutzername und Passwörter für den VPN Zugriff einrichten:
Hier lege ich für jede Person einen Namen (Verwalter 1 bis 4, Nutzer 1 bis XX) und PW an.
Oder müsste hier in der pfSense über "System / User Manager" auch noch eine Anlegung von Benutzern erfolgen?
Firewall Regeln für IPsec einrichten
Entsprechend Ihrer Antwort, definiere ich hier auf welche Ressourcen die "Verwalter" und "Nutzer" Zugriff erlangen.
Hoffe ich habe das Prinzip einigermaßen richtig verstanden und angewandt.
Die offene Frage für mich ist jetzt, wie ich innerhalb der FW-Regeln-Ipsec, die Zugriffe für "Verwalter" und "Nutzer" regle.
Gehe davon aus, dass ich "Aliases" einrichten muss für "Verwalter" und "Nutzer".
Hierfür brauche ich ja aber IP-Adressen. Und die Adressvergabe erfolgt ja nach der ersten Anmeldung (Status / Ipsec / Leases) und bleibt dann gleich, oder?
Kann ich somit die Nutzertrennung erst einrichten, wenn sich alle das 1. Mal angemeldet haben?
Entschuldigung, dass die Ausführung etwas lang geworden ist. Hoffe jedoch es wird dadurch etwas leichter zu erkennen, wo mein gedanklicher Knoten liegt.
Gruß
Zum Verständnis, ob ich die Ipsec Anleitung vom Prinzip verstanden habe, folgende etwas längere Ausführung. Hoffe dadurch wird ersichtlich, ob ich a) es überhaupt einigermaßen verstanden habe und b) wo mein gedanklicher Knoten liegt. Meine Gedanken sind aus der Anwendersicht beschrieben und anhand der Gliederungspunkte der Anleitung.
Um die Verwirklichung um folgendes Szenario geht es:
Es gibt ein LAN 1 und LAN 2. An "Nutzergruppen" soll es Admins und Nutzer geben. Die Admins sollen auf beide LANs zugreifen dürfen. Die Nutzer jedoch nur auf einen bestimmten Dienst innerhalb des LAN2 (Zugriff auf Dateien auf Server, die im Datei-Explorer angezeigt werden sollen).
Die Einrichtung des VPN hat nach der Erstellung des Zertifikats und Einrichtung der Clients, drei Schritte (entsprechend der Anleitung):
1. Mobiles Client IPsec VPN auf der pfSense einrichten
Hier ermögliche ich überhaupt den Betrieb des VPN und vergebe einen IP-Adressbereich innerhalb der pfSense. Jeder angelegte Nutzer landet ja in diesem Adress-Bereich und die FW vergibt die Adressen nach dem Motto "wer zuerst kommt, malt zuerst".
Habe es so wie in der Anleitung konfiguriert.
2. IPsec Phase 1 Konfiguration:
Hier bestimme ich u. a. über welches Gateway die mobilen Nutzer rein kommen.
Habe es so wie in der Anleitung konfiguriert.
3. IPsec Phase 2 Konfiguration:
A) Das Local Network setzt man jetzt wie gewünscht. Normal ist immer “LAN subnet”, also das lokale LAN an der pfSense. Sollen weitere lokale Netzwerke an der pfSense (ggf. VLANs) in den Tunnel geroutet werden, dann werden sie hier eingetragen. (Bsp: 192.168.0.0 /16 routet alle 192.168er Netze in den VPN Tunnel)
B) ACHTUNG: Wer den gesamten Client Traffic in den Tunnel routen will setzt “Local Network” auf “Network”, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein.
"A" verstehe ich so, dass ich bestimmen kann, welcher Teil meines Netzwerkes von "außen" erreichbar ist.
"B" verstehe ich jedoch so, dass der komplette Traffic des Notebooks über den VPN gelenkt wird. Habe wo gelesen, dass dies sinnig wäre, wenn man z. B. in einem öffentlichen WLAN ist.
Hier habe ich mich dafür entschieden, dass der gesamte Traffic in den Tunnel geroutet werden soll für die Nutzer, da die Zugriffsrechte für die Nutzer "Verwalter" und "Nutzer" ja innerhalb der FW-Regeln-IPsec geregelt werden.
Benutzername und Passwörter für den VPN Zugriff einrichten:
Hier lege ich für jede Person einen Namen (Verwalter 1 bis 4, Nutzer 1 bis XX) und PW an.
Oder müsste hier in der pfSense über "System / User Manager" auch noch eine Anlegung von Benutzern erfolgen?
Firewall Regeln für IPsec einrichten
Entsprechend Ihrer Antwort, definiere ich hier auf welche Ressourcen die "Verwalter" und "Nutzer" Zugriff erlangen.
Hoffe ich habe das Prinzip einigermaßen richtig verstanden und angewandt.
Die offene Frage für mich ist jetzt, wie ich innerhalb der FW-Regeln-Ipsec, die Zugriffe für "Verwalter" und "Nutzer" regle.
Gehe davon aus, dass ich "Aliases" einrichten muss für "Verwalter" und "Nutzer".
Hierfür brauche ich ja aber IP-Adressen. Und die Adressvergabe erfolgt ja nach der ersten Anmeldung (Status / Ipsec / Leases) und bleibt dann gleich, oder?
Kann ich somit die Nutzertrennung erst einrichten, wenn sich alle das 1. Mal angemeldet haben?
Entschuldigung, dass die Ausführung etwas lang geworden ist. Hoffe jedoch es wird dadurch etwas leichter zu erkennen, wo mein gedanklicher Knoten liegt.
Gruß
Hier der Thread zu der Problematik mit fester IP Vergabe.
Benutzer mit Zugriffsrechten für IPsec VPN auf der pfSense anlegen - Problem mit Windows 10 Klient
Benutzer mit Zugriffsrechten für IPsec VPN auf der pfSense anlegen - Problem mit Windows 10 Klient
Vielen Dank @aqui für das tolle Tutorial.
Ich nutze OPNsense 20.1.4 und konnte erfolgreich eine Split-VPN einrichten.
Allerdings wird bei der Always on VPN nicht ins Internet geroutet. Ich habe wie im Tutorial beschrieben als Netzwerk 0.0.0.0/0 angegeben. Lediglich unter den Firewall Regeln wird die Option Gateway von "Standard" immer wieder nach dem Speichern auf "nothing selected" geändert. Haben Sie eine Idee was ich noch falsch gemacht haben könnte oder handelt es sich hierbei um ein bug?
Dankeschön
Ich nutze OPNsense 20.1.4 und konnte erfolgreich eine Split-VPN einrichten.
Allerdings wird bei der Always on VPN nicht ins Internet geroutet. Ich habe wie im Tutorial beschrieben als Netzwerk 0.0.0.0/0 angegeben. Lediglich unter den Firewall Regeln wird die Option Gateway von "Standard" immer wieder nach dem Speichern auf "nothing selected" geändert. Haben Sie eine Idee was ich noch falsch gemacht haben könnte oder handelt es sich hierbei um ein bug?
Dankeschön
Vielen Dank für die Antwort. Ich habe gestern nochmal probiert mit ihrem Hinweis die Always VPN Lösung unter Windows 10 sowie Android umzusetzen.
Mit dem Befehl route print bekam ich folgende Ausgabe(Per LTE mit dem Internet Verbunden + aktivierte VPN):
Netwerkziel 0.0.0.0 Netzmaske 0.0.0.0 Gateway 10.164.59.XX Schnittstelle 10.164.59.YY Metrik 4536
Netwerkziel 0.0.0.0 Netzmaske 0.0.0.0 Gateway Auf Verbindung Schnittstelle 10.0.100.2 Metrik 46
Für mich sieht das so erstmal korrekt aus. Jedoch habe ich nur Zugriff zum Intranet und nicht zu Internet.
Ich befürchte das bei OPNsense irgendeine route nicht funktioniert. Haben Sie noch einen Tipp für mich?
Mit dem Befehl route print bekam ich folgende Ausgabe(Per LTE mit dem Internet Verbunden + aktivierte VPN):
Netwerkziel 0.0.0.0 Netzmaske 0.0.0.0 Gateway 10.164.59.XX Schnittstelle 10.164.59.YY Metrik 4536
Netwerkziel 0.0.0.0 Netzmaske 0.0.0.0 Gateway Auf Verbindung Schnittstelle 10.0.100.2 Metrik 46
Für mich sieht das so erstmal korrekt aus. Jedoch habe ich nur Zugriff zum Intranet und nicht zu Internet.
Ich befürchte das bei OPNsense irgendeine route nicht funktioniert. Haben Sie noch einen Tipp für mich?
Ja ich bin noch nicht so Forum erfahren, in aller Regel Google ich mich tot bis ich es schaffe aber hier kam ich nicht weiter.
Danke für die Erklärung aber nach meinem Verständnis müsste damit die Client Seite richtig eingestellt sein. 10.0.100.2 ist mein VPN Netz. Das Intranet also Webseiten aus dem lokalen Netz funktionieren über die dauerhafte VPN nur nicht das WWW.
Ich muss doch nicht Serverseitig(OPNsense) noch eine eigene Route erstellen?
Danke für die Erklärung aber nach meinem Verständnis müsste damit die Client Seite richtig eingestellt sein. 10.0.100.2 ist mein VPN Netz. Das Intranet also Webseiten aus dem lokalen Netz funktionieren über die dauerhafte VPN nur nicht das WWW.
Ich muss doch nicht Serverseitig(OPNsense) noch eine eigene Route erstellen?
Das beruhigt mich schonmal.
Ist mit einem Hop direkt im Intranet.
Gibt 30 Hops a je "Zeitüberschreitung der Anforderung" an.
Über das Webinterface der OPNsense kann ich leider jedoch keine Tests aus dem VPN Netz machen. Oder gibt es da eine Möglichkeit?
Zitat von @aqui:
Was sagt denn ein Traceroute z.B. auf die 8.8.8.8 ? Geht das über den VPN Tunnel ins Internet ?
Was sagt denn ein Traceroute z.B. auf die 8.8.8.8 ? Geht das über den VPN Tunnel ins Internet ?
tracert 10.0.2.1
tracert 8.8.8.8
Über das Webinterface der OPNsense kann ich leider jedoch keine Tests aus dem VPN Netz machen. Oder gibt es da eine Möglichkeit?
Hallo aqui,
danke für die Anleitung, ich habe diese nachvollzogen und auch eine Verbindung über Android hinbekommen. Bei meinen WIn10 Rechnern bekomme ich allerdings die bekannte Fehlermeldung "ike-authentifizierung-anmeldeinformationen sind nicht akzeptabel" Ich habe die Zertifikate meiner pfSense 2.4.5-Release-p1kontolliert.Die CA in den Computer Store importiert etc..
Auf den Netgate-Seiten habe ich folgenden Workaround gefunden und den Registry Eintrag wie folgt gesetzt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters\ --> DisableIKENameEkuCheck=1
Damit bekomme ich eine IPSec Verbindung von WIN10 aus. Laut Netgate sollte das mit neueren pfSense Versionen nicht nötig sein. Ich denke ich habe ein EKU Problem. Da aber das Abschalten des EKU Checks ein Sicherheitsrisiko darstellt, möchte ich das ungern tun. Gibt es da eine Lösung wie ich das EKU des Serverzertifikates anpassen kann? Was benötigt WIN 10 überhabt. Mein aktuelles Zertifikat hat folgende Einträge:
Wie sieht das bei Euch aus? Was kann man verändern, damit auch ohne DisableIKENameEkuCheck=1 eine Verbindung aufgebaut wird.
Danke und Grüße ha
danke für die Anleitung, ich habe diese nachvollzogen und auch eine Verbindung über Android hinbekommen. Bei meinen WIn10 Rechnern bekomme ich allerdings die bekannte Fehlermeldung "ike-authentifizierung-anmeldeinformationen sind nicht akzeptabel" Ich habe die Zertifikate meiner pfSense 2.4.5-Release-p1kontolliert.Die CA in den Computer Store importiert etc..
Auf den Netgate-Seiten habe ich folgenden Workaround gefunden und den Registry Eintrag wie folgt gesetzt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters\ --> DisableIKENameEkuCheck=1
Damit bekomme ich eine IPSec Verbindung von WIN10 aus. Laut Netgate sollte das mit neueren pfSense Versionen nicht nötig sein. Ich denke ich habe ein EKU Problem. Da aber das Abschalten des EKU Checks ein Sicherheitsrisiko darstellt, möchte ich das ungern tun. Gibt es da eine Lösung wie ich das EKU des Serverzertifikates anpassen kann? Was benötigt WIN 10 überhabt. Mein aktuelles Zertifikat hat folgende Einträge:
Wie sieht das bei Euch aus? Was kann man verändern, damit auch ohne DisableIKENameEkuCheck=1 eine Verbindung aufgebaut wird.
Danke und Grüße ha
Ich habe die Einstellungen im Win Client über die PowerShell Befehle gemacht. Ein Test mit einem frischen 2004er brachte auch keinen Erfolg. Ich chaue mal ob ich noch ein 1909er Intsallationsmedium habe und teste das mal mit einer frischen Installation.
Die pfSense (2.4.5) hatte ich frisch aufgesetzt und meine alten Einstellungen inklusive OpenVPN Certifikaten (User) über ein Backup zurückgespielt. Könnte das damit zusammenhängen?
Die pfSense (2.4.5) hatte ich frisch aufgesetzt und meine alten Einstellungen inklusive OpenVPN Certifikaten (User) über ein Backup zurückgespielt. Könnte das damit zusammenhängen?
Das ist der Log mit einem fehlgeschlagenem Anmeldeversuch.
Sep 20 12:51:26 charon 09[JOB] <con-mobile|32> deleting half open IKE_SA with xx.xx.xx.237 (IP Client) after timeout
Sep 20 12:50:56 charon 09[NET] <con-mobile|32> sending packet: from xx.xx.xx.161 (WAN IP pfSense)[4500] to xx.xx.xx.237 (IP Client)[1641] (372 bytes)
Sep 20 12:50:56 charon 09[NET] <con-mobile|32> sending packet: from xx.xx.xx.161 (WAN IP pfSense)[4500] to xx.xx.xx.237 (IP Client)[1641] (1236 bytes)
Sep 20 12:50:56 charon 09[ENC] <con-mobile|32> generating IKE_AUTH response 1 [ EF(2/2) ]
Sep 20 12:50:56 charon 09[ENC] <con-mobile|32> generating IKE_AUTH response 1 [ EF(1/2) ]
Sep 20 12:50:56 charon 09[ENC] <con-mobile|32> splitting IKE message (1536 bytes) into 2 fragments
Sep 20 12:50:56 charon 09[ENC] <con-mobile|32> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Sep 20 12:50:56 charon 09[IKE] <con-mobile|32> sending end entity cert "CN=pfSense, C=DE, ST=Sxxxxx, L=Rxxxxx, O=Sxxx myHome"
Sep 20 12:50:56 charon 09[IKE] <con-mobile|32> authentication of 'pfSense' (myself) with RSA signature successful
Sep 20 12:50:56 charon 09[IKE] <con-mobile|32> peer supports MOBIKE
Sep 20 12:50:56 charon 09[IKE] <con-mobile|32> initiating EAP_IDENTITY method (id 0x00)
Sep 20 12:50:56 charon 09[CFG] <con-mobile|32> selected peer config 'con-mobile'
Sep 20 12:50:56 charon 09[CFG] <32> looking for peer configs matching xx.xx.xx.161 (WAN IP pfSense)[%any]...xx.xx.xx.237 (IP Client)[192.168.43.38]
Sep 20 12:50:56 charon 09[IKE] <32> received 47 cert requests for an unknown ca
Sep 20 12:50:56 charon 09[IKE] <32> received cert request for "CN=vpnca, C=DE, ST=Sxxxxx, L=Rxxxxx, O=Sxxx myHome"
Sep 20 12:50:56 charon 09[ENC] <32> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
Sep 20 12:50:56 charon 09[ENC] <32> received fragment #3 of 3, reassembled fragmented IKE message (1264 bytes)
Sep 20 12:50:56 charon 09[ENC] <32> parsed IKE_AUTH request 1 [ EF(3/3) ]
Sep 20 12:50:56 charon 09[NET] <32> received packet: from xx.xx.xx.237 (IP Client)[1641] to xx.xx.xx.161 (WAN IP pfSense)[4500] (276 bytes)
Sep 20 12:50:56 charon 09[ENC] <32> received fragment #2 of 3, waiting for complete IKE message
Sep 20 12:50:56 charon 09[ENC] <32> parsed IKE_AUTH request 1 [ EF(2/3) ]
Sep 20 12:50:56 charon 09[NET] <32> received packet: from xx.xx.xx.237 (IP Client)[1641] to xx.xx.xx.161 (WAN IP pfSense)[4500] (580 bytes)
Sep 20 12:50:56 charon 09[ENC] <32> received fragment #1 of 3, waiting for complete IKE message
Sep 20 12:50:56 charon 09[ENC] <32> parsed IKE_AUTH request 1 [ EF(1/3) ]
Sep 20 12:50:56 charon 09[NET] <32> received packet: from xx.xx.xx.237 (IP Client)[1641] to xx.xx.xx.161 (WAN IP pfSense)[4500] (580 bytes)
Sep 20 12:50:56 charon 09[NET] <32> sending packet: from xx.xx.xx.161 (WAN IP pfSense)[500] to xx.xx.xx.237 (IP Client)[11618] (481 bytes)
Sep 20 12:50:56 charon 09[ENC] <32> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
Sep 20 12:50:56 charon 09[IKE] <32> sending cert request for "CN=vpnca, C=DE, ST=Sxxxxx, L=Rxxxxx, O=Sxxx myHome"
Sep 20 12:50:56 charon 09[IKE] <32> remote host is behind NAT
Sep 20 12:50:56 charon 09[CFG] <32> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Sep 20 12:50:56 charon 09[IKE] <32> xx.xx.xx.237 (IP Client) is initiating an IKE_SA
Sep 20 12:50:56 charon 09[ENC] <32> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Sep 20 12:50:56 charon 09[IKE] <32> received Vid-Initial-Contact vendor ID
Sep 20 12:50:56 charon 09[IKE] <32> received MS-Negotiation Discovery Capable vendor ID
Sep 20 12:50:56 charon 09[IKE] <32> received MS NT5 ISAKMPOAKLEY v9 vendor ID
Sep 20 12:50:56 charon 09[ENC] <32> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Sep 20 12:50:56 charon 09[NET] <32> received packet: from xx.xx.xx.237 (IP Client)[11618] to xx.xx.xx.161 (WAN IP pfSense)[500] (544 bytes)
Die Ports bzw. ESP sind offen, vom Handy kann ich über strongSwan eine Verbindung aufbauen.
Die pfSense baut die Verbindung über PPOE zum Provider selber auf. Sollte also alles passen.
Was ich auch nicht einordnen kann, wenn ich auf dem Windows PC die Prüfung des EKU in der Registry abschalte, wird auch eine Verbindung aufgebaut.
Ich weiß nicht so recht was icht testen und ob ich auf pfSense oder Win Seite suchen soll.
Die pfSense baut die Verbindung über PPOE zum Provider selber auf. Sollte also alles passen.
Was ich auch nicht einordnen kann, wenn ich auf dem Windows PC die Prüfung des EKU in der Registry abschalte, wird auch eine Verbindung aufgebaut.
Ich weiß nicht so recht was icht testen und ob ich auf pfSense oder Win Seite suchen soll.
Hallo,
vielen Dank für die präzise Anleitung zur Einrichtung eines VPN mit OPNSense/pfsense! Hat bei mir mit OPNSense fast problemlos funktioniert. Es gab nur zwei kleine Stolpersteine bei der Einrichtung des Windows 10 Clients (Win 10 Pro 2004):
Evtl. ist das in anderen Fällen auch so.
vielen Dank für die präzise Anleitung zur Einrichtung eines VPN mit OPNSense/pfsense! Hat bei mir mit OPNSense fast problemlos funktioniert. Es gab nur zwei kleine Stolpersteine bei der Einrichtung des Windows 10 Clients (Win 10 Pro 2004):
- ich musste ein P12-Zertifkat (das den User-Key enthält) importieren, damit die Verbindung zustande kommt (nicht die CRT-Datei)
- der Befehl für die Konfiguration des Routing musste noch den Parameter '-AllUserConnection' enthalten, damit das lokale Netz verfügbar war:
Add-VpnConnectionRoute -ConnectionName "pfSense" -DestinationPrefix 192.168.1.0/24 -AllUserConnection -PassThru
Evtl. ist das in anderen Fällen auch so.
Ich habe noch ein wenig zum "ike-authentifizierung-anmeldeinformationen sind nicht akzeptabel" Problem gesucht und eine Lösung (zumindest für mich) gefunden, die ich euch nicht vorenthalten will. Ich habe ein Zertifikat erzeugt wie oben in der Anleitung beschreiben erzeugt. Ich habe dann zusätzlich die kürze Variante "pfsense.meinedomain" und den DynDNS-Namen der pfSense als Alternative DNS-Namen ergänzt und konnte mich ohne Fehler von meinem WIN10 einwählen.
Vielleicht hilft es ja auch anderen weiter.
Grüße
Vielleicht hilft es ja auch anderen weiter.
Grüße
Meinst du die DNS Konfiguration der pfSense? Ich habe noch mal Kombinationen mit und ohne verkürztem DNS Eintarg und DynDNS Hostnamen probiert und tatsächlich hat am Ende der alternative FQDN Eintrag des Hostnamen des DynDNS Service den Erfolg für mich gebracht.
Grüße und danke noch mal für die Anleitung.
Grüße und danke noch mal für die Anleitung.
Eine Frage zum Abschnitt Mobiles Client IPsec VPN auf der pfSense einrichten: Den Clients wird ja eine IP aus einem ansonsten ungenutzten IP Netzwerk zugewiesen, bspw. die 10.10.10.1. Können Sie dann trotzdem "ganz normal" über die IP-Adressen des LANs, an das sie so angebunden sind auf die anderen Netzwerkteilnehmer zugreifen, also bspw. über 192.168.0.18?
Und über welche IP sind die Clients dann aus dem LAN erreichbar? Bei unserem alten Router haben Sie eine Adresse aus dem IP-Pool des LAN bekommen.
Und über welche IP sind die Clients dann aus dem LAN erreichbar? Bei unserem alten Router haben Sie eine Adresse aus dem IP-Pool des LAN bekommen.
Wir bekommen einen Verbindungsaufbau hin, werden aber regelmäßig nach wenigen Minuten mit der Meldung "failed to establish CHILD_SA, keeping IKE_SA / no acceptable proposal found" wieder rausgekickt. Das betrifft sowohl Mac OS als auch iOS.
Kennst Du den Effekt? So sieht das Log aus:
Kennst Du den Effekt? So sieht das Log aus:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> lease 10.10.10.1 by 'admin@example.com' went offline
Oct 13 10:40:05 charon 10[CHD] <con-mobile|4> CHILD_SA con-mobile{3} state change: INSTALLED => DESTROYING
Oct 13 10:40:05 charon 10[IKE] <con-mobile|4> IKE_SA con-mobile[4] state change: DELETING => DESTROYING
Oct 13 10:40:05 charon 10[NET] <con-mobile|4> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (80 bytes)
Oct 13 10:40:05 charon 10[ENC] <con-mobile|4> generating INFORMATIONAL response 1 [ ]
Oct 13 10:40:05 charon 10[IKE] <con-mobile|4> IKE_SA deleted
Oct 13 10:40:05 charon 10[IKE] <con-mobile|4> IKE_SA con-mobile[4] state change: ESTABLISHED => DELETING
Oct 13 10:40:05 charon 10[IKE] <con-mobile|4> deleting IKE_SA con-mobile[4] between 37.24.xx.xx[pfSense]...192.168.10.18[192.168.10.18]
Oct 13 10:40:05 charon 10[IKE] <con-mobile|4> received DELETE for IKE_SA con-mobile[4]
Oct 13 10:40:05 charon 10[ENC] <con-mobile|4> parsed INFORMATIONAL request 1 [ D ]
Oct 13 10:40:05 charon 10[NET] <con-mobile|4> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (80 bytes)
Oct 13 10:40:05 charon 10[NET] <con-mobile|4> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (80 bytes)
Oct 13 10:40:05 charon 10[ENC] <con-mobile|4> generating CREATE_CHILD_SA response 0 [ N(NO_PROP) ]
Oct 13 10:40:05 charon 10[CHD] <con-mobile|4> CHILD_SA con-mobile{4} state change: CREATED => DESTROYING
Oct 13 10:40:05 charon 10[CHD] <con-mobile|4> CHILD_SA con-mobile{3} state change: REKEYING => INSTALLED
Oct 13 10:40:05 charon 10[CHD] <con-mobile|4> CHILD_SA con-mobile{3} state change: INSTALLED => REKEYING
Oct 13 10:40:05 charon 10[IKE] <con-mobile|4> failed to establish CHILD_SA, keeping IKE_SA
Oct 13 10:40:05 charon 10[IKE] <con-mobile|4> no acceptable proposal found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable ENCRYPTION_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable INTEGRITY_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable INTEGRITY_ALGORITHM found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> no acceptable DIFFIE_HELLMAN_GROUP found
Oct 13 10:40:05 charon 10[CFG] <con-mobile|4> selecting proposal:
Oct 13 10:40:05 charon 10[ENC] <con-mobile|4> parsed CREATE_CHILD_SA request 0 [ N(REKEY_SA) SA No TSi TSr ]
Oct 13 10:40:05 charon 10[NET] <con-mobile|4> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (192 bytes)
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> IKE_SA con-mobile[3] state change: DELETING => DESTROYING
Oct 13 10:40:04 charon 13[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (80 bytes)
Oct 13 10:40:04 charon 13[ENC] <con-mobile|3> generating INFORMATIONAL response 7 [ ]
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> IKE_SA deleted
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> IKE_SA con-mobile[3] state change: REKEYED => DELETING
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> deleting IKE_SA con-mobile[3] between 37.24.xx.xx[pfSense]...192.168.10.18[192.168.10.18]
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> received DELETE for IKE_SA con-mobile[3]
Oct 13 10:40:04 charon 13[ENC] <con-mobile|3> parsed INFORMATIONAL request 7 [ D ]
Oct 13 10:40:04 charon 13[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (80 bytes)
Oct 13 10:40:04 charon 13[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (432 bytes)
Oct 13 10:40:04 charon 13[ENC] <con-mobile|3> generating CREATE_CHILD_SA response 6 [ SA No KE ]
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> IKE_SA con-mobile[3] state change: ESTABLISHED => REKEYED
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> rescheduling reauthentication in 27505s after rekeying, lifetime reduced to 28045s
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> IKE_SA con-mobile[4] rekeyed between 37.24.xx.xx[pfSense]...192.168.10.18[192.168.10.18]
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> maximum IKE_SA lifetime 28701s
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> scheduling reauthentication in 28161s
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> IKE_SA con-mobile[4] state change: CONNECTING => ESTABLISHED
Oct 13 10:40:04 charon 13[CFG] <con-mobile|3> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Oct 13 10:40:04 charon 13[CFG] <con-mobile|3> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Oct 13 10:40:04 charon 13[CFG] <con-mobile|3> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Oct 13 10:40:04 charon 13[CFG] <con-mobile|3> proposal matches
Oct 13 10:40:04 charon 13[CFG] <con-mobile|3> selecting proposal:
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> IKE_SA con-mobile[4] state change: CREATED => CONNECTING
Oct 13 10:40:04 charon 13[IKE] <con-mobile|3> 192.168.10.18 is initiating an IKE_SA
Oct 13 10:40:04 charon 13[ENC] <con-mobile|3> parsed CREATE_CHILD_SA request 6 [ SA No KE ]
Oct 13 10:40:04 charon 13[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (416 bytes)
Oct 13 10:39:40 charon 13[IKE] <con-mobile|3> nothing to initiate
Oct 13 10:39:40 charon 13[IKE] <con-mobile|3> activating new tasks
Oct 13 10:39:40 charon 13[ENC] <con-mobile|3> parsed INFORMATIONAL response 12 [ ]
Oct 13 10:39:40 charon 13[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (80 bytes)
Oct 13 10:39:40 charon 13[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (80 bytes)
Oct 13 10:39:40 charon 13[ENC] <con-mobile|3> generating INFORMATIONAL request 12 [ ]
Oct 13 10:39:40 charon 13[IKE] <con-mobile|3> activating IKE_DPD task
Oct 13 10:39:40 charon 13[IKE] <con-mobile|3> activating new tasks
Oct 13 10:39:40 charon 13[IKE] <con-mobile|3> queueing IKE_DPD task
Oct 13 10:39:40 charon 13[IKE] <con-mobile|3> sending DPD request
Oct 13 10:39:05 charon 13[IKE] <con-mobile|3> nothing to initiate
(...)
Oct 13 10:33:14 charon 02[IKE] <con-mobile|3> activating new tasks
Oct 13 10:33:14 charon 02[ENC] <con-mobile|3> parsed INFORMATIONAL response 1 [ ]
Oct 13 10:33:14 charon 02[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (80 bytes)
Oct 13 10:33:14 charon 02[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (80 bytes)
Oct 13 10:33:14 charon 02[ENC] <con-mobile|3> generating INFORMATIONAL request 1 [ ]
Oct 13 10:33:14 charon 02[IKE] <con-mobile|3> activating IKE_DPD task
Oct 13 10:33:14 charon 02[IKE] <con-mobile|3> activating new tasks
Oct 13 10:33:14 charon 02[IKE] <con-mobile|3> queueing IKE_DPD task
Oct 13 10:33:14 charon 02[IKE] <con-mobile|3> sending DPD request
Oct 13 10:32:39 charon 02[IKE] <con-mobile|3> nothing to initiate
Oct 13 10:32:39 charon 02[IKE] <con-mobile|3> activating new tasks
Oct 13 10:32:39 charon 02[ENC] <con-mobile|3> parsed INFORMATIONAL response 0 [ ]
Oct 13 10:32:39 charon 02[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (80 bytes)
Oct 13 10:32:39 charon 02[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (80 bytes)
Oct 13 10:32:39 charon 02[ENC] <con-mobile|3> generating INFORMATIONAL request 0 [ ]
Oct 13 10:32:39 charon 02[IKE] <con-mobile|3> activating IKE_DPD task
Oct 13 10:32:39 charon 02[IKE] <con-mobile|3> activating new tasks
Oct 13 10:32:39 charon 02[IKE] <con-mobile|3> queueing IKE_DPD task
Oct 13 10:32:39 charon 02[IKE] <con-mobile|3> sending DPD request
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (336 bytes)
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> generating IKE_AUTH response 5 [ AUTH CPRP(ADDR SUBNET U_BANNER) N(ESP_TFC_PAD_N) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> CHILD_SA con-mobile{3} state change: INSTALLING => INSTALLED
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> CHILD_SA con-mobile{3} established with SPIs ca7d94ae_i 0a3416e5_o and TS 192.168.0.0/24|/0 === 10.10.10.1/32|/0
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> SPI 0x0a3416e5, src 37.24.xx.xx dst 192.168.10.18
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> adding outbound ESP SA
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> SPI 0xca7d94ae, src 192.168.10.18 dst 37.24.xx.xx
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> adding inbound ESP SA
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> using HMAC_SHA2_256_128 for integrity
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> using AES_CBC for encryption
Oct 13 10:32:04 charon 15[CHD] <con-mobile|3> CHILD_SA con-mobile{3} state change: CREATED => INSTALLING
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> config: 10.10.10.1/32|/0, received: ::/0|/0 => no match
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> config: 10.10.10.1/32|/0, received: 0.0.0.0/0|/0 => match: 10.10.10.1/32|/0
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> selecting traffic selectors for other:
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> config: 192.168.0.0/24|/0, received: ::/0|/0 => no match
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> config: 192.168.0.0/24|/0, received: 0.0.0.0/0|/0 => match: 192.168.0.0/24|/0
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> selecting traffic selectors for us:
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_16_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_12_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ, ESP:AES_GCM_8_256/MODP_2048/NO_EXT_SEQ
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> proposal matches
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> selecting proposal:
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> found matching child config "con-mobile" with prio 4
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> candidate "con-mobile" with prio 2+2
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> 10.10.10.1/32|/0
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> proposing traffic selectors for other:
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> 192.168.0.0/24|/0
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> proposing traffic selectors for us:
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> looking for a child config for 0.0.0.0/0|/0 ::/0|/0 === 0.0.0.0/0|/0 ::/0|/0
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> building UNITY_BANNER attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> building INTERNAL_IP4_SUBNET attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> no virtual IP found for %any6 requested by 'admin@example.com'
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> peer requested virtual IP %any6
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> assigning virtual IP 10.10.10.1 to peer 'admin@example.com'
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> reassigning offline lease to 'admin@example.com'
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> peer requested virtual IP %any
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> maximum IKE_SA lifetime 28525s
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> scheduling reauthentication in 27985s
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> IKE_SA con-mobile[3] state change: CONNECTING => ESTABLISHED
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> IKE_SA con-mobile[3] established between 37.24.xx.xx[pfSense]...192.168.10.18[192.168.10.18]
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> authentication of 'pfSense' (myself) with EAP
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> authentication of '192.168.10.18' with EAP successful
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> parsed IKE_AUTH request 5 [ AUTH ]
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (112 bytes)
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (80 bytes)
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> generating IKE_AUTH response 4 [ EAP/SUCC ]
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> EAP method EAP_MSCHAPV2 succeeded, MSK established
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (80 bytes)
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (144 bytes)
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (160 bytes)
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (112 bytes)
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> initiating EAP_MSCHAPV2 method (id 0xC4)
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> received EAP identity 'admin@example.com'
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> parsed IKE_AUTH request 2 [ EAP/RES/ID ]
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (96 bytes)
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (404 bytes)
Oct 13 10:32:04 charon 15[NET] <con-mobile|3> sending packet: from 37.24.xx.xx[4500] to 192.168.10.18[4500] (1236 bytes)
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> generating IKE_AUTH response 1 [ EF(2/2) ]
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> generating IKE_AUTH response 1 [ EF(1/2) ]
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> splitting IKE message (1568 bytes) into 2 fragments
Oct 13 10:32:04 charon 15[ENC] <con-mobile|3> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> sending end entity cert "CN=pfSense, C=DE, ST=NRW, L=Cologne, O=Office, OU=CEO"
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> authentication of 'pfSense' (myself) with RSA signature successful
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> peer supports MOBIKE
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> processing INTERNAL_IP6_DNS attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> processing INTERNAL_IP6_DHCP attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> processing INTERNAL_IP6_ADDRESS attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> processing INTERNAL_IP4_NETMASK attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> processing INTERNAL_IP4_DNS attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> processing INTERNAL_IP4_DHCP attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> processing INTERNAL_IP4_ADDRESS attribute
Oct 13 10:32:04 charon 15[IKE] <con-mobile|3> initiating EAP_IDENTITY method (id 0x00)
Oct 13 10:32:04 charon 15[CFG] <con-mobile|3> selected peer config 'con-mobile'
Oct 13 10:32:04 charon 15[CFG] <3> candidate "con-mobile", match: 20/1/1052 (me/other/ike)
Oct 13 10:32:04 charon 15[CFG] <3> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Oct 13 10:32:04 charon 15[CFG] <3> looking for peer configs matching 37.24.xx.xx[pfSense]...192.168.10.18[192.168.10.18]
Oct 13 10:32:04 charon 15[ENC] <3> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Oct 13 10:32:04 charon 15[NET] <3> received packet: from 192.168.10.18[4500] to 37.24.xx.xx[4500] (496 bytes)
Oct 13 10:32:04 charon 15[NET] <3> sending packet: from 37.24.xx.xx[500] to 192.168.10.18[500] (481 bytes)
Oct 13 10:32:04 charon 15[ENC] <3> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
Oct 13 10:32:04 charon 15[IKE] <3> sending cert request for "CN=internal-ca, C=DE, ST=NRW, L=Cologne, O=Office, OU=CEO"
Oct 13 10:32:04 charon 15[CFG] <3> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Oct 13 10:32:04 charon 15[CFG] <3> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Oct 13 10:32:04 charon 15[CFG] <3> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Oct 13 10:32:04 charon 15[CFG] <3> proposal matches
Oct 13 10:32:04 charon 15[CFG] <3> selecting proposal:
Oct 13 10:32:04 charon 15[IKE] <3> IKE_SA (unnamed)[3] state change: CREATED => CONNECTING
Oct 13 10:32:04 charon 15[IKE] <3> 192.168.10.18 is initiating an IKE_SA
Oct 13 10:32:04 charon 15[CFG] <3> found matching ike config: 37.24.xx.xx...%any with prio 1052
Oct 13 10:32:04 charon 15[CFG] <3> candidate: 37.24.xx.xx...%any, prio 1052
Oct 13 10:32:04 charon 15[CFG] <3> candidate: %any...%any, prio 24
Oct 13 10:32:04 charon 15[CFG] <3> looking for an IKEv2 config for 37.24.xx.xx...192.168.10.18
Oct 13 10:32:04 charon 15[ENC] <3> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Oct 13 10:32:04 charon 15[NET] <3> received packet: from 192.168.10.18[500] to 37.24.xx.xx[500] (604 bytes)
Wenn es bei Dir augenscheinlich geklappt hat, dann hast Du einfach nicht lange genug auf den Verbindungsabbruch gewartet. Es gibt einen lange bekannten Bug unter MacOS und iOS, der bei Einsatz von Perfect Forward Secrecy (PFS) beim ersten Rekey (je nach System nach 8 bis 20 Minuten) für einen Abbruch sorgt.
Da für Phase 2 die PFS key group auf 14 = 2048 bit steht, erwartet die pfSense beim Rekey
bekommt vom Clienten aber nur
Es fehlt also clientseitig MODP_2048 und die Verbindung wird getrennt. Interessant ist auch diese Zusammenfassung des Problems.
Ich habe die PFS key group für Phase 2 testweise mal auf "none" gestellt und siehe da, die Verbindung ist stabil.
Als Lösungsvorschlag werden einige Umstellungen im Apple eigenen VPN-Profil über den Apple Configurator diskutiert. Das ist dann aber eben nicht mehr einfach "out of the box", sondern erfordert manuelle Eingriffe. Das Tutorial ist in diesem Punkt also irreführend.
Wie könnte man das ohne den Apple Configurator elegant lösen?
Da für Phase 2 die PFS key group auf 14 = 2048 bit steht, erwartet die pfSense beim Rekey
ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ
ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Es fehlt also clientseitig MODP_2048 und die Verbindung wird getrennt. Interessant ist auch diese Zusammenfassung des Problems.
Ich habe die PFS key group für Phase 2 testweise mal auf "none" gestellt und siehe da, die Verbindung ist stabil.
Als Lösungsvorschlag werden einige Umstellungen im Apple eigenen VPN-Profil über den Apple Configurator diskutiert. Das ist dann aber eben nicht mehr einfach "out of the box", sondern erfordert manuelle Eingriffe. Das Tutorial ist in diesem Punkt also irreführend.
Wie könnte man das ohne den Apple Configurator elegant lösen?
Man lernt hier immer dazu.
@aqui: Würdest du es wagen auch für AES-128 und DH-2 eine Entschlüsselungszeit zu schätzen?
LG
Buc
@aqui: Würdest du es wagen auch für AES-128 und DH-2 eine Entschlüsselungszeit zu schätzen?
LG
Buc
Definiere bitte "mehrere"
Aber wer weiss was die CIA und die anderen Sclapphüte so an HW in ihren Rechenzentren haben ?!? Ein Schelm wer Böses dabei denkt...
Seit 2001 haben die quasi unbegrenzte Mittel. Die schicken dir tausende GPU's auf den Hals, wenn denen das wichtig ist, befürchte ich...Das es ihnen aber zunehmend Probleme bereitet sieht man daran:
https://www.heise.de/news/Five-Eyes-plus-Durchgehende-Verschluesselung-g ...
Jo. So ist das heute.https://www.heise.de/news/Five-Eyes-plus-Durchgehende-Verschluesselung-g ...
Aber solange die halbe Welt RDP weiter ohne VPN ins Internet stellt ist alles OK.
Schlimmer noch: "Ungepatcht"
CU
Buc
Na gut. Aber das prinzipielle Thema "Sicherheit von VPN_Verbindungen in Abhängigkeit von der eingesetzten Verschlüsselungsstärke" tangiert da ja schon. Insbesondere da sich das auf eher schwacher Hardware mit der PfSense schon auf die Performance auswirkt.
All das Recycling und das Energiesparen nützt ja nix mehr wenn die Sicherheit leidet.
Aber die "großen" Fragen gerne woanders.
e mare libertas
Buc
All das Recycling und das Energiesparen nützt ja nix mehr wenn die Sicherheit leidet.
Aber die "großen" Fragen gerne woanders.
e mare libertas
Buc
Danke für die tolle Anleitung!
Ich habe seit Jahren eine APU2 mit pfSense (aktuell 2.4.5-p1). OpenVPN-Server läuft stabil, es gibt aber ein bekanntes Problem bei Filetransfers (die Übertragungsrate von SMB über OpenVPN bricht ins Bodenlose ein). In der Hoffnung das Problem mit IPSec-Tunnel zu lösen habe ich nach dieser Anleitung den IPsec-Server konfiguriert.
Verbindung klappte sofort, komme leider mit meinem Halbwissen an einigen Stellen nicht weiter.
Über IP-Adressen komme ich an die lokalen Ressourcen. Aber nicht über DNS.
Problem 1:
-> DNS Resolver kommt nicht ins Spiel. Unter "Mobile Clients" wird der gleiche DNS-Server an die Clients geschickt (192.168.1.1) wie über OpenVPN. Die IP-Adresse läßt sich zwar vom Client anpingen, aber es kommen keine DNS-Einträge
Problem 2: Keine Verbindung vom Windows 10-Client ins Internet. SplitTunneling ist nicht gesetzt, default Gateway in der Windows GUI ist angeklickt. In der Phase2-Entry ist Local Network 0.0.0.0/0. Bei Firewall/NAT/Outbound wurde eine Rule erstellt, die den Zugriff aufs Gateway vom IPSec-Netz erlaubt.
Die Firewall-Logs haben nichts zu dem Thema. Die IPSec-Logs kann ich noch nicht richtig lesen und weiß nicht, nach welchen Einträgen ich suchen muss.
Ich habe seit Jahren eine APU2 mit pfSense (aktuell 2.4.5-p1). OpenVPN-Server läuft stabil, es gibt aber ein bekanntes Problem bei Filetransfers (die Übertragungsrate von SMB über OpenVPN bricht ins Bodenlose ein). In der Hoffnung das Problem mit IPSec-Tunnel zu lösen habe ich nach dieser Anleitung den IPsec-Server konfiguriert.
Verbindung klappte sofort, komme leider mit meinem Halbwissen an einigen Stellen nicht weiter.
Über IP-Adressen komme ich an die lokalen Ressourcen. Aber nicht über DNS.
Problem 1:
-> DNS Resolver kommt nicht ins Spiel. Unter "Mobile Clients" wird der gleiche DNS-Server an die Clients geschickt (192.168.1.1) wie über OpenVPN. Die IP-Adresse läßt sich zwar vom Client anpingen, aber es kommen keine DNS-Einträge
Problem 2: Keine Verbindung vom Windows 10-Client ins Internet. SplitTunneling ist nicht gesetzt, default Gateway in der Windows GUI ist angeklickt. In der Phase2-Entry ist Local Network 0.0.0.0/0. Bei Firewall/NAT/Outbound wurde eine Rule erstellt, die den Zugriff aufs Gateway vom IPSec-Netz erlaubt.
Die Firewall-Logs haben nichts zu dem Thema. Die IPSec-Logs kann ich noch nicht richtig lesen und weiß nicht, nach welchen Einträgen ich suchen muss.
Zitat von @aqui:
Bei Firewall/NAT/Outbound wurde eine Rule erstellt, die den Zugriff aufs Gateway vom IPSec-Netz erlaubt.
Das ist unsinnig und überflüssig. Hier reicht die stinknormale Default NAT Regel. Vermutlich hast du damit den Internet Zugriff "verschlimmbessert". An den Default NAT Regeln muss man nie rumfummeln. Das ist in meinem Fall vermutlich notwendig, da NAT auf manuell steht. Ich habe noch einen VPN-Client auf der pfSense und nutze diesen z.T. als Gateway. Ich glaube, dieser ist sogar nach Deiner Anleitung konfiguriert
IPsec Logs sind doch nicht relevant wenn sich deine VPN Clients sauber verbinden können. Wenn das fehlerfrei klappt steht da auch nix relevantes.
Was sagt denn ein route print bei aktivem Win 10 VPN Client ?? Wo zeigt die Default Route hin ? Das ist doch logischerweise das erste was man macht um zu checken wo der Client Traffic hingeht wenn das VPN aktiv ist.
Das kann ich aktuell nicht checken, weil ich irgendwas an der Konfig verdreht habe, die lokalen Geräte sind nicht mehr über IP erreichbar.Was sagt denn ein route print bei aktivem Win 10 VPN Client ?? Wo zeigt die Default Route hin ? Das ist doch logischerweise das erste was man macht um zu checken wo der Client Traffic hingeht wenn das VPN aktiv ist.
Gestern habe die Option "Standard Gateway für das Remotenetzwerk verwenden" mehrfach hin- und her geändert. Bin mir ziemlich sicher, dass bei Aktivierung das ganze Traffic über den VPN-Client geroutet wurde, weil nix kam
Ebenso ein ipconfig -all um zu checken welche DNS Server aktiv sind. 😉
Das habe ich gestern als Erstes gemacht, der DNS-Server war korrekt: 192.168.1.1, die lokalen Geräte waren per IP erreichbar, aber nicht per DNS. nslookup hat zwar auch den DNS korrekten DNS-Server gefragt, aber nichts geliefert.Ich denke, das Problem ist nicht auf dem Client, sondern in der pfSense-Config.
Zitat von @aqui:
nslookup hat zwar auch den DNS korrekten DNS-Server gefragt, aber nichts geliefert.
Dann ist es doch aber ein DNS Problem ?!Danke für den Tipp! Habe einen Eintrag im DNS-Resolver / Access Lists erstellt und das Problem ist gelöst.
Es wundert mich, dass
- Ich hier als Erster das Problem habe
- Bei OpenVPN-Verbindungen zur gleichen pfSense-Box dieser Eintrag im DNS-Resolver nicht notwendig ist.
Zitat von @aqui:
Interessant wäre einmal ein Screenshot deiner Lösung, dann profitieren auch andere hier davon. Der tiefere Sinn eines Forums...
Interessant wäre einmal ein Screenshot deiner Lösung, dann profitieren auch andere hier davon. Der tiefere Sinn eines Forums...
Gerne!
Das sind die OpenVPN-Settings.
DNS-Settings und Virtual IP in IPSec:
Virtual IP Settings für Mobile Clients:
Ich dachte, das müsste reichen, hat es aber nicht!
Die Lösung war eine neue Entry im DNS-Server:
Hier wird der gleiche VirtualIP-Range angegeben, wie bei Mobile Clients:
Das hat mein Problem gelöst. Man kann sehen, es wird derselbe DNS-Server an OpenVPN- und IPSec-Clients übergeben. Mir ist leider noch nicht klar, warum der Eintrag bei Access Lists nur für IPSec-Clients notwendig ist.
Ich habe auch das Problem, dass keine DNS-Auflösung für lokale Geräte erfolgt. Das Fehlerbild ist etwas seltsam:
nslookup pcname -> server can't find pcname: NXDOMAIN
nslookup pcname.meinedomain -> server can't find pcname.meinedomain: NXDOMAIN
Mit Angabe des DNS-Servers funktioniert es dann plötzlich:
nslookup pcname.meinedomain 192.168.88.1
Ich nutze MacOS 11 und habe auch schon versucht DNS-Server und Such-Domain manuell in der VPN-Verbindung hinzuzufügen. Leider ohne Erfolg. Der Kommentarverlauf wurde nach unten immer wärmer - aber leider klappt die Lösung von @justas nicht bei mir. Kann es sein, dass du auf dem Weg dorthin noch eine andere Einstellung gesetzt hast?
nslookup pcname -> server can't find pcname: NXDOMAIN
nslookup pcname.meinedomain -> server can't find pcname.meinedomain: NXDOMAIN
Mit Angabe des DNS-Servers funktioniert es dann plötzlich:
nslookup pcname.meinedomain 192.168.88.1
Ich nutze MacOS 11 und habe auch schon versucht DNS-Server und Such-Domain manuell in der VPN-Verbindung hinzuzufügen. Leider ohne Erfolg. Der Kommentarverlauf wurde nach unten immer wärmer - aber leider klappt die Lösung von @justas nicht bei mir. Kann es sein, dass du auf dem Weg dorthin noch eine andere Einstellung gesetzt hast?
Hi @aqui und danke auch nochmal an dich für die grandiose Anleitung! Die Option "Provide a DNS server list to clients" habe ich bereits gesetzt. Ein mag mein Mac nicht, aber ein gibt die aktiven DNS-Settings aus. Ich hab mal versucht alles auf einen Screenshot zu bringen:
Mit besagtem Mac bin ich gerade zuhause und wähle mich per IPSEC-VPN ins Remotenetz ein. Ganz rechts im Screenshot sind die (MacOS-)DNS-Settings der VPN-Verbindung, so wie sie nach dem Import des Profils vom ipsec-profile-wizard eingetragen sind. Die dnslookup Ergebnisse sind exakt dieselben, wenn ich dort manuell die DNS-IP und die Suchdomain eintrage.
Deine Tipps zum DNS-Resolver habe ich auch bereits gesetzt (der Service "DNS Forwarder" ist ausgeschaltet):
Es kommt mir vor als würde ich irgendeinen dummen Fehler machen. Sieht du auf Anhieb etwas oder kannst du mich in die richtige Richtung schupsen?
ipconfig -all
scutil --dns
Mit besagtem Mac bin ich gerade zuhause und wähle mich per IPSEC-VPN ins Remotenetz ein. Ganz rechts im Screenshot sind die (MacOS-)DNS-Settings der VPN-Verbindung, so wie sie nach dem Import des Profils vom ipsec-profile-wizard eingetragen sind. Die dnslookup Ergebnisse sind exakt dieselben, wenn ich dort manuell die DNS-IP und die Suchdomain eintrage.
Deine Tipps zum DNS-Resolver habe ich auch bereits gesetzt (der Service "DNS Forwarder" ist ausgeschaltet):
Es kommt mir vor als würde ich irgendeinen dummen Fehler machen. Sieht du auf Anhieb etwas oder kannst du mich in die richtige Richtung schupsen?
Herzlichen Dank für die Anleitung! Super detailliert und verständlich erklärt!
Ich stolpere über ein Problem. Die Verbindung wird von meinem Windows 10 Client problemlos aufgebaut, ich kann die Verbindung dann auch auf der Pfsense sehen. Das einzige, was ich nicht sehe, sind Datenpakete. Keine.
wenn ich mir auf dem Windows 10 Client die Routingtabelle anschaue ist mir auch klar, warum auf der Pfsense nix ankommt. Ich habe keine Route in das pfsense-LAN.
Ich habe in Phase 2 sowohl "LAN subnet" als auch "Netzwerk" mit dem entsprechenden Netz ausprobiert, ich bekomme keine Route an den Client übermittelt.
Zum Spaß hab ich die Route dann mal manuell gesetzt, dann komm ich sofort durch, aber das ist ja keine Lösung...
wo habe ich meinen Denkfehler?
vielen lieben Dank für Eure Unterstützung
Markus
Ich stolpere über ein Problem. Die Verbindung wird von meinem Windows 10 Client problemlos aufgebaut, ich kann die Verbindung dann auch auf der Pfsense sehen. Das einzige, was ich nicht sehe, sind Datenpakete. Keine.
wenn ich mir auf dem Windows 10 Client die Routingtabelle anschaue ist mir auch klar, warum auf der Pfsense nix ankommt. Ich habe keine Route in das pfsense-LAN.
Ich habe in Phase 2 sowohl "LAN subnet" als auch "Netzwerk" mit dem entsprechenden Netz ausprobiert, ich bekomme keine Route an den Client übermittelt.
Zum Spaß hab ich die Route dann mal manuell gesetzt, dann komm ich sofort durch, aber das ist ja keine Lösung...
wo habe ich meinen Denkfehler?
vielen lieben Dank für Eure Unterstützung
Markus
ok - kommando zurück: ich hatte einen Zahlendreher in dem dritten Powershell-Command... für nen doofen Admin kann keiner was Fehler korrigiert und läuft wie ein Örgele
Gruß Marku
Hallo zusammen,
hallo aqui,
zunächst vielen Dank für das detaillierte Tutorial. Ich hab' das auf einer pfSense erfolgreich zum Laufen gebracht.
Allerdings hab' ich noch ein kleines Problemchen mit dem Routing des gesamten Verkehrs durch das VPN.
Ich kann mich mit einem Linux-Client auf die pfSense verbinden, allerdings bekomme ich via ipinfo.io trotzdem nur die "öffentliche" IP des jeweiligen Providers (probehalber einen Hotspot mit dem Phone für den PC eröffnet).
In den Einstellungen für die mobilen Clients habe ich mit und ohne die Option "Liste mit zugänglichen Netzwerken dem Gerät zur Verfügung stellen" probiert, beides ohne Erfolg.
In den Phase2-Einstellungen stehen der Modus auf "tunnel" und das lokale Subnetz auf 0.0.0.0/0.
Hat noch jemand eine Idee, wie ich den gesamten Traffic durchs VPN routen kann ?
Grüße
RV.
hallo aqui,
zunächst vielen Dank für das detaillierte Tutorial. Ich hab' das auf einer pfSense erfolgreich zum Laufen gebracht.
Allerdings hab' ich noch ein kleines Problemchen mit dem Routing des gesamten Verkehrs durch das VPN.
Ich kann mich mit einem Linux-Client auf die pfSense verbinden, allerdings bekomme ich via ipinfo.io trotzdem nur die "öffentliche" IP des jeweiligen Providers (probehalber einen Hotspot mit dem Phone für den PC eröffnet).
In den Einstellungen für die mobilen Clients habe ich mit und ohne die Option "Liste mit zugänglichen Netzwerken dem Gerät zur Verfügung stellen" probiert, beides ohne Erfolg.
In den Phase2-Einstellungen stehen der Modus auf "tunnel" und das lokale Subnetz auf 0.0.0.0/0.
Hat noch jemand eine Idee, wie ich den gesamten Traffic durchs VPN routen kann ?
Grüße
RV.
Hallo aqui,
danke für die flinke Reaktion.
Die IP aus dem 192.168.43.0/24er-Netz ist diejenige, die der PC aktuell vom Hotspot erhält.
Grüße
RV.
danke für die flinke Reaktion.
~$ ip route show
default via 192.168.43.65 dev wlp3s0 proto dhcp metric 600
169.254.0.0/16 dev wlp3s0 scope link metric 1000
192.168.43.0/24 dev wlp3s0 proto kernel scope link src 192.168.43.124 metric 600
Die IP aus dem 192.168.43.0/24er-Netz ist diejenige, die der PC aktuell vom Hotspot erhält.
Grüße
RV.
Hallo aqui,
hier mal alles komplett:
Beste Grüße
RV.
hier mal alles komplett:
initiating IKE_SA pfsense[1] to *.*.118.59
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 192.168.43.124[500] to *.*.118.59[500] (1116 bytes)
received packet: from *.*.118.59[500] to 192.168.43.124[500] (38 bytes)
parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
peer didn't accept DH group ECP_256, it requested MODP_2048
initiating IKE_SA pfsense[1] to *.*.118.59
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 192.168.43.124[500] to *.*.118.59[500] (1308 bytes)
received packet: from *.*.118.59[500] to 192.168.43.124[500] (497 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
local host is behind NAT, sending keep alives
remote host is behind NAT
received cert request for "CN=*"
sending cert request for "CN=*"
establishing CHILD_SA pfsense{1}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 192.168.43.124[4500] to *.*.118.59[4500] (352 bytes)
received packet: from *.*.118.59[4500] to 192.168.43.124[4500] (1236 bytes)
parsed IKE_AUTH response 1 [ EF(1/2) ]
received fragment #1 of 2, waiting for complete IKE message
received packet: from *.*.118.59[4500] to 192.168.43.124[4500] (164 bytes)
parsed IKE_AUTH response 1 [ EF(2/2) ]
received fragment #2 of 2, reassembling fragmented IKE message
parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
received end entity cert "CN=pfsense"
using certificate "CN=pfsense"
using trusted ca certificate "CN=*"
checking certificate status of "CN=pfsense"
certificate status is not available
reached self-signed root ca with a path length of 0
authentication of 'pfsense' with RSA_EMSA_PKCS1_SHA2_256 successful
server requested EAP_IDENTITY (id 0x00), sending '*'
generating IKE_AUTH request 2 [ EAP/RES/ID ]
sending packet: from 192.168.43.124[4500] to *.*.118.59[4500] (80 bytes)
received packet: from *.*.118.59[4500] to 192.168.43.124[4500] (112 bytes)
parsed IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
server requested EAP_MSCHAPV2 authentication (id 0x78)
generating IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]
sending packet: from 192.168.43.124[4500] to *.*.118.59[4500] (144 bytes)
received packet: from *.*.118.59[4500] to 192.168.43.124[4500] (144 bytes)
parsed IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]
EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan'
generating IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]
sending packet: from 192.168.43.124[4500] to *.*.118.59[4500] (80 bytes)
received packet: from *.*.118.59[4500] to 192.168.43.124[4500] (80 bytes)
parsed IKE_AUTH response 4 [ EAP/SUCC ]
EAP method EAP_MSCHAPV2 succeeded, MSK established
authentication of 'CN=*' (myself) with EAP
generating IKE_AUTH request 5 [ AUTH ]
sending packet: from 192.168.43.124[4500] to *.*.118.59[4500] (112 bytes)
received packet: from *.*.118.59[4500] to 192.168.43.124[4500] (304 bytes)
parsed IKE_AUTH response 5 [ AUTH CPRP(ADDR U_BANNER) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
authentication of 'pfsense' with EAP successful
IKE_SA pfsense[1] established between 192.168.43.124[CN=*]...*.*.118.59[pfsense]
scheduling reauthentication in 9851s
maximum IKE_SA lifetime 10391s
handling UNITY_BANNER attribute failed
installing new virtual IP 192.168.179.1
received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
CHILD_SA pfsense{1} established with SPIs *_*_o and TS 192.168.179.1/32 === 192.168.178.0/24
peer supports MOBIKE
connection 'pfsense' established successfully
~$ ip route show
default via 192.168.43.104 dev wlp3s0 proto dhcp metric 600
169.254.0.0/16 dev wlp3s0 scope link metric 1000
192.168.43.0/24 dev wlp3s0 proto kernel scope link src 192.168.43.124 metric 600
~$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp0s25: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
link/ether *:*:*:*:20:* brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether *:*:*:c3:*:b8 brd ff:ff:ff:ff:ff:ff
inet 192.168.43.124/24 brd 192.168.43.255 scope global dynamic noprefixroute wlp3s0
valid_lft 7073sec preferred_lft 7073sec
inet 192.168.179.1/32 scope global wlp3s0
valid_lft forever preferred_lft forever
inet6 fe80::*:*:*:5b91/64 scope link noprefixroute
valid_lft forever preferred_lft forever
Beste Grüße
RV.
Hallo aqui,
hier das von Dir geforderte Log bzw. die Config:
StrongSwan Conf:
Falls wir hier nicht weiter kommen, eröffne ich natürlich einen separaten Thread.
Besten Dank schon mal für Deine Bemühungen.
Grüße
RV.
hier das von Dir geforderte Log bzw. die Config:
:~$ sudo ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.2, Linux 5.4.0-77-generic, x86_64):
uptime: 28 seconds, since Jul 08 12:28:09 2021
malloc: sbrk 3551232, mmap 532480, used 1407024, free 2144208
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aesni aes rc2 sha2 sha1 md4 md5 mgf1 rdrand random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem openssl gcrypt af-alg fips-prf gmp curve25519 agent chapoly xcbc cmac hmac ctr ccm gcm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default connmark farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
192.168.43.124
Connections:
pfsense: %any...* IKEv2, dpddelay=30s
pfsense: local: [CN=*] uses EAP_MSCHAPV2 authentication with EAP identity '*'
pfsense: cert: "CN=*"
pfsense: remote: [pfsense] uses public key authentication
pfsense: child: dynamic === 192.168.178.0/24 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 connecting):
pfsense[1]: ESTABLISHED 16 seconds ago, 192.168.43.124[CN=vpnca]...*.*.118.59[pfsense]
pfsense[1]: IKEv2 SPIs: *, EAP reauthentication in 2 hours
pfsense[1]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
pfsense{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: *
pfsense{1}: AES_CBC_256/HMAC_SHA2_256_128, 456 bytes_i (6 pkts, 3s ago), 456 bytes_o (6 pkts, 3s ago), rekeying in 46 minutes
pfsense{1}: 192.168.179.1/32 === 192.168.178.0/24
StrongSwan Conf:
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
# strictcrlpolicy=yes
# uniqueids = no
# Add connections here.
# Sample VPN connections
conn pfsense
keyexchange=ikev2
right=*
rightsubnet=192.168.178.0/24
rightid=pfsense
rightauth=pubkey
leftsourceip=%config4
leftcert=*
leftauth=eap-mschapv2
eap_identity=*
dpdaction=restart
auto=add
include /var/lib/strongswan/ipsec.conf.inc
Falls wir hier nicht weiter kommen, eröffne ich natürlich einen separaten Thread.
Besten Dank schon mal für Deine Bemühungen.
Grüße
RV.
Hallo aqui,
entschuldige, die Fehlerbeschreibung war ausreichend behämmert, mea culpa.
Nach erneutem Versuch mit
auf dem Client läuft alles Bestens, möglicherweise hatte ich beim letzten Versuch schlicht kein GSM-Netz am Hotspot.
Ich kann Quad9 pingen, Websites laden und bekomme eine öffentliche IP aus dem GSM-Netz. Danke für Deinen Doku-Tip.
Eine Besonderheit hab' ich noch durch Testen herausgefunden:
Verbinde ich mich mit einem Linux-Client, läuft alles wie gewünscht: Ich habe Zugriff auf das gesamte LAN, ins I-Net und mein gesamter Traffic wird durchs VPN geroutet, abzulesen an der entsprechenden öffentlichen IP.
Versuche ich das Gleiche mit einem Obst-Telefon mittels onboard-VPN-Client, habe ich lediglich Zugriff auf das LAN, nicht ins I-Net.
Beste Grüße und Danke für Deine Geduld
RV:
entschuldige, die Fehlerbeschreibung war ausreichend behämmert, mea culpa.
Nach erneutem Versuch mit
rightsubnet 0.0.0.0/0
Ich kann Quad9 pingen, Websites laden und bekomme eine öffentliche IP aus dem GSM-Netz. Danke für Deinen Doku-Tip.
Eine Besonderheit hab' ich noch durch Testen herausgefunden:
Verbinde ich mich mit einem Linux-Client, läuft alles wie gewünscht: Ich habe Zugriff auf das gesamte LAN, ins I-Net und mein gesamter Traffic wird durchs VPN geroutet, abzulesen an der entsprechenden öffentlichen IP.
Versuche ich das Gleiche mit einem Obst-Telefon mittels onboard-VPN-Client, habe ich lediglich Zugriff auf das LAN, nicht ins I-Net.
Beste Grüße und Danke für Deine Geduld
RV:
Hallo,
hab vor einer ganzen Weile mal mit dieser Anleitung ein VPN mit OPNSense installiert. Beim Versuch einen Linux-Client dafür einzurichten, bin ich mit den hier aufgelisteten Schritten nicht weitergekommen, aber hab dann diese Anleitung bei OPNSense gefunden, die für mein Ubuntu-System sehr einfach funktioniert hat:
https://docs.opnsense.org/manual/how-tos/ipsec-rw-linux.html
Vielleicht hilft es ja jemandem weiter.
Schöne Grüße und noch mal danke für das super Tutorial mit long-term-support
hab vor einer ganzen Weile mal mit dieser Anleitung ein VPN mit OPNSense installiert. Beim Versuch einen Linux-Client dafür einzurichten, bin ich mit den hier aufgelisteten Schritten nicht weitergekommen, aber hab dann diese Anleitung bei OPNSense gefunden, die für mein Ubuntu-System sehr einfach funktioniert hat:
https://docs.opnsense.org/manual/how-tos/ipsec-rw-linux.html
Vielleicht hilft es ja jemandem weiter.
Schöne Grüße und noch mal danke für das super Tutorial mit long-term-support
Hallo zusammen,
erstmal danke für die tolle und detaillierte Anleitung.
Ich denke, dass ich mich korrekt daran habe, dennoch funktioniert mein VPN nicht.
Kurz zu meinem Setup: Das LAN meiner pfsense hat das Netzwerk 10.168.1.0/24. Darüber hinaus ist es in verschiedene VLANs segmentiert. Eines davon heißt VPN und hat das Netzwerk 10.168.30.0/24. Wäre schön, wenn alle aktiven VPN clients dann dort drinne sind.
Ich habe die VPN Verbindung mit Windows und Android versucht. Beides funktioniert nicht.
Android:
Ich habe als Typ "IKEv2/IPSec MSCHAPv2" ausgewählt. Die Serveradresse ist korrekt. Als IPSec-Serverzertifikat habe ich das gemäß der Anleitung Erstellte ausgewählt. Unter "IPSec Identifier" steht "nicht verwendet". Benutzername und Passwort gemäß den Einstellungen unter "Pre-shared secret".
Android zeigt kurz "Verbinden..." an und nach ca. 2s springt es auf "Nicht erfolgreich". Die Logs in der pfsense zeigen folgendes:
Scheint irgnedwas mit der Authentification zu sein, aber meine Zertifikate müssten korrekt sein. Habe mich sklavisch an die Anleitung gehalten.
Windows:
Den client habe ich mit der PowerShell eingerichtet. Die IP Adresse habe ich korrekt angepasst, "-SplitTunneling" weggelassen, um allen Verkehr durch den Tunnel zu leiten, und beim Kommando "Add-VpnConnectionRoute" habe ich das Netzwerk 10.168.30.0/24 angegeben (hier bin ich mir nicht sicher, was genau da rein muss).
Windows sagt bei der Verbindung "IKE-Authentifizierung-Anmeldeinformationen sind nicht aktzeptabel." Laut vorangegangener Kommentare deutet das auf Zertifikat-Probleme hin. Aber nochmal, ich habe es geprüft und weiß nicht, was ich falsch gemacht haben soll.
Das Log der pfsense zeigt folgendes:
Auch hier schein es wieder auf die Zertifikate hinzudeuten. Ich habe diese aber sowohl bei Windows als auch unter Android ordnungsgemäß installiert.
Kann mir jemand weiterhelfen?
Weitere Frage: Welche IP kommt unter "Provide a virtual IP address to clients" genau rein?
Danke für eure Hilfe
Kris
P.S.: In Phase 2 habe ich unter "Local Network", "Network" und "0.0.0.0/0" eingestellt, sodass jeglicher Traffic durch den Tunnel geht. Richtig?
erstmal danke für die tolle und detaillierte Anleitung.
Ich denke, dass ich mich korrekt daran habe, dennoch funktioniert mein VPN nicht.
Kurz zu meinem Setup: Das LAN meiner pfsense hat das Netzwerk 10.168.1.0/24. Darüber hinaus ist es in verschiedene VLANs segmentiert. Eines davon heißt VPN und hat das Netzwerk 10.168.30.0/24. Wäre schön, wenn alle aktiven VPN clients dann dort drinne sind.
Ich habe die VPN Verbindung mit Windows und Android versucht. Beides funktioniert nicht.
Android:
Ich habe als Typ "IKEv2/IPSec MSCHAPv2" ausgewählt. Die Serveradresse ist korrekt. Als IPSec-Serverzertifikat habe ich das gemäß der Anleitung Erstellte ausgewählt. Unter "IPSec Identifier" steht "nicht verwendet". Benutzername und Passwort gemäß den Einstellungen unter "Pre-shared secret".
Android zeigt kurz "Verbinden..." an und nach ca. 2s springt es auf "Nicht erfolgreich". Die Logs in der pfsense zeigen folgendes:
Sep 2 22:23:05 charon 13[CFG] <12> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Sep 2 22:23:05 charon 13[CFG] <12> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Sep 2 22:23:05 charon 13[CFG] <12> received supported signature hash algorithms: sha256 sha384 sha512
Sep 2 22:23:05 charon 13[IKE] <12> remote host is behind NAT
Sep 2 22:23:05 charon 13[IKE] <12> DH group MODP_2048_256 unacceptable, requesting MODP_2048
Sep 2 22:23:05 charon 13[ENC] <12> generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sep 2 22:23:05 charon 13[NET] <12> sending packet: from 91.66.139.25[500] to 109.42.112.41[35368] (38 bytes)
Sep 2 22:23:05 charon 13[IKE] <12> IKE_SA (unnamed)[12] state change: CONNECTING => DESTROYING
Sep 2 22:23:05 charon 06[NET] <13> received packet: from 109.42.112.41[35368] to 91.66.139.25[500] (650 bytes)
Sep 2 22:23:05 charon 06[ENC] <13> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(REDIR_SUP) ]
Sep 2 22:23:05 charon 06[CFG] <13> looking for an IKEv2 config for 91.66.139.25...109.42.112.41
Sep 2 22:23:05 charon 06[CFG] <13> candidate: %any...%any, prio 24
Sep 2 22:23:05 charon 06[CFG] <13> candidate: 91.66.139.25...%any, prio 1052
Sep 2 22:23:05 charon 06[CFG] <13> found matching ike config: 91.66.139.25...%any with prio 1052
Sep 2 22:23:05 charon 06[IKE] <13> 109.42.112.41 is initiating an IKE_SA
Sep 2 22:23:05 charon 06[IKE] <13> IKE_SA (unnamed)[13] state change: CREATED => CONNECTING
Sep 2 22:23:05 charon 06[CFG] <13> selecting proposal:
Sep 2 22:23:05 charon 06[CFG] <13> proposal matches
Sep 2 22:23:05 charon 06[CFG] <13> received proposals: IKE:AES_CBC_256/AES_CBC_128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16_256/AES_GCM_16_128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536
Sep 2 22:23:05 charon 06[CFG] <13> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Sep 2 22:23:05 charon 06[CFG] <13> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Sep 2 22:23:05 charon 06[CFG] <13> received supported signature hash algorithms: sha256 sha384 sha512
Sep 2 22:23:05 charon 06[IKE] <13> remote host is behind NAT
Sep 2 22:23:05 charon 06[CFG] <13> sending supported signature hash algorithms: sha256 sha384 sha512 identity
Sep 2 22:23:05 charon 06[IKE] <13> sending cert request for "CN=pfsenseCA, C=DE, ST=Schleswig-Holstein, L=Kiel"
Sep 2 22:23:05 charon 06[ENC] <13> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
Sep 2 22:23:05 charon 06[NET] <13> sending packet: from 91.66.139.25[500] to 109.42.112.41[35368] (489 bytes)
Sep 2 22:23:05 charon 06[NET] <13> received packet: from 109.42.112.41[36587] to 91.66.139.25[4500] (384 bytes)
Sep 2 22:23:05 charon 06[ENC] <13> parsed IKE_AUTH request 1 [ IDi CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sep 2 22:23:05 charon 06[CFG] <13> looking for peer configs matching 91.66.139.25[%any]...109.42.112.41[mobile]
Sep 2 22:23:05 charon 06[CFG] <13> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Sep 2 22:23:05 charon 06[CFG] <13> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Sep 2 22:23:05 charon 06[CFG] <con-mobile|13> selected peer config 'con-mobile'
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> initiating EAP_IDENTITY method (id 0x00)
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> processing INTERNAL_IP4_ADDRESS attribute
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> processing INTERNAL_IP4_DNS attribute
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> peer supports MOBIKE
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> got additional MOBIKE peer address: 192.168.237.158
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> got additional MOBIKE peer address: 2a00:20:704c:cc0e:1cb:afb:783c:2be6
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> got additional MOBIKE peer address: 2a00:20:7108:43ba:e3b0:46d1:4562:1cc4
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> got additional MOBIKE peer address: 2a00:20:704c:cc0e::67
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> authentication of 'pfsense' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Sep 2 22:23:05 charon 06[IKE] <con-mobile|13> sending end entity cert "CN=pfSense, C=DE, ST=Schleswig-Holstein, L=Kiel"
Sep 2 22:23:05 charon 06[ENC] <con-mobile|13> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Sep 2 22:23:05 charon 06[NET] <con-mobile|13> sending packet: from 91.66.139.25[4500] to 109.42.112.41[36587] (1536 bytes)
Sep 2 22:23:06 charon 06[NET] <con-mobile|13> received packet: from 109.42.112.41[36587] to 91.66.139.25[4500] (80 bytes)
Sep 2 22:23:06 charon 06[ENC] <con-mobile|13> parsed INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
Sep 2 22:23:06 charon 06[ENC] <con-mobile|13> generating INFORMATIONAL response 2 [ N(AUTH_FAILED) ]
Sep 2 22:23:06 charon 06[NET] <con-mobile|13> sending packet: from 91.66.139.25[4500] to 109.42.112.41[36587] (80 bytes)
Sep 2 22:23:06 charon 06[IKE] <con-mobile|13> IKE_SA con-mobile[13] state change: CONNECTING => DESTROYING
Scheint irgnedwas mit der Authentification zu sein, aber meine Zertifikate müssten korrekt sein. Habe mich sklavisch an die Anleitung gehalten.
Windows:
Den client habe ich mit der PowerShell eingerichtet. Die IP Adresse habe ich korrekt angepasst, "-SplitTunneling" weggelassen, um allen Verkehr durch den Tunnel zu leiten, und beim Kommando "Add-VpnConnectionRoute" habe ich das Netzwerk 10.168.30.0/24 angegeben (hier bin ich mir nicht sicher, was genau da rein muss).
Windows sagt bei der Verbindung "IKE-Authentifizierung-Anmeldeinformationen sind nicht aktzeptabel." Laut vorangegangener Kommentare deutet das auf Zertifikat-Probleme hin. Aber nochmal, ich habe es geprüft und weiß nicht, was ich falsch gemacht haben soll.
Das Log der pfsense zeigt folgendes:
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 30:a4:e6:4f:de:76:8a:fc:ed:5a:90:84:28:30:46:79:2c:29:15:70
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid c4:30:28:c5:d3:e3:08:0c:10:44:8b:2c:77:ba:24:53:97:60:bb:f9
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid a2:af:24:0a:da:e8:67:79:c8:a8:50:b3:c7:46:ee:d9:f7:1b:16:78
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 69:c4:27:db:59:69:68:18:47:e2:52:17:0a:e0:e5:7f:ab:9d:ef:0f
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid ba:42:b0:81:88:53:88:1d:86:63:bd:4c:c0:5e:08:fe:ea:6e:bb:77
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 87:db:d4:5f:b0:92:8d:4e:1d:f8:15:67:e7:f2:ab:af:d6:2b:67:75
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 6e:58:4e:33:75:bd:57:f6:d5:42:1b:16:01:c2:d8:c0:f5:3a:9f:6e
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 4a:81:0c:de:f0:c0:90:0f:19:06:42:31:35:a2:a2:8d:d3:44:fd:08
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid d5:2e:13:c1:ab:e3:49:da:e8:b4:95:94:ef:7c:38:43:60:64:66:bd
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 42:32:b6:16:fa:04:fd:fe:5d:4b:7a:c3:fd:f7:4c:40:1d:5a:43:af
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid a5:06:8a:78:cf:84:bd:74:32:dd:58:f9:65:eb:3a:55:e7:c7:80:dc
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 6d:aa:9b:09:87:c4:d0:d4:22:ed:40:07:37:4d:19:f1:91:ff:de:d3
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 83:31:7e:62:85:42:53:d6:d7:78:31:90:ec:91:90:56:e9:91:b9:e3
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 3e:51:59:8b:a7:6f:54:5c:77:24:c5:66:eb:aa:fb:3e:2b:f3:ac:4f
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid fd:da:14:c4:9f:30:de:21:bd:1e:42:39:fc:ab:63:23:49:e0:f1:84
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 3e:18:e5:44:f6:bd:4d:77:50:28:c9:40:3e:5c:74:f5:4c:d9:60:29
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 3e:22:d4:2c:1f:02:44:b8:04:10:65:61:7c:c7:6b:ae:da:87:29:9c
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid b1:81:08:1a:19:a4:c0:94:1f:fa:e8:95:28:c1:24:c9:9b:34:ac:c7
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid bb:c2:3e:29:0b:b3:28:77:1d:ad:3e:a2:4d:bd:f4:23:bd:06:b0:3d
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid c8:95:13:68:01:97:28:0a:2c:55:c3:fc:d3:90:f5:3a:05:3b:c9:fb
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid ee:e5:9f:1e:2a:a5:44:c3:cb:25:43:a6:9a:5b:d4:6a:25:bc:bb:8e
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 67:ec:9f:90:2d:cd:64:ae:fe:7e:bc:cd:f8:8c:51:28:f1:93:2c:12
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 17:4a:b8:2b:5f:fb:05:67:75:27:ad:49:5a:4a:5d:c4:22:cc:ea:4e
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 68:33:0e:61:35:85:21:59:29:83:a3:c8:d2:d2:e1:40:6e:7a:b3:c1
Sep 2 22:31:06 charon 14[IKE] <14> received cert request for unknown ca with keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f:1a:02:99:e7:90:f3:87
Sep 2 22:31:06 charon 14[IKE] <14> received 45 cert requests for an unknown ca
Sep 2 22:31:06 charon 14[CFG] <14> looking for peer configs matching 91.66.139.25[%any]...109.42.112.41[192.168.237.84]
Sep 2 22:31:06 charon 14[CFG] <14> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Sep 2 22:31:06 charon 14[CFG] <14> candidate "con-mobile", match: 1/1/1052 (me/other/ike)
Sep 2 22:31:06 charon 14[CFG] <con-mobile|14> selected peer config 'con-mobile'
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> initiating EAP_IDENTITY method (id 0x00)
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> processing INTERNAL_IP4_ADDRESS attribute
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> processing INTERNAL_IP4_DNS attribute
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> processing INTERNAL_IP4_NBNS attribute
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> processing INTERNAL_IP4_SERVER attribute
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> processing INTERNAL_IP6_ADDRESS attribute
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> processing INTERNAL_IP6_DNS attribute
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> processing INTERNAL_IP6_SERVER attribute
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> peer supports MOBIKE
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> authentication of 'pfsense' (myself) with RSA signature successful
Sep 2 22:31:06 charon 14[IKE] <con-mobile|14> sending end entity cert "CN=pfSense, C=DE, ST=Schleswig-Holstein, L=Kiel"
Sep 2 22:31:06 charon 14[ENC] <con-mobile|14> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Sep 2 22:31:06 charon 14[ENC] <con-mobile|14> splitting IKE message (1520 bytes) into 2 fragments
Sep 2 22:31:06 charon 14[ENC] <con-mobile|14> generating IKE_AUTH response 1 [ EF(1/2) ]
Sep 2 22:31:06 charon 14[ENC] <con-mobile|14> generating IKE_AUTH response 1 [ EF(2/2) ]
Sep 2 22:31:06 charon 14[NET] <con-mobile|14> sending packet: from 91.66.139.25[4500] to 109.42.112.41[52328] (1236 bytes)
Sep 2 22:31:06 charon 14[NET] <con-mobile|14> sending packet: from 91.66.139.25[4500] to 109.42.112.41[52328] (356 bytes)
Sep 2 22:31:36 charon 14[JOB] <con-mobile|14> deleting half open IKE_SA with 109.42.112.41 after timeout
Sep 2 22:31:36 charon 14[IKE] <con-mobile|14> IKE_SA con-mobile[14] state change: CONNECTING => DESTROYING
Auch hier schein es wieder auf die Zertifikate hinzudeuten. Ich habe diese aber sowohl bei Windows als auch unter Android ordnungsgemäß installiert.
Kann mir jemand weiterhelfen?
Weitere Frage: Welche IP kommt unter "Provide a virtual IP address to clients" genau rein?
Danke für eure Hilfe
Kris
P.S.: In Phase 2 habe ich unter "Local Network", "Network" und "0.0.0.0/0" eingestellt, sodass jeglicher Traffic durch den Tunnel geht. Richtig?
Ich habe es jetzt mehrfach, wie in der Anleitung gemacht, ich habe deine Punkte berücksichtigt, ich habe darauf geachtet, dass der common name korrekt ist, dass die alten Zertifikate gelöscht wurden und dass "Serverzertifikat" eingestellt ist. Dennoch funktioniert es nicht. Ich bin die Anleitung wirklich langsam und gewissenhaft durchgegangen. Ich habe das Gefühl, dass ich einen Fehler mache, der mir nicht bewusst ist oder dass ich die Anleitung an irgendeiner Stelle falsch interpretiere. Die pfsense ist up to date und wurde jedes mal rebootet. Welche Fehler kann man denn, während der Erstellung klassischerweise noch machen?
Hallo @aqui, Hallo zusammen,
vielen Dank für dieses tolle Tutorial @aqui. Einfach und eigentlich auch verständlich 🙈 Leider bekomme ich immer noch folgende Fehlermeldung:
Kann mir bitte jemand bei diesem Problem helfen und mir einen Denkanstoß geben?
Vielen Dank im Voraus und euch noch ein schönes Wochenende
vielen Dank für dieses tolle Tutorial @aqui. Einfach und eigentlich auch verständlich 🙈 Leider bekomme ich immer noch folgende Fehlermeldung:
2021-09-18T16:32:03 charon[20006] 15[JOB] <2> deleting half open IKE_SA with 192.168.1.1 after timeout
2021-09-18T16:31:35 charon[20006] 15[NET] <2> sending packet: from 192.168.1.10[500] to 192.168.1.1[500] (541 bytes)
2021-09-18T16:31:35 charon[20006] 15[IKE] <2> received retransmit of request with ID 0, retransmitting response
2021-09-18T16:31:35 charon[20006] 15[ENC] <2> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
2021-09-18T16:31:35 charon[20006] 15[NET] <2> received packet: from 192.168.1.1[500] to 192.168.1.10[500] (544 bytes)
2021-09-18T16:31:34 charon[20006] 15[NET] <2> sending packet: from 192.168.1.10[500] to 192.168.1.1[500] (541 bytes)
2021-09-18T16:31:34 charon[20006] 15[IKE] <2> received retransmit of request with ID 0, retransmitting response
2021-09-18T16:31:34 charon[20006] 15[ENC] <2> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
2021-09-18T16:31:34 charon[20006] 15[NET] <2> received packet: from 192.168.1.1[500] to 192.168.1.10[500] (544 bytes)
2021-09-18T16:31:33 charon[20006] 15[NET] <2> sending packet: from 192.168.1.10[500] to 192.168.1.1[500] (541 bytes)
2021-09-18T16:31:33 charon[20006] 15[ENC] <2> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> sending cert request for "C=DE, ST=**, L=**, O=**, E=**, CN=**"
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> sending cert request for "C=DE, ST=**, L=**, O=**, E=**, CN=**"
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> sending cert request for "C=DE, ST=**, L=**, O=**, E=**, CN=**"
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> sending cert request for "C=DE, ST=**, L=**, O=**, E=**, CN=**"
2021-09-18T16:31:33 charon[20006] 15[CFG] <2> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> 192.168.1.1 is initiating an IKE_SA
2021-09-18T16:31:33 charon[20006] 15[ENC] <2> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:**:**:**:**:**:**:**:**:**:**:**:**
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> received Vid-Initial-Contact vendor ID
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> received MS-Negotiation Discovery Capable vendor ID
2021-09-18T16:31:33 charon[20006] 15[IKE] <2> received MS NT5 ISAKMPOAKLEY v9 vendor ID
2021-09-18T16:31:33 charon[20006] 15[ENC] <2> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
2021-09-18T16:31:33 charon[20006] 15[NET] <2> received packet: from 192.168.1.1[500] to 192.168.1.10[500] (544 bytes)
Kann mir bitte jemand bei diesem Problem helfen und mir einen Denkanstoß geben?
Vielen Dank im Voraus und euch noch ein schönes Wochenende
Bitte entschuldige meine ungenauen Informationen. Anbei genauere Informationen:
Getestet habe ich mit einem Windows 10 Laptop:
Ich würde gerne den VPN-Tunnel mittels Opensense wegen der API-Schnittstelle herstellen, kann ich bei dieser ebenfalls einen L2TP Server einrichten? Dann würde ich einfach einen L2TP Tunnel verwenden
Vielen Dank im Voraus
Getestet habe ich mit einem Windows 10 Laptop:
Edition Windows 10 Pro
Version 21H1
Betriebssystembuild 19043.1237
Leistung Windows Feature Experience Pack 120.2212.3530.0
Ich würde gerne den VPN-Tunnel mittels Opensense wegen der API-Schnittstelle herstellen, kann ich bei dieser ebenfalls einen L2TP Server einrichten? Dann würde ich einfach einen L2TP Tunnel verwenden
Vielen Dank im Voraus
Hallo,
ich habe nach der Anleitung gearbeitet und kann mich auch erfolgreich vom (Android) Handy aus mit meinem VPN verbinden. Leider klappt es mit Win10 Pro nicht, da wird folgendes ausgegeben:
IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel
Das Log zeigt folgendes:
Der Import des Zertifikats war erfolgreich und es wird im Zertifikatsspeicher angezeigt. Ich habe auch schon eine CA erstellt sowie ein neues Server Zertifikat. Am Handy gehts auch jetzt wieder (nach dem Import des neuen Zertifikats), aber der Win Fehler ist gleich geblieben.
Hat jemand eine Idee wo das Problem liegen könnte?
Gruß - Markus
ich habe nach der Anleitung gearbeitet und kann mich auch erfolgreich vom (Android) Handy aus mit meinem VPN verbinden. Leider klappt es mit Win10 Pro nicht, da wird folgendes ausgegeben:
IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel
Das Log zeigt folgendes:
2021-10-09T09:20:26 charon[79660] 13[JOB] <con1|3> deleting half open IKE_SA with 80.187.106.185 after timeout
2021-10-09T09:20:17 charon[79660] 13[IKE] <con1|3> sending keep alive to 80.187.106.185[7116]
2021-10-09T09:19:56 charon[79660] 11[NET] <con1|3> sending packet: from ...........[4500] to 80.187.106.185[7116] (500 bytes)
2021-10-09T09:19:56 charon[79660] 11[NET] <con1|3> sending packet: from ..............[4500] to 80.187.106.185[7116] (1236 bytes)
2021-10-09T09:19:56 charon[79660] 11[ENC] <con1|3> generating IKE_AUTH response 1 [ EF(2/2) ]
2021-10-09T09:19:56 charon[79660] 11[ENC] <con1|3> generating IKE_AUTH response 1 [ EF(1/2) ]
2021-10-09T09:19:56 charon[79660] 11[ENC] <con1|3> splitting IKE message (1664 bytes) into 2 fragments
2021-10-09T09:19:56 charon[79660] 11[ENC] <con1|3> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
2021-10-09T09:19:56 charon[79660] 11[IKE] <con1|3> sending end entity cert ...........
2021-10-09T09:19:56 charon[79660] 11[IKE] <con1|3> authentication of '................' (myself) with RSA signature successful
2021-10-09T09:19:56 charon[79660] 11[IKE] <con1|3> peer supports MOBIKE
2021-10-09T09:19:56 charon[79660] 11[IKE] <con1|3> initiating EAP_IDENTITY method (id 0x00)
2021-10-09T09:19:56 charon[79660] 11[CFG] <con1|3> selected peer config 'con1'
Der Import des Zertifikats war erfolgreich und es wird im Zertifikatsspeicher angezeigt. Ich habe auch schon eine CA erstellt sowie ein neues Server Zertifikat. Am Handy gehts auch jetzt wieder (nach dem Import des neuen Zertifikats), aber der Win Fehler ist gleich geblieben.
Hat jemand eine Idee wo das Problem liegen könnte?
Gruß - Markus
Ich hab die VPN Verbindung nicht über die Powershell angelegt, das kann ich aber mal testen. In das Windows Log hab ich noch gar nicht reingeschaut, steht meist eh nix verwertbares drin...
Ich werde wieder berichten was dabei rausgekommen ist.
Bis dahin: Danke dir! Für dein Tutorial und deine Hilfe 👌👏
Ich werde wieder berichten was dabei rausgekommen ist.
Bis dahin: Danke dir! Für dein Tutorial und deine Hilfe 👌👏
Ich habe jetzt mal versucht, die VPN Verbindung unter Linux (Mint) zum Laufen zu bekommen. Da klappts leider auch nicht, aber man sieht jetzt im VPN Log folgendes:
Die * sind von mir. Bei IP-Fritzbox steht die IP (192.168.....), welche opnSense von der Fritzbox bekommen hat. Diese ist natürlich nicht identisch mit meinem DynDNS Einwahlnamen, von daher ist die nächste Meldung "no matching peer config found" nachzuvollziehen. Aber wieso möchte das System jetzt dieses Netz finden? Im Zertifikat ist ja auch der DynDNS Name drin als Referenz.
Das ganze funktioniert unter Android immer noch problemlos. Sehr merkwürdig das Ganze...
Hast du noch eine Idee???
2021-10-12T18:59:01 charon[73168] 07[ENC] <2> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
2021-10-12T18:59:01 charon[73168] 07[IKE] <2> peer supports MOBIKE
2021-10-12T18:59:01 charon[73168] 07[CFG] <2> no matching peer config found
2021-10-12T18:59:01 charon[73168] 07[CFG] <2> looking for peer configs matching *IP-FritzBox*[C=DE, ST=Bayern, L=***, O=***, E=m@***.de, CN=srv.***.de]...80.187.**[Benutzername***]
Die * sind von mir. Bei IP-Fritzbox steht die IP (192.168.....), welche opnSense von der Fritzbox bekommen hat. Diese ist natürlich nicht identisch mit meinem DynDNS Einwahlnamen, von daher ist die nächste Meldung "no matching peer config found" nachzuvollziehen. Aber wieso möchte das System jetzt dieses Netz finden? Im Zertifikat ist ja auch der DynDNS Name drin als Referenz.
Das ganze funktioniert unter Android immer noch problemlos. Sehr merkwürdig das Ganze...
Hast du noch eine Idee???
Ja ich hab das mit Strongswan eingerichtet und ich hab auch nach der Anleitung von opnsense die gesamte Einrichtung versucht. Das hab ich gemacht weil deine Anleitung in einigen Punkten doch sehr stark von den Konfigurationsoptionen der opnsense abgewichen ist. Ich werde am Wochenende nochmal alles löschen und es erneut versuchen. Vielleicht habe ich ja doch irgendwo einen Fehler gemacht.
Und ich werde dann einen separaten Thread im Forum eröffnen falls es nicht klappt. Andernfalls schreibe ich hier nochmal kurz rein.
Und ich werde dann einen separaten Thread im Forum eröffnen falls es nicht klappt. Andernfalls schreibe ich hier nochmal kurz rein.
Danke für die tolle Anleitung!
Ich benutze einen Windows 11 Laptop, um über Ihre Anleitung mit dem IPsec VPN mit der PfSense aufzubauen.
Alles klappt auch wunderbar. Aber nach ein paar Stunden funktioniert dann Plötzliche ohne Fehlermeldung der VPN nicht mehr und die Kommunikation durch das VPN ist dann nicht mehr möglich. Ich leite den gesamten Netzwerkverkehr über den VPN um. Daher fällt es sofort auf, wenn plötzlich zb. Zoom abbricht.
Nach dem Trennen und Neuverbinden des VPN geht es wieder?
Habe da gleiche Verhalten auch bei einem anderen Windows 10 Gerät?
Haben Sie eine Idee, wo hier der Fehler sein könnte?
PfSense 2.5.2 (AMD64)
Kann es an den Lifetime Einstellungen liegen?:
- IPsec Tunnel Phase 1: (siehe Bild Phase1)
- Phase 2: (siehe Bild Phase 2
Lieben Dank für die Hilfe
Ich benutze einen Windows 11 Laptop, um über Ihre Anleitung mit dem IPsec VPN mit der PfSense aufzubauen.
Alles klappt auch wunderbar. Aber nach ein paar Stunden funktioniert dann Plötzliche ohne Fehlermeldung der VPN nicht mehr und die Kommunikation durch das VPN ist dann nicht mehr möglich. Ich leite den gesamten Netzwerkverkehr über den VPN um. Daher fällt es sofort auf, wenn plötzlich zb. Zoom abbricht.
Nach dem Trennen und Neuverbinden des VPN geht es wieder?
Habe da gleiche Verhalten auch bei einem anderen Windows 10 Gerät?
Haben Sie eine Idee, wo hier der Fehler sein könnte?
PfSense 2.5.2 (AMD64)
Kann es an den Lifetime Einstellungen liegen?:
- IPsec Tunnel Phase 1: (siehe Bild Phase1)
- Phase 2: (siehe Bild Phase 2
Lieben Dank für die Hilfe
Hi!
Stimmt ja. Danke ;)
Also die Dead Peer Detection ist bei der Phase 1 abgehackt. Sollte also funktionieren.
Bezüglich der Zeit bis zum Abbruch bin ich gerade am Stoppen ;). Bei dem Windows 11 Laptop war es ca. nach 2 Stunden. Bei dem Win 10 nach ca. einer Stunde.
Sobald ich mehrere und vor allem genauere Zeit Ergebnisse habe, melde ich mich wieder.
Lieben Dank vorerst.
Stimmt ja. Danke ;)
Also die Dead Peer Detection ist bei der Phase 1 abgehackt. Sollte also funktionieren.
Bezüglich der Zeit bis zum Abbruch bin ich gerade am Stoppen ;). Bei dem Windows 11 Laptop war es ca. nach 2 Stunden. Bei dem Win 10 nach ca. einer Stunde.
Sobald ich mehrere und vor allem genauere Zeit Ergebnisse habe, melde ich mich wieder.
Lieben Dank vorerst.
Ja ja ich weiß, sollte nicht immer die Autokorrektur nutzen.
Hab den Thread angelegt. Pfsense IPsec VPN - Windows 11 Verbindungsabbruch
Lieben Dank
Hab den Thread angelegt. Pfsense IPsec VPN - Windows 11 Verbindungsabbruch
Lieben Dank
Servus,
und vielen Dank für die tolle Anleitung!!!!!!
Leider habe ich zwei Probleme
1. das unter Windows 10 (21H1 Build 19043.1466) oder Windows 11 (da weiß ich gerade die version nicht) nach so ca. 220MByte keine Daten mehr fließen, die Verbindung wird im Windows Client noch als verbunden angezeigt. Aufgefallen ist mir das als ich zum testen ein 1,6GB File mal zum testen kopiert habe, das ganze ist jederzeit reproduzierbar, hab verschieden Windows 10 Maschinen ausprobiert, Bare Metal oder auch VM's. Habe das selbe Verhalten wenn ich eine andere opnsense Maschine Verwende, (2 x Bare Metal, 1 x VM)
Versionen von opnsense habe ich OPNsense 21.7.8-amd64 und OPNsense 22.1amd64 auf die Kisten drauf.
2. unter Mac OS (12.1 intel oder M1) oder ios 15.2.1 bricht die Verbindung immer genau nach 8 Minuten ab.
auch verschiedene Mac Books probiert und auch auf verschiedenen opnsense Maschinen. Ich finde nix an Einstellungen die was mit 8 Minuten oder 480 Sekunden zu tun haben.
vielen Dank schon mal
und vielen Dank für die tolle Anleitung!!!!!!
Leider habe ich zwei Probleme
1. das unter Windows 10 (21H1 Build 19043.1466) oder Windows 11 (da weiß ich gerade die version nicht) nach so ca. 220MByte keine Daten mehr fließen, die Verbindung wird im Windows Client noch als verbunden angezeigt. Aufgefallen ist mir das als ich zum testen ein 1,6GB File mal zum testen kopiert habe, das ganze ist jederzeit reproduzierbar, hab verschieden Windows 10 Maschinen ausprobiert, Bare Metal oder auch VM's. Habe das selbe Verhalten wenn ich eine andere opnsense Maschine Verwende, (2 x Bare Metal, 1 x VM)
Versionen von opnsense habe ich OPNsense 21.7.8-amd64 und OPNsense 22.1amd64 auf die Kisten drauf.
2. unter Mac OS (12.1 intel oder M1) oder ios 15.2.1 bricht die Verbindung immer genau nach 8 Minuten ab.
auch verschiedene Mac Books probiert und auch auf verschiedenen opnsense Maschinen. Ich finde nix an Einstellungen die was mit 8 Minuten oder 480 Sekunden zu tun haben.
vielen Dank schon mal
puh danke für die schnelle Antwort )
- Von den patch wußte ich noch nichst, mach ich gleich.
- Sonst alles mit default settings, mit powershell habe ich nichts angepasst.
- Mir ist gerade aufgefallen das ich zwei default routen habe und gar keine route für mein LAN Netz, ping und smb funktioniert da hin, ist ja klar weil das default auf die ipsec Adresse zeigt. Ich wollte ohne powershell Commandos auskommen, werde ich wohl nicht, das mache ich auch gleich, nach dem ich mir das mit dem Patch angeschaut habe.
@kurbler, zum Thema Mac OS und den Verbindungsabbrüchen nach 8 Minuten siehe IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
@HanDoku Super Danke, hab ich auf none gestellt und jetzt läuft der Tunnel schon über 20 Minuten, DANKE
@aqui das mit dem patch verstehen ich nicht so ganz, Du fragst mich ob ich den zwingend benötigten patch eingespielt habe, und der Link geht aber auf einen patch der rausgenommen werden soll, ich bin da bisschen durcheinander, ich date gerade einen Windows10 Client auf 21H2 ab, kannst Du mir das bitte mit dem patch noch erklären DANKE
@aqui das mit dem patch verstehen ich nicht so ganz, Du fragst mich ob ich den zwingend benötigten patch eingespielt habe, und der Link geht aber auf einen patch der rausgenommen werden soll, ich bin da bisschen durcheinander, ich date gerade einen Windows10 Client auf 21H2 ab, kannst Du mir das bitte mit dem patch noch erklären DANKE
update:
das ändern in der Section VPN => Mobile Clients den Parameter Phase 2 PFS Group auf "off" hat nicht nur gebracht das die Verbindung unter Mac OS nach 8 Minuten nicht mehr unterbrochen wurde, es hat auch das Problem unter Windows 10 behoben das kein Verkehr mehr durch den Tunnel geschickt worden ist. Ich hab auf der opnsense einen tcpdump auf enc0 mitlaufen lassen und da hat der Verkehr nach ca 220MBytes aufgehört, das ist jetzt auch behoben. DANKE
das ändern in der Section VPN => Mobile Clients den Parameter Phase 2 PFS Group auf "off" hat nicht nur gebracht das die Verbindung unter Mac OS nach 8 Minuten nicht mehr unterbrochen wurde, es hat auch das Problem unter Windows 10 behoben das kein Verkehr mehr durch den Tunnel geschickt worden ist. Ich hab auf der opnsense einen tcpdump auf enc0 mitlaufen lassen und da hat der Verkehr nach ca 220MBytes aufgehört, das ist jetzt auch behoben. DANKE
@aqui
Danke für die gute Anleitung.
Ggf. sind ein paar Stolpersteine drin (vermutliche durch leichte Anpassungen in der aktuellen pfsense).
Bspw. Mobile Phase 1:
Haken entfernen: Disable Rekey
Haken entfernen: Disable Reauth
Da gibt es keine Haken mehr, muss beides auf "0" gesetzt werden, bzw. eigentlich nur der Rekey, denn Standard ist:
Zudem klemmt es bei mir kurz vor dem Ende:
ACHTUNG:
Diese IPsec WAN Port Regeln (ESP, UDP 500 und UDP 4500 für den Zugriff auf die WAN IP Adresse der pfSense passieren lassen) sollte die pfSense schon automatisch eingerichtet haben aber eine Kontrolle kann hier, wie immer, nicht schaden !
Verstehe ich richtig, dass ESP, UDP 500 & 4500 unter Firewall - Rules - WAN angelegt werden müssen?
Da ist nämlich leider nichts, die "Allow all" im IPsec war auch schon nicht automatisch angelegt.
Welche Parameter brauchen die 3 o.g. Protokolle denn?
Denn leider klappt es nicht. :D
Habe nun schon einige Einstellungen durchprobiert, leider ohne Erfolg mein Testsystem (Win 11 Pro) verbunden über Mobilfunk sagt mir immer "Das Netzwerk ist nicht vorhanden oder wurde nicht gestartet."
Ich befinde mich in einer Routerkaskade, auf der Fritz!Box ist Exposed Host angegeben, die Freigaben habe ich testweise auch schon mal einzeln reingepackt, hilft nicht.
Ich habe testweise per NAT mal Port 80 an mein Synology-NAS umgeleitet, das klappt einwandfrei über meine DDNS Adresse, also mache ich beim IPsec irgendwas falsch.
Grüße
ToWa
Danke für die gute Anleitung.
Ggf. sind ein paar Stolpersteine drin (vermutliche durch leichte Anpassungen in der aktuellen pfsense).
Bspw. Mobile Phase 1:
Haken entfernen: Disable Rekey
Haken entfernen: Disable Reauth
Da gibt es keine Haken mehr, muss beides auf "0" gesetzt werden, bzw. eigentlich nur der Rekey, denn Standard ist:
Zudem klemmt es bei mir kurz vor dem Ende:
ACHTUNG:
Diese IPsec WAN Port Regeln (ESP, UDP 500 und UDP 4500 für den Zugriff auf die WAN IP Adresse der pfSense passieren lassen) sollte die pfSense schon automatisch eingerichtet haben aber eine Kontrolle kann hier, wie immer, nicht schaden !
Verstehe ich richtig, dass ESP, UDP 500 & 4500 unter Firewall - Rules - WAN angelegt werden müssen?
Da ist nämlich leider nichts, die "Allow all" im IPsec war auch schon nicht automatisch angelegt.
Welche Parameter brauchen die 3 o.g. Protokolle denn?
Denn leider klappt es nicht. :D
Habe nun schon einige Einstellungen durchprobiert, leider ohne Erfolg mein Testsystem (Win 11 Pro) verbunden über Mobilfunk sagt mir immer "Das Netzwerk ist nicht vorhanden oder wurde nicht gestartet."
Ich befinde mich in einer Routerkaskade, auf der Fritz!Box ist Exposed Host angegeben, die Freigaben habe ich testweise auch schon mal einzeln reingepackt, hilft nicht.
Ich habe testweise per NAT mal Port 80 an mein Synology-NAS umgeleitet, das klappt einwandfrei über meine DDNS Adresse, also mache ich beim IPsec irgendwas falsch.
Grüße
ToWa
Salut,
wo sehe ich denn die Default-Regeln?
Also habe ich mal meine manuellen Regeln unter Firewall-WAN rausgeworfen.
Die aktuellen Windowsupdate von heute Abend waren auch schon aktiv, damit sollten keine Probleme beim VPN mehr auftreten.
Da kommt leider nix bei rum.
Ich habe nun mal das Testnotebook ins WLAN an der Fritz!Box gepackt und mal nen Ping zur pfsense abgesetzt, da kommt keine Antwort - logisch, wird geblockt.
Also mal für die IP des Notebooks eine Freigabe für alle Protokolle erstellt, Ping geht.
VPN-Verbindung von öffentlicher Domain auf lokale IP der pfsense am WAN - Port umgestellt, Fehlermeldung bleibt.
Laut Ereignislog:
- RasClient
- ID 20227
- Ursachencode: 1222
Der Verbindungsaufbau läuft laut Log mit:
Der Benutzer und das Kennwort werden abgefragt, aber danach stirbt er.
Habe mal ein paar Bilder der Konfiguration erstellt, vielleicht fällt ja auf, was ich ggf. übersehen habe - ich seh leider den Wald vor lauter Bäumen nicht.
Wurde hier weiter bearbeitet und gelöst: klick
Fakt ist das in der aktuellen pfSense (und auch OPNsense) Version diese Regeln nicht mehr eingerichtet werden müssen, denn das macht die IPsec Setup Funktion automatisch !!
Kann man auch sehen bzw. kontrollieren wenn man sich die Default Regeln am WAN Port ansieht. Dort sind diese alle freigegeben. Man kann sie dann also löschen und es klappt auch.
Kann man auch sehen bzw. kontrollieren wenn man sich die Default Regeln am WAN Port ansieht. Dort sind diese alle freigegeben. Man kann sie dann also löschen und es klappt auch.
wo sehe ich denn die Default-Regeln?
Also habe ich mal meine manuellen Regeln unter Firewall-WAN rausgeworfen.
In einer Router Kaskade ist dann immer wichtig unbedingt die RFC 1918 Netze am WAN Port zuzulassen !
Check, das habe ich bei der Einrichtung schon erledigt, eine Testfreigabe von Port 80 als Umleitung auf Port 5000 meiner Synology klappt auch einwandfrei aus dem Netz. Die aktuellen Windowsupdate von heute Abend waren auch schon aktiv, damit sollten keine Probleme beim VPN mehr auftreten.
Das kannst du aber sehr leicht mit der Packet Capture Funktion in der pfSense (unter Diagnostic Menü) überprüfen indem du dort einfach mal am WAN Port prüfst ob dort IKE Pakete (UDP 500) eingehen wenn du mit einem Client einen Zugriff machst.
Da kommt leider nix bei rum.
Ich habe nun mal das Testnotebook ins WLAN an der Fritz!Box gepackt und mal nen Ping zur pfsense abgesetzt, da kommt keine Antwort - logisch, wird geblockt.
Also mal für die IP des Notebooks eine Freigabe für alle Protokolle erstellt, Ping geht.
VPN-Verbindung von öffentlicher Domain auf lokale IP der pfsense am WAN - Port umgestellt, Fehlermeldung bleibt.
Laut Ereignislog:
- RasClient
- ID 20227
- Ursachencode: 1222
Der Verbindungsaufbau läuft laut Log mit:
CoID={4F3C0557-1D27-0001-B99A-3C4F271DD801}: Der Benutzer "NB-EDV00\towa" hat eine VPN-Verbindung mit einem per-user-Verbindungsprofil mit dem Namen "pfSense-Home" angewählt. Die Verbindungseinstellungen lauten:
Dial-in User =
VpnStrategy = IKEv2
DataEncryption = Requested
PrerequisiteEntry =
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = EAP <Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)>
Ipv4DefaultGateway = Yes
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags =
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No
Mobility enabled for IKEv2 = Yes.
Dial-in User =
VpnStrategy = IKEv2
DataEncryption = Requested
PrerequisiteEntry =
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = EAP <Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)>
Ipv4DefaultGateway = Yes
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags =
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No
Mobility enabled for IKEv2 = Yes.
Der Benutzer und das Kennwort werden abgefragt, aber danach stirbt er.
Habe mal ein paar Bilder der Konfiguration erstellt, vielleicht fällt ja auf, was ich ggf. übersehen habe - ich seh leider den Wald vor lauter Bäumen nicht.
Wurde hier weiter bearbeitet und gelöst: klick
Hallo,
hoff die Frage ist nicht zu dumm.
Ich habe einen Glasfaser Anschluss von der Deutschen Glasfaser und habe IPv4 mäßig Carrier Grade NAT.
Ich würde gerne über ipv6 einen IPSec Tunnel zu meiner OPNsense aufmachen und dann im Tunnel meine IPv4 Geräte in meinen LAN erreichen, ich weiß ich kann auch über IPv6 Geräte erreichen, was auch funktioniert ich habe aber noch eine Stromsteckerleiste die kann nur IPv4 und finde den Charme einer IPSec Verbindung ganz nice.
Geht sowas und wenn ja was müsste ich machen.
Ich habe an einen anderen Standort auch eine OPNsense die ipv4 und ipv6 angebunden ist, wo auch IPSec mit ipv4 wunderbar durch @aqui guter Anleitung und Hilfe einwandfrei funktioniert.
Ich habe an diesem Anschluß einfach mal im Phase1 Tunnel das Protokoll von ipv4 auf ipv6 umgestellt, hat aber nicht funktioniert, anscheinend ist es doch nicht so einfach.
vg & schönes Wochenende
hoff die Frage ist nicht zu dumm.
Ich habe einen Glasfaser Anschluss von der Deutschen Glasfaser und habe IPv4 mäßig Carrier Grade NAT.
Ich würde gerne über ipv6 einen IPSec Tunnel zu meiner OPNsense aufmachen und dann im Tunnel meine IPv4 Geräte in meinen LAN erreichen, ich weiß ich kann auch über IPv6 Geräte erreichen, was auch funktioniert ich habe aber noch eine Stromsteckerleiste die kann nur IPv4 und finde den Charme einer IPSec Verbindung ganz nice.
Geht sowas und wenn ja was müsste ich machen.
Ich habe an einen anderen Standort auch eine OPNsense die ipv4 und ipv6 angebunden ist, wo auch IPSec mit ipv4 wunderbar durch @aqui guter Anleitung und Hilfe einwandfrei funktioniert.
Ich habe an diesem Anschluß einfach mal im Phase1 Tunnel das Protokoll von ipv4 auf ipv6 umgestellt, hat aber nicht funktioniert, anscheinend ist es doch nicht so einfach.
vg & schönes Wochenende
Servus Aqui,
Danke für Deine Antworten und die Links, bin leider nicht dazu gekommen vorher zu Antworten.
Hab mir die Links kurz angeschaut ich glaube ich hab mich dumm ausgedrückt.
Ich meine ich mache z.B von einen anderen Standort der auch ipv6 fähig ist eine ipv6 IPSec Verbindung zu meiner OPNsense daheim auf und in diesem Tunnel würde ich gerne ipv4 Geräte die in meinen Heimnetz sind erreichen.
Geht sowas überhaupt das man ipv4 Verkehr in einen ipv6 Tunnel überträgt.
Streng genommen muss ja dann der Client der den ipv6 Tunnel aufbaut dann eine ipv4 Adresse von der OPNsense bekommen und es müsste die Netze die an der OPNsense sind an den Client announced werden damit der Traffic dann in den Tunnel reingeroutet wird.
sag schon mal vielen Dank für die Bemühungen
schöne Wochenstart
Danke für Deine Antworten und die Links, bin leider nicht dazu gekommen vorher zu Antworten.
Hab mir die Links kurz angeschaut ich glaube ich hab mich dumm ausgedrückt.
Ich meine ich mache z.B von einen anderen Standort der auch ipv6 fähig ist eine ipv6 IPSec Verbindung zu meiner OPNsense daheim auf und in diesem Tunnel würde ich gerne ipv4 Geräte die in meinen Heimnetz sind erreichen.
Geht sowas überhaupt das man ipv4 Verkehr in einen ipv6 Tunnel überträgt.
Streng genommen muss ja dann der Client der den ipv6 Tunnel aufbaut dann eine ipv4 Adresse von der OPNsense bekommen und es müsste die Netze die an der OPNsense sind an den Client announced werden damit der Traffic dann in den Tunnel reingeroutet wird.
sag schon mal vielen Dank für die Bemühungen
schöne Wochenstart
Zitat von @kurbler:
update:
das ändern in der Section VPN => Mobile Clients den Parameter Phase 2 PFS Group auf "off" hat nicht nur gebracht das die Verbindung unter Mac OS nach 8 Minuten nicht mehr unterbrochen wurde, es hat auch das Problem unter Windows 10 behoben das kein Verkehr mehr durch den Tunnel geschickt worden ist. Ich hab auf der opnsense einen tcpdump auf enc0 mitlaufen lassen und da hat der Verkehr nach ca 220MBytes aufgehört, das ist jetzt auch behoben. DANKE
update:
das ändern in der Section VPN => Mobile Clients den Parameter Phase 2 PFS Group auf "off" hat nicht nur gebracht das die Verbindung unter Mac OS nach 8 Minuten nicht mehr unterbrochen wurde, es hat auch das Problem unter Windows 10 behoben das kein Verkehr mehr durch den Tunnel geschickt worden ist. Ich hab auf der opnsense einen tcpdump auf enc0 mitlaufen lassen und da hat der Verkehr nach ca 220MBytes aufgehört, das ist jetzt auch behoben. DANKE
@kurbler
Vielen vielen herzlichen Dank. Endlich ist das Problem behoben worden. Der Tunnel läuft nun seit 1,5 Stunden stabil. Das gab es noch nie.
Ich möchte mich auch bei @aqui herzlich bedanken. Wie nutzen diese Anleitung seit etwa 2 Jahren. Ich habe mich nur angemeldet um Hallo zu sagen
Zitat von @aqui:
Hier siehst du mal die Grundlagen dazu mit umgekehrtemn Tunnel (v6 in v4)
IPv6 über Cisco IPv4 IPsec Tunnel
Bei der pfSense bzw. OPNsense ist es das VTI Interface.
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Das ist aber ein separates Thema was eigentlich an einem Client VPN thematisch vorbeigeht. Um das Tutorial hier nicht mit fremden Themen aufzublähen solltest du einen neuen Thread eröffnen mit einem entspr. Verweis hier.
Erstmal Danke für die super Anleitung das grundsätzliche Setup hat damit gut funktioniert.Geht sowas überhaupt das man ipv4 Verkehr in einen ipv6 Tunnel überträgt.
Ja, natürlich, das geht problemlos. Du machst dort dann einen GRE Tunnel oder IP in IP Tunnel über das v6 und routest dann ganz normal dein IPv4 dadrüber.Hier siehst du mal die Grundlagen dazu mit umgekehrtemn Tunnel (v6 in v4)
IPv6 über Cisco IPv4 IPsec Tunnel
Bei der pfSense bzw. OPNsense ist es das VTI Interface.
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Das ist aber ein separates Thema was eigentlich an einem Client VPN thematisch vorbeigeht. Um das Tutorial hier nicht mit fremden Themen aufzublähen solltest du einen neuen Thread eröffnen mit einem entspr. Verweis hier.
Bin in der gleichen Situation wir Kurbler, DG und nur noch über IPv6 erreichbar, mir geht es allerdings nicht darum Standorte zu vernetzen sondern über meine Android Geräte auf das Heimnetz IPv4 zuzugreifen. Bin da mit VTI nicht weitergekommen hier werden wohl Mobile Clients nicht unterstützt.
Grundsätzlich funktioniert die VPN Verbindung, wenn ich IPv4(Netzintern) nutze kann ich meine Heimgeräte erreichen. Wenn ich aber die IPv6 Adresse nutze wir die Verbindung aufgebaut ich kann aber keine Adressen erreichen. Als Client nutze ich StrongSwan, der native Android12 Client mag wohl keine v6 Ziele:
Muss hier noch etwas besonderes konfiguriert werden?
Über OpenVPN geht es sofort, würde aber gerne IPsec nutzen das scheint auf dem Handy Ressourcen schonender implementiert zu sein.
Danke für evtl. Tipps und Gruß
Danke für die Rückmeldung, es geht mir nicht um den Zugriff über V4. Beide Endpunkte (Android 12, PFsense) unterstützen V6 und die Verbindung wird auch aufgebaut. Über diesen V6 Tunnel möchte ich dann V4 Traffic leiten. Der Screenshot oben zeigt die Aufgebaute Verbindung Tunnel endpoints V6, SRC / DST V4. Nur gehen keinen Daten über die Verbindung.
Als Referenz mit OpenVPN funktioniert es in dem Scenario, mir ist halt nicht klar was ich für IPSec ergänzen müsste..
Als Referenz mit OpenVPN funktioniert es in dem Scenario, mir ist halt nicht klar was ich für IPSec ergänzen müsste..
Ich habe es zumindest Versucht. Die alte MobileClient config lies sich nicht umbiegen. Ohne MobileClient ging dann nur Mutual Certificate, was auch nicht gleich wollte, Strongswan nimmt nur den P12 export des Zertifikates. Wie auch immer die Autorisierung funktioniert jetzt, hänge jetzt aber daran das wohl keine IP Adressen zugewiesen werden
Unter Client Configuration (mode-cfg) sind virtuelle Adresspools konfiguriert.
Gibt es noch eine andere Stelle wo ich die Adressen konfigurieren muss?
May 19 20:49:56 charon 42461 11[IKE] <con1|10> peer requested virtual IP %any
May 19 20:49:56 charon 42461 11[IKE] <con1|10> no virtual IP found for %any requested by 'VTI'
May 19 20:49:56 charon 42461 11[IKE] <con1|10> peer requested virtual IP %any6
May 19 20:49:56 charon 42461 11[IKE] <con1|10> no virtual IP found for %any6 requested by 'VTI'
May 19 20:49:56 charon 42461 11[IKE] <con1|10> no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Unter Client Configuration (mode-cfg) sind virtuelle Adresspools konfiguriert.
Virtual Address PoolProvide a virtual IP address to clients
192.168.2.0 / 24
Virtual IPv6 Address PoolProvide a virtual IPv6 address to clients
2001::00 /120
Gibt es noch eine andere Stelle wo ich die Adressen konfigurieren muss?
Zitat von @aqui:
Den Clients wird ja eine IP aus einem ansonsten ungenutzten IP Netzwerk zugewiesen, bspw. die 10.10.10.1
Das ist richtig ! Das ist quasi das VPN IP Segment. Das kannst du dir so vorstellen als ob das ein weiteres, separates IP Netzwerk ist was noch an der Firewall klemmt und über sie geroutet wird. Genauso wie mit einem Kabel nur das es eben VPN ist. Clients im VPN Netz haben dann also immer eine 10.10.10.0er Absender IP.Frage: Wie muss die pfSense konfiguriert werden, dass der VPN-Client 10.10.10.1 mit dem VPN-Client 10.10.10.2 kommunizieren kann?
Hallo aqui
Ich habe auf meiner Pfsense (netgate sg 1100) und Routerkaskade FB den IKEV2 VPN gemäss Deiner Anleitung mit dem Win 10 VPN Client konfiguriert und kann mich mit dem VPN auf die pfsense verbinden. Funktioniert alles prima. Aber der Zugriff auf mein Synology NAS welches sich hinter der pfsense befindet funktioniert nicht richtig. Ich erreiche das MAS mit dem Ping. Aber der Zugriff via dem File Explorer von Win 10 ist so so langsam. Ich habe schon alles versucht habe aber keine Ahnung voran das liegt. Kannst Du mit einen Tipp geben?
Ich habe auf meiner Pfsense (netgate sg 1100) und Routerkaskade FB den IKEV2 VPN gemäss Deiner Anleitung mit dem Win 10 VPN Client konfiguriert und kann mich mit dem VPN auf die pfsense verbinden. Funktioniert alles prima. Aber der Zugriff auf mein Synology NAS welches sich hinter der pfsense befindet funktioniert nicht richtig. Ich erreiche das MAS mit dem Ping. Aber der Zugriff via dem File Explorer von Win 10 ist so so langsam. Ich habe schon alles versucht habe aber keine Ahnung voran das liegt. Kannst Du mit einen Tipp geben?
Hallo aqui,
erstmal vielen Dank für Ihre gute Anleitung.
Ich muss den Kommentar von PRO4NETWORK nochmal aufgreifen.. leider bekomme ich auch diese Fehlermeldung beim Aufbauen einer VPN-Verbindung:
"Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet.
Das Verbindungsproblem wird möglicherweise verursacht, weil eins der Netzwerkgeräte (zum Beispiel Firewall, NAT, Router usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist."
Haben Sie da eine Lösung dafür..
Würde mich über Tipp freuen
Anbei die IPSec LOG-Daten der PFSense
Vielen Dank und viele Grüße
Aug 17 11:51:18 charon 59199 00[DMN] Starting IKE charon daemon (strongSwan 5.9.4, FreeBSD 12.3-STABLE, amd64)
Aug 17 11:51:18 charon 59199 00[CFG] PKCS11 module '<name>' lacks library path
Aug 17 11:51:18 charon 59199 00[CFG] loaded attribute INTERNAL_IP4_SUBNET: 00:00:00:00:00:00:00:00
Aug 17 11:51:18 charon 59199 00[CFG] loaded attribute UNITY_SPLIT_INCLUDE: 00:00:00:00:00:00:00:00
Aug 17 11:51:18 charon 59199 00[KNL] unable to set UDP_ENCAP: Invalid argument
Aug 17 11:51:18 charon 59199 00[NET] enabling UDP decapsulation for IPv6 on port 4500 failed
Aug 17 11:51:18 charon 59199 00[CFG] loading unbound resolver config from '/etc/resolv.conf'
Aug 17 11:51:18 charon 59199 00[CFG] loading unbound trust anchors from '/usr/local/etc/ipsec.d/dnssec.keys'
Aug 17 11:51:18 charon 59199 00[CFG] ipseckey plugin is disabled
Aug 17 11:51:18 charon 59199 00[CFG] loading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading crls from '/usr/local/etc/ipsec.d/crls'
Aug 17 11:51:18 charon 59199 00[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Aug 17 11:51:18 charon 59199 00[CFG] opening triplet file /usr/local/etc/ipsec.d/triplets.dat failed: No such file or directory
Aug 17 11:51:18 charon 59199 00[CFG] loaded 0 RADIUS server configurations
Aug 17 11:51:18 charon 59199 00[LIB] loaded plugins: charon unbound pkcs11 aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey ipseckey pem openssl fips-prf curve25519 xcbc cmac hmac drbg curl attr kernel-pfkey kernel-pfroute resolve socket-default stroke vici updown eap-identity eap-sim eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam whitelist addrblock counters
Aug 17 11:51:18 charon 59199 00[JOB] spawning 16 worker threads
Aug 17 11:51:19 charon 59199 16[CFG] vici client 1 connected
Aug 17 11:51:19 charon 59199 05[CFG] vici client 1 requests: get-keys
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: get-shared
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-cert
Aug 17 11:51:19 charon 59199 15[CFG] loaded certificate 'CN=pfsense.xx'
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-cert
Aug 17 11:51:19 charon 59199 15[CFG] loaded certificate 'CN=pfsense-xx-CA'
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-key
Aug 17 11:51:19 charon 59199 15[CFG] loaded ANY private key
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 15[CFG] loaded EAP shared key with id 'eap-1' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 14[CFG] loaded EAP shared key with id 'eap-2' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 14[CFG] loaded EAP shared key with id 'eap-3' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 14[CFG] loaded EAP shared key with id 'eap-4' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: get-authorities
Aug 17 11:51:19 charon 59199 13[CFG] vici client 1 requests: get-pools
Aug 17 11:51:19 charon 59199 13[CFG] vici client 1 requests: get-conns
Aug 17 11:51:19 charon 59199 13[CFG] vici client 1 requests: load-conn
Aug 17 11:51:19 charon 59199 13[CFG] conn bypass:
Aug 17 11:51:19 charon 59199 13[CFG] child bypasslan:
Aug 17 11:51:19 charon 59199 13[CFG] rekey_time = 3600
Aug 17 11:51:19 charon 59199 13[CFG] life_time = 3960
Aug 17 11:51:19 charon 59199 13[CFG] rand_time = 360
Aug 17 11:51:19 charon 59199 13[CFG] rekey_bytes = 0
Aug 17 11:51:19 charon 59199 13[CFG] life_bytes = 0
Aug 17 11:51:19 charon 59199 13[CFG] rand_bytes = 0
Aug 17 11:51:19 charon 59199 13[CFG] rekey_packets = 0
Aug 17 11:51:19 charon 59199 13[CFG] life_packets = 0
Aug 17 11:51:19 charon 59199 13[CFG] rand_packets = 0
Aug 17 11:51:19 charon 59199 13[CFG] updown = (null)
Aug 17 11:51:19 charon 59199 13[CFG] hostaccess = 0
Aug 17 11:51:19 charon 59199 13[CFG] ipcomp = 0
Aug 17 11:51:19 charon 59199 13[CFG] mode = PASS
Aug 17 11:51:19 charon 59199 13[CFG] policies = 1
Aug 17 11:51:19 charon 59199 13[CFG] policies_fwd_out = 0
Aug 17 11:51:19 charon 59199 13[CFG] dpd_action = clear
Aug 17 11:51:19 charon 59199 13[CFG] start_action = hold
Aug 17 11:51:19 charon 59199 13[CFG] close_action = clear
Aug 17 11:51:19 charon 59199 13[CFG] reqid = 0
Aug 17 11:51:19 charon 59199 13[CFG] tfc = 0
Aug 17 11:51:19 charon 59199 13[CFG] priority = 0
Aug 17 11:51:19 charon 59199 13[CFG] interface = (null)
Aug 17 11:51:19 charon 59199 13[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 13[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 13[CFG] mark_in = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] mark_in_sa = 0
Aug 17 11:51:19 charon 59199 13[CFG] mark_out = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] set_mark_in = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] set_mark_out = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] inactivity = 0
Aug 17 11:51:19 charon 59199 13[CFG] proposals = ESP:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/NO_EXT_SEQ
Aug 17 11:51:19 charon 59199 13[CFG] local_ts = 192.168.xx.xx/24|/0
Aug 17 11:51:19 charon 59199 13[CFG] remote_ts = 192.168.xx.xx/24|/0
Aug 17 11:51:19 charon 59199 13[CFG] hw_offload = no
Aug 17 11:51:19 charon 59199 13[CFG] sha256_96 = 0
Aug 17 11:51:19 charon 59199 13[CFG] copy_df = 1
Aug 17 11:51:19 charon 59199 13[CFG] copy_ecn = 1
Aug 17 11:51:19 charon 59199 13[CFG] copy_dscp = out
Aug 17 11:51:19 charon 59199 13[CFG] version = 0
Aug 17 11:51:19 charon 59199 13[CFG] local_addrs = %any
Aug 17 11:51:19 charon 59199 13[CFG] remote_addrs = 127.0.0.1
Aug 17 11:51:19 charon 59199 13[CFG] local_port = 500
Aug 17 11:51:19 charon 59199 13[CFG] remote_port = 500
Aug 17 11:51:19 charon 59199 13[CFG] send_certreq = 1
Aug 17 11:51:19 charon 59199 13[CFG] send_cert = CERT_SEND_IF_ASKED
Aug 17 11:51:19 charon 59199 13[CFG] ppk_id = (null)
Aug 17 11:51:19 charon 59199 13[CFG] ppk_required = 0
Aug 17 11:51:19 charon 59199 13[CFG] mobike = 1
Aug 17 11:51:19 charon 59199 13[CFG] aggressive = 0
Aug 17 11:51:19 charon 59199 13[CFG] dscp = 0x00
Aug 17 11:51:19 charon 59199 13[CFG] encap = 0
Aug 17 11:51:19 charon 59199 13[CFG] dpd_delay = 0
Aug 17 11:51:19 charon 59199 13[CFG] dpd_timeout = 0
Aug 17 11:51:19 charon 59199 13[CFG] fragmentation = 2
Aug 17 11:51:19 charon 59199 13[CFG] childless = 0
Aug 17 11:51:19 charon 59199 13[CFG] unique = UNIQUE_NO
Aug 17 11:51:19 charon 59199 13[CFG] keyingtries = 1
Aug 17 11:51:19 charon 59199 13[CFG] reauth_time = 0
Aug 17 11:51:19 charon 59199 13[CFG] rekey_time = 14400
Aug 17 11:51:19 charon 59199 13[CFG] over_time = 1440
Aug 17 11:51:19 charon 59199 13[CFG] rand_time = 1440
Aug 17 11:51:19 charon 59199 13[CFG] proposals = IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/CURVE_448/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_CCM_16_128/AES_CCM_16_192/AES_CCM_16_256/CHACHA20_POLY1305/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/AES_CCM_12_128/AES_CCM_12_192/AES_CCM_12_256/AES_CCM_8_128/AES_CCM_8_192/AES_CCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/CURVE_448/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048
Aug 17 11:51:19 charon 59199 13[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 13[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 13[CFG] local:
Aug 17 11:51:19 charon 59199 13[CFG] remote:
Aug 17 11:51:19 charon 59199 13[CFG] added vici connection: bypass
Aug 17 11:51:19 charon 59199 13[CFG] installing 'bypasslan'
Aug 17 11:51:19 charon 59199 12[CFG] vici client 1 requests: load-conn
Aug 17 11:51:19 charon 59199 12[CFG] conn con-mobile:
Aug 17 11:51:19 charon 59199 12[CFG] child con-mobile:
Aug 17 11:51:19 charon 59199 12[CFG] rekey_time = 3240
Aug 17 11:51:19 charon 59199 12[CFG] life_time = 3600
Aug 17 11:51:19 charon 59199 12[CFG] rand_time = 360
Aug 17 11:51:19 charon 59199 12[CFG] rekey_bytes = 0
Aug 17 11:51:19 charon 59199 12[CFG] life_bytes = 0
Aug 17 11:51:19 charon 59199 12[CFG] rand_bytes = 0
Aug 17 11:51:19 charon 59199 12[CFG] rekey_packets = 0
Aug 17 11:51:19 charon 59199 12[CFG] life_packets = 0
Aug 17 11:51:19 charon 59199 12[CFG] rand_packets = 0
Aug 17 11:51:19 charon 59199 12[CFG] updown = (null)
Aug 17 11:51:19 charon 59199 12[CFG] hostaccess = 0
Aug 17 11:51:19 charon 59199 12[CFG] ipcomp = 0
Aug 17 11:51:19 charon 59199 12[CFG] mode = TUNNEL
Aug 17 11:51:19 charon 59199 12[CFG] policies = 1
Aug 17 11:51:19 charon 59199 12[CFG] policies_fwd_out = 0
Aug 17 11:51:19 charon 59199 12[CFG] dpd_action = clear
Aug 17 11:51:19 charon 59199 12[CFG] start_action = clear
Aug 17 11:51:19 charon 59199 12[CFG] close_action = clear
Aug 17 11:51:19 charon 59199 12[CFG] reqid = 0
Aug 17 11:51:19 charon 59199 12[CFG] tfc = 0
Aug 17 11:51:19 charon 59199 12[CFG] priority = 0
Aug 17 11:51:19 charon 59199 12[CFG] interface = (null)
Aug 17 11:51:19 charon 59199 12[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 12[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 12[CFG] mark_in = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] mark_in_sa = 0
Aug 17 11:51:19 charon 59199 12[CFG] mark_out = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] set_mark_in = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] set_mark_out = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] inactivity = 0
Aug 17 11:51:19 charon 59199 12[CFG] proposals = ESP:AES_GCM_16_256/NO_EXT_SEQ, ESP:AES_GCM_12_256/NO_EXT_SEQ, ESP:AES_GCM_8_256/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/NO_EXT_SEQ
Aug 17 11:51:19 charon 59199 12[CFG] local_ts = 0.0.0.0/0|/0
Aug 17 11:51:19 charon 59199 12[CFG] remote_ts = dynamic
Aug 17 11:51:19 charon 59199 12[CFG] hw_offload = no
Aug 17 11:51:19 charon 59199 12[CFG] sha256_96 = 0
Aug 17 11:51:19 charon 59199 12[CFG] copy_df = 1
Aug 17 11:51:19 charon 59199 12[CFG] copy_ecn = 1
Aug 17 11:51:19 charon 59199 12[CFG] copy_dscp = out
Aug 17 11:51:19 charon 59199 12[CFG] version = 2
Aug 17 11:51:19 charon 59199 12[CFG] local_addrs = 192.168.xx.xx
Aug 17 11:51:19 charon 59199 12[CFG] remote_addrs = 0.0.0.0/0, ::/0
Aug 17 11:51:19 charon 59199 12[CFG] local_port = 500
Aug 17 11:51:19 charon 59199 12[CFG] remote_port = 500
Aug 17 11:51:19 charon 59199 12[CFG] send_certreq = 1
Aug 17 11:51:19 charon 59199 12[CFG] send_cert = CERT_ALWAYS_SEND
Aug 17 11:51:19 charon 59199 12[CFG] ppk_id = (null)
Aug 17 11:51:19 charon 59199 12[CFG] ppk_required = 0
Aug 17 11:51:19 charon 59199 12[CFG] mobike = 1
Aug 17 11:51:19 charon 59199 12[CFG] aggressive = 0
Aug 17 11:51:19 charon 59199 12[CFG] dscp = 0x00
Aug 17 11:51:19 charon 59199 12[CFG] encap = 0
Aug 17 11:51:19 charon 59199 12[CFG] dpd_delay = 35
Aug 17 11:51:19 charon 59199 12[CFG] dpd_timeout = 0
Aug 17 11:51:19 charon 59199 12[CFG] fragmentation = 2
Aug 17 11:51:19 charon 59199 12[CFG] childless = 0
Aug 17 11:51:19 charon 59199 12[CFG] unique = UNIQUE_REPLACE
Aug 17 11:51:19 charon 59199 12[CFG] keyingtries = 1
Aug 17 11:51:19 charon 59199 12[CFG] reauth_time = 0
Aug 17 11:51:19 charon 59199 12[CFG] rekey_time = 25920
Aug 17 11:51:19 charon 59199 12[CFG] over_time = 2880
Aug 17 11:51:19 charon 59199 12[CFG] rand_time = 2880
Aug 17 11:51:19 charon 59199 12[CFG] proposals = IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Aug 17 11:51:19 charon 59199 12[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 12[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 12[CFG] local:
Aug 17 11:51:19 charon 59199 12[CFG] class = public key
Aug 17 11:51:19 charon 59199 12[CFG] id = pfsense.xx
Aug 17 11:51:19 charon 59199 12[CFG] cert = CN=pfsense.xx
Aug 17 11:51:19 charon 59199 12[CFG] remote:
Aug 17 11:51:19 charon 59199 12[CFG] eap-type = EAP_MSCHAPV2
Aug 17 11:51:19 charon 59199 12[CFG] class = EAP
Aug 17 11:51:19 charon 59199 12[CFG] eap_id = %any
Aug 17 11:51:19 charon 59199 12[CFG] id = %any
Aug 17 11:51:19 charon 59199 12[CFG] added vici connection: con-mobile
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 disconnected
Aug 17 13:52:17 charon 59199 07[CFG] vici client 2 connected
Aug 17 13:52:17 charon 59199 05[CFG] vici client 2 requests: get-pools
Aug 17 13:52:17 charon 59199 07[CFG] vici client 2 disconnected
Aug 17 13:52:30 charon 59199 05[CFG] vici client 3 connected
Aug 17 13:52:30 charon 59199 07[CFG] vici client 3 registered for: list-sa
Aug 17 13:52:30 charon 59199 05[CFG] vici client 3 requests: list-sas
Aug 17 13:52:30 charon 59199 07[CFG] vici client 3 disconnected
Aug 17 13:52:30 charon 59199 07[CFG] vici client 4 connected
Aug 17 13:52:30 charon 59199 07[CFG] vici client 4 requests: get-pools
Aug 17 13:52:30 charon 59199 07[CFG] vici client 4 disconnected
Aug 17 13:53:10 charon 59199 16[CFG] vici client 5 connected
Aug 17 13:53:10 charon 59199 15[CFG] vici client 5 registered for: list-sa
Aug 17 13:53:10 charon 59199 15[CFG] vici client 5 requests: list-sas
Aug 17 13:53:10 charon 59199 13[CFG] vici client 5 disconnected
Aug 17 13:53:15 charon 59199 14[CFG] vici client 6 connected
Aug 17 13:53:15 charon 59199 15[CFG] vici client 6 registered for: list-sa
Aug 17 13:53:15 charon 59199 14[CFG] vici client 6 requests: list-sas
Aug 17 13:53:15 charon 59199 15[CFG] vici client 6 disconnected
Aug 17 13:53:20 charon 59199 12[CFG] vici client 7 connected
Aug 17 13:53:20 charon 59199 14[CFG] vici client 7 registered for: list-sa
Aug 17 13:53:20 charon 59199 14[CFG] vici client 7 requests: list-sas
Aug 17 13:53:20 charon 59199 11[CFG] vici client 7 disconnected
erstmal vielen Dank für Ihre gute Anleitung.
Ich muss den Kommentar von PRO4NETWORK nochmal aufgreifen.. leider bekomme ich auch diese Fehlermeldung beim Aufbauen einer VPN-Verbindung:
"Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet.
Das Verbindungsproblem wird möglicherweise verursacht, weil eins der Netzwerkgeräte (zum Beispiel Firewall, NAT, Router usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist."
Haben Sie da eine Lösung dafür..
Würde mich über Tipp freuen
Anbei die IPSec LOG-Daten der PFSense
Vielen Dank und viele Grüße
Aug 17 11:51:18 charon 59199 00[DMN] Starting IKE charon daemon (strongSwan 5.9.4, FreeBSD 12.3-STABLE, amd64)
Aug 17 11:51:18 charon 59199 00[CFG] PKCS11 module '<name>' lacks library path
Aug 17 11:51:18 charon 59199 00[CFG] loaded attribute INTERNAL_IP4_SUBNET: 00:00:00:00:00:00:00:00
Aug 17 11:51:18 charon 59199 00[CFG] loaded attribute UNITY_SPLIT_INCLUDE: 00:00:00:00:00:00:00:00
Aug 17 11:51:18 charon 59199 00[KNL] unable to set UDP_ENCAP: Invalid argument
Aug 17 11:51:18 charon 59199 00[NET] enabling UDP decapsulation for IPv6 on port 4500 failed
Aug 17 11:51:18 charon 59199 00[CFG] loading unbound resolver config from '/etc/resolv.conf'
Aug 17 11:51:18 charon 59199 00[CFG] loading unbound trust anchors from '/usr/local/etc/ipsec.d/dnssec.keys'
Aug 17 11:51:18 charon 59199 00[CFG] ipseckey plugin is disabled
Aug 17 11:51:18 charon 59199 00[CFG] loading ca certificates from '/usr/local/etc/ipsec.d/cacerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading aa certificates from '/usr/local/etc/ipsec.d/aacerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading attribute certificates from '/usr/local/etc/ipsec.d/acerts'
Aug 17 11:51:18 charon 59199 00[CFG] loading crls from '/usr/local/etc/ipsec.d/crls'
Aug 17 11:51:18 charon 59199 00[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'
Aug 17 11:51:18 charon 59199 00[CFG] opening triplet file /usr/local/etc/ipsec.d/triplets.dat failed: No such file or directory
Aug 17 11:51:18 charon 59199 00[CFG] loaded 0 RADIUS server configurations
Aug 17 11:51:18 charon 59199 00[LIB] loaded plugins: charon unbound pkcs11 aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey ipseckey pem openssl fips-prf curve25519 xcbc cmac hmac drbg curl attr kernel-pfkey kernel-pfroute resolve socket-default stroke vici updown eap-identity eap-sim eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam whitelist addrblock counters
Aug 17 11:51:18 charon 59199 00[JOB] spawning 16 worker threads
Aug 17 11:51:19 charon 59199 16[CFG] vici client 1 connected
Aug 17 11:51:19 charon 59199 05[CFG] vici client 1 requests: get-keys
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: get-shared
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-cert
Aug 17 11:51:19 charon 59199 15[CFG] loaded certificate 'CN=pfsense.xx'
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-cert
Aug 17 11:51:19 charon 59199 15[CFG] loaded certificate 'CN=pfsense-xx-CA'
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-key
Aug 17 11:51:19 charon 59199 15[CFG] loaded ANY private key
Aug 17 11:51:19 charon 59199 15[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 15[CFG] loaded EAP shared key with id 'eap-1' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 14[CFG] loaded EAP shared key with id 'eap-2' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 14[CFG] loaded EAP shared key with id 'eap-3' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: load-shared
Aug 17 11:51:19 charon 59199 14[CFG] loaded EAP shared key with id 'eap-4' for: 'xxxx'
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 requests: get-authorities
Aug 17 11:51:19 charon 59199 13[CFG] vici client 1 requests: get-pools
Aug 17 11:51:19 charon 59199 13[CFG] vici client 1 requests: get-conns
Aug 17 11:51:19 charon 59199 13[CFG] vici client 1 requests: load-conn
Aug 17 11:51:19 charon 59199 13[CFG] conn bypass:
Aug 17 11:51:19 charon 59199 13[CFG] child bypasslan:
Aug 17 11:51:19 charon 59199 13[CFG] rekey_time = 3600
Aug 17 11:51:19 charon 59199 13[CFG] life_time = 3960
Aug 17 11:51:19 charon 59199 13[CFG] rand_time = 360
Aug 17 11:51:19 charon 59199 13[CFG] rekey_bytes = 0
Aug 17 11:51:19 charon 59199 13[CFG] life_bytes = 0
Aug 17 11:51:19 charon 59199 13[CFG] rand_bytes = 0
Aug 17 11:51:19 charon 59199 13[CFG] rekey_packets = 0
Aug 17 11:51:19 charon 59199 13[CFG] life_packets = 0
Aug 17 11:51:19 charon 59199 13[CFG] rand_packets = 0
Aug 17 11:51:19 charon 59199 13[CFG] updown = (null)
Aug 17 11:51:19 charon 59199 13[CFG] hostaccess = 0
Aug 17 11:51:19 charon 59199 13[CFG] ipcomp = 0
Aug 17 11:51:19 charon 59199 13[CFG] mode = PASS
Aug 17 11:51:19 charon 59199 13[CFG] policies = 1
Aug 17 11:51:19 charon 59199 13[CFG] policies_fwd_out = 0
Aug 17 11:51:19 charon 59199 13[CFG] dpd_action = clear
Aug 17 11:51:19 charon 59199 13[CFG] start_action = hold
Aug 17 11:51:19 charon 59199 13[CFG] close_action = clear
Aug 17 11:51:19 charon 59199 13[CFG] reqid = 0
Aug 17 11:51:19 charon 59199 13[CFG] tfc = 0
Aug 17 11:51:19 charon 59199 13[CFG] priority = 0
Aug 17 11:51:19 charon 59199 13[CFG] interface = (null)
Aug 17 11:51:19 charon 59199 13[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 13[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 13[CFG] mark_in = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] mark_in_sa = 0
Aug 17 11:51:19 charon 59199 13[CFG] mark_out = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] set_mark_in = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] set_mark_out = 0/0
Aug 17 11:51:19 charon 59199 13[CFG] inactivity = 0
Aug 17 11:51:19 charon 59199 13[CFG] proposals = ESP:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/NO_EXT_SEQ
Aug 17 11:51:19 charon 59199 13[CFG] local_ts = 192.168.xx.xx/24|/0
Aug 17 11:51:19 charon 59199 13[CFG] remote_ts = 192.168.xx.xx/24|/0
Aug 17 11:51:19 charon 59199 13[CFG] hw_offload = no
Aug 17 11:51:19 charon 59199 13[CFG] sha256_96 = 0
Aug 17 11:51:19 charon 59199 13[CFG] copy_df = 1
Aug 17 11:51:19 charon 59199 13[CFG] copy_ecn = 1
Aug 17 11:51:19 charon 59199 13[CFG] copy_dscp = out
Aug 17 11:51:19 charon 59199 13[CFG] version = 0
Aug 17 11:51:19 charon 59199 13[CFG] local_addrs = %any
Aug 17 11:51:19 charon 59199 13[CFG] remote_addrs = 127.0.0.1
Aug 17 11:51:19 charon 59199 13[CFG] local_port = 500
Aug 17 11:51:19 charon 59199 13[CFG] remote_port = 500
Aug 17 11:51:19 charon 59199 13[CFG] send_certreq = 1
Aug 17 11:51:19 charon 59199 13[CFG] send_cert = CERT_SEND_IF_ASKED
Aug 17 11:51:19 charon 59199 13[CFG] ppk_id = (null)
Aug 17 11:51:19 charon 59199 13[CFG] ppk_required = 0
Aug 17 11:51:19 charon 59199 13[CFG] mobike = 1
Aug 17 11:51:19 charon 59199 13[CFG] aggressive = 0
Aug 17 11:51:19 charon 59199 13[CFG] dscp = 0x00
Aug 17 11:51:19 charon 59199 13[CFG] encap = 0
Aug 17 11:51:19 charon 59199 13[CFG] dpd_delay = 0
Aug 17 11:51:19 charon 59199 13[CFG] dpd_timeout = 0
Aug 17 11:51:19 charon 59199 13[CFG] fragmentation = 2
Aug 17 11:51:19 charon 59199 13[CFG] childless = 0
Aug 17 11:51:19 charon 59199 13[CFG] unique = UNIQUE_NO
Aug 17 11:51:19 charon 59199 13[CFG] keyingtries = 1
Aug 17 11:51:19 charon 59199 13[CFG] reauth_time = 0
Aug 17 11:51:19 charon 59199 13[CFG] rekey_time = 14400
Aug 17 11:51:19 charon 59199 13[CFG] over_time = 1440
Aug 17 11:51:19 charon 59199 13[CFG] rand_time = 1440
Aug 17 11:51:19 charon 59199 13[CFG] proposals = IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/CURVE_448/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_CCM_16_128/AES_CCM_16_192/AES_CCM_16_256/CHACHA20_POLY1305/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/AES_CCM_12_128/AES_CCM_12_192/AES_CCM_12_256/AES_CCM_8_128/AES_CCM_8_192/AES_CCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/CURVE_448/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048
Aug 17 11:51:19 charon 59199 13[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 13[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 13[CFG] local:
Aug 17 11:51:19 charon 59199 13[CFG] remote:
Aug 17 11:51:19 charon 59199 13[CFG] added vici connection: bypass
Aug 17 11:51:19 charon 59199 13[CFG] installing 'bypasslan'
Aug 17 11:51:19 charon 59199 12[CFG] vici client 1 requests: load-conn
Aug 17 11:51:19 charon 59199 12[CFG] conn con-mobile:
Aug 17 11:51:19 charon 59199 12[CFG] child con-mobile:
Aug 17 11:51:19 charon 59199 12[CFG] rekey_time = 3240
Aug 17 11:51:19 charon 59199 12[CFG] life_time = 3600
Aug 17 11:51:19 charon 59199 12[CFG] rand_time = 360
Aug 17 11:51:19 charon 59199 12[CFG] rekey_bytes = 0
Aug 17 11:51:19 charon 59199 12[CFG] life_bytes = 0
Aug 17 11:51:19 charon 59199 12[CFG] rand_bytes = 0
Aug 17 11:51:19 charon 59199 12[CFG] rekey_packets = 0
Aug 17 11:51:19 charon 59199 12[CFG] life_packets = 0
Aug 17 11:51:19 charon 59199 12[CFG] rand_packets = 0
Aug 17 11:51:19 charon 59199 12[CFG] updown = (null)
Aug 17 11:51:19 charon 59199 12[CFG] hostaccess = 0
Aug 17 11:51:19 charon 59199 12[CFG] ipcomp = 0
Aug 17 11:51:19 charon 59199 12[CFG] mode = TUNNEL
Aug 17 11:51:19 charon 59199 12[CFG] policies = 1
Aug 17 11:51:19 charon 59199 12[CFG] policies_fwd_out = 0
Aug 17 11:51:19 charon 59199 12[CFG] dpd_action = clear
Aug 17 11:51:19 charon 59199 12[CFG] start_action = clear
Aug 17 11:51:19 charon 59199 12[CFG] close_action = clear
Aug 17 11:51:19 charon 59199 12[CFG] reqid = 0
Aug 17 11:51:19 charon 59199 12[CFG] tfc = 0
Aug 17 11:51:19 charon 59199 12[CFG] priority = 0
Aug 17 11:51:19 charon 59199 12[CFG] interface = (null)
Aug 17 11:51:19 charon 59199 12[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 12[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 12[CFG] mark_in = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] mark_in_sa = 0
Aug 17 11:51:19 charon 59199 12[CFG] mark_out = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] set_mark_in = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] set_mark_out = 0/0
Aug 17 11:51:19 charon 59199 12[CFG] inactivity = 0
Aug 17 11:51:19 charon 59199 12[CFG] proposals = ESP:AES_GCM_16_256/NO_EXT_SEQ, ESP:AES_GCM_12_256/NO_EXT_SEQ, ESP:AES_GCM_8_256/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/NO_EXT_SEQ
Aug 17 11:51:19 charon 59199 12[CFG] local_ts = 0.0.0.0/0|/0
Aug 17 11:51:19 charon 59199 12[CFG] remote_ts = dynamic
Aug 17 11:51:19 charon 59199 12[CFG] hw_offload = no
Aug 17 11:51:19 charon 59199 12[CFG] sha256_96 = 0
Aug 17 11:51:19 charon 59199 12[CFG] copy_df = 1
Aug 17 11:51:19 charon 59199 12[CFG] copy_ecn = 1
Aug 17 11:51:19 charon 59199 12[CFG] copy_dscp = out
Aug 17 11:51:19 charon 59199 12[CFG] version = 2
Aug 17 11:51:19 charon 59199 12[CFG] local_addrs = 192.168.xx.xx
Aug 17 11:51:19 charon 59199 12[CFG] remote_addrs = 0.0.0.0/0, ::/0
Aug 17 11:51:19 charon 59199 12[CFG] local_port = 500
Aug 17 11:51:19 charon 59199 12[CFG] remote_port = 500
Aug 17 11:51:19 charon 59199 12[CFG] send_certreq = 1
Aug 17 11:51:19 charon 59199 12[CFG] send_cert = CERT_ALWAYS_SEND
Aug 17 11:51:19 charon 59199 12[CFG] ppk_id = (null)
Aug 17 11:51:19 charon 59199 12[CFG] ppk_required = 0
Aug 17 11:51:19 charon 59199 12[CFG] mobike = 1
Aug 17 11:51:19 charon 59199 12[CFG] aggressive = 0
Aug 17 11:51:19 charon 59199 12[CFG] dscp = 0x00
Aug 17 11:51:19 charon 59199 12[CFG] encap = 0
Aug 17 11:51:19 charon 59199 12[CFG] dpd_delay = 35
Aug 17 11:51:19 charon 59199 12[CFG] dpd_timeout = 0
Aug 17 11:51:19 charon 59199 12[CFG] fragmentation = 2
Aug 17 11:51:19 charon 59199 12[CFG] childless = 0
Aug 17 11:51:19 charon 59199 12[CFG] unique = UNIQUE_REPLACE
Aug 17 11:51:19 charon 59199 12[CFG] keyingtries = 1
Aug 17 11:51:19 charon 59199 12[CFG] reauth_time = 0
Aug 17 11:51:19 charon 59199 12[CFG] rekey_time = 25920
Aug 17 11:51:19 charon 59199 12[CFG] over_time = 2880
Aug 17 11:51:19 charon 59199 12[CFG] rand_time = 2880
Aug 17 11:51:19 charon 59199 12[CFG] proposals = IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Aug 17 11:51:19 charon 59199 12[CFG] if_id_in = 0
Aug 17 11:51:19 charon 59199 12[CFG] if_id_out = 0
Aug 17 11:51:19 charon 59199 12[CFG] local:
Aug 17 11:51:19 charon 59199 12[CFG] class = public key
Aug 17 11:51:19 charon 59199 12[CFG] id = pfsense.xx
Aug 17 11:51:19 charon 59199 12[CFG] cert = CN=pfsense.xx
Aug 17 11:51:19 charon 59199 12[CFG] remote:
Aug 17 11:51:19 charon 59199 12[CFG] eap-type = EAP_MSCHAPV2
Aug 17 11:51:19 charon 59199 12[CFG] class = EAP
Aug 17 11:51:19 charon 59199 12[CFG] eap_id = %any
Aug 17 11:51:19 charon 59199 12[CFG] id = %any
Aug 17 11:51:19 charon 59199 12[CFG] added vici connection: con-mobile
Aug 17 11:51:19 charon 59199 14[CFG] vici client 1 disconnected
Aug 17 13:52:17 charon 59199 07[CFG] vici client 2 connected
Aug 17 13:52:17 charon 59199 05[CFG] vici client 2 requests: get-pools
Aug 17 13:52:17 charon 59199 07[CFG] vici client 2 disconnected
Aug 17 13:52:30 charon 59199 05[CFG] vici client 3 connected
Aug 17 13:52:30 charon 59199 07[CFG] vici client 3 registered for: list-sa
Aug 17 13:52:30 charon 59199 05[CFG] vici client 3 requests: list-sas
Aug 17 13:52:30 charon 59199 07[CFG] vici client 3 disconnected
Aug 17 13:52:30 charon 59199 07[CFG] vici client 4 connected
Aug 17 13:52:30 charon 59199 07[CFG] vici client 4 requests: get-pools
Aug 17 13:52:30 charon 59199 07[CFG] vici client 4 disconnected
Aug 17 13:53:10 charon 59199 16[CFG] vici client 5 connected
Aug 17 13:53:10 charon 59199 15[CFG] vici client 5 registered for: list-sa
Aug 17 13:53:10 charon 59199 15[CFG] vici client 5 requests: list-sas
Aug 17 13:53:10 charon 59199 13[CFG] vici client 5 disconnected
Aug 17 13:53:15 charon 59199 14[CFG] vici client 6 connected
Aug 17 13:53:15 charon 59199 15[CFG] vici client 6 registered for: list-sa
Aug 17 13:53:15 charon 59199 14[CFG] vici client 6 requests: list-sas
Aug 17 13:53:15 charon 59199 15[CFG] vici client 6 disconnected
Aug 17 13:53:20 charon 59199 12[CFG] vici client 7 connected
Aug 17 13:53:20 charon 59199 14[CFG] vici client 7 registered for: list-sa
Aug 17 13:53:20 charon 59199 14[CFG] vici client 7 requests: list-sas
Aug 17 13:53:20 charon 59199 11[CFG] vici client 7 disconnected
Serie: VPN-Praxistutorials
IKEv2 VPN server for Windows and Apple clients on Raspberry Pi (englisch)1IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi11Merkzettel: VPN Installation mit Wireguard27PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer24Merkzettel: VPN Installation mit OpenVPN39IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik1Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing13IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten208IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a20