Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

14.02.2020 um 01:29 Uhr, 786 Aufrufe, 9 Kommentare, 2 Danke

Moinsen!

Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben lassen...

Nach einer Telekom-Umstellung (evtl. irrelevant, sehe eigentlich nur eine zeitliche Verbindung) kam es auf der PfSense eines Kunden zu folgendem seltsamen Verhalten beim IPSec-VPN:

Die statische Verbindung zum 2 Standort ist auf Anhieb wieder stabil.

Die mobile Einwahl mit dem Shrew Client zickt aber. Identische Konfiguration geht offenbar abhängig vom einwählenden Standort mal doch und mal nicht. Dabei wird die Phase 1 aufgebaut, ein Versuch, auch die Phase 2 zu etablieren findet aber einfach nicht statt. Nach Abschluss der Phase 1 kommt statt
und dem Aufbau der Phase 2 nur ein lapidares
und danach ausschliesslich Dead Peer Detection Traffic. (Shrew-Log)

Exakt dieselbe Konfiguration funktioniert aber auf 2 anderen Rechnern in anderen Netzen fehlerfrei. Auf einem weiteren Mitarbeiterlaptop aber auch nicht.
Der Shrew funktioniert, alle anderen PfSense mit vergleichbarer Konfiguration lassen sich verbinden. Warum nur diese eine Verbindung nicht. Wo ist der relevante Unterschied?

Nach Stunden kam ich nun irgendwann auf den Gedanken, dass die PfSense je mobilem Client immer wieder dieselbe virtuelle IP vergibt. Client A x.x.x.1 konnte sich nicht einwählen, Client B mit x.x.x.2 konnte. C mit x.x.x.3 ging auch nicht.Sollte es mit diesen virtuellen IP's zusammenhängen?

Tat es. IP-Range umgestellt von 192.168.40.0 /24 auf 192.168.41.0 /24 und die Phase 2 will wieder. Zurückgestellt auf die 40.0 und wieder der Fehler.

Sieht mir nach einem kleinen Bug in der PfSense aus, dass da wahrscheinlich irgendein Eintrag irgendwo hängenbeibt, was dann eine erneute Phase 2 für diesen Client (User?) verhindert. Oder doch irgenwas auf Clientseite? Ich weiss es nicht.

Möge sich der eine oder andere bei diesem wohl extrem seltenen Fehler ein paar graue Haare ersparen.

Buc
Mitglied: aqui
14.02.2020, aktualisiert um 09:02 Uhr
Die mobile Einwahl mit dem Shrew Client zickt aber.
Warum Shrew Client wenn alles viel einfacher mit dem bordeigenen_VPN_Client zu erledigen ist ?!
Normal sollten die Clients nicht immer eine feste IP bekommen. Wie auch, denn der Pool vergibt nach dem Motto first come first serve genau wie bei DHCP. Er kann ja niemals den Client eindeutig identifizieren wenn du mit PSK arbeitest und nicht mit Zertifikaten.
Wenn wäre der Fehler also hier zu sehen. Ist mir bis dato aber auch noch nicht untergekommen was vielleicht daran liegt das hier schon länger keine 3rd Party VPN Clientsoftware mehr verwendet wird sondern nur noch bordeigene.
Bitte warten ..
Mitglied: FA-jka
14.02.2020 um 09:58 Uhr
Hallo,

ich habe schon diverse derartige Ungereimtheiten und Bugs in der pfSense gefunden, halte mich hier zwecks Stressvermeidung aber eher zurück, da man sonst ja eh immer von der gleichen Seite angezickt wird

Man kann auch irgendwo Bug Reports schreiben. Aber leider nur in englisch.

Gruß,
Jörg
Bitte warten ..
Mitglied: aqui
14.02.2020 um 10:49 Uhr
Was heisst leider..? Die IT ist ja nun mal englisch dominiert und zudem ist der Maintainer NetGate (us)englisch und da wäre es sicher etwas vermessen zu fordern das die Deutsch können.
Spannend wäre mal ob das Verhalten beim OPNsense Fork reproduzierbar ist. Deren Maintainer sind m.W. Deutsche so das man da eher Chancen hat. Wie gesagt...wenn es da reproduzierbar ist.
Es ist aber auch nicht 100% auszuschliessen das der Fehler ggf. im Shrew liegt oder einer Wechselwirkung mit Shrew und dem OS liegt. Um das sicher beurteilen zu können müsste man nochmal detailierter debuggen und sich das Verhalten auch mal mit einem anderen OS wie Mac oder Linux ansehen. Das würde dann eine Einschätzung wer der böse Buhmann ist etwas wasserdichter und vor allem fairer machen, denn mit anzicken sollte das nichts zu tun haben. Bug ist Bug, keinen Frage. Keine Software ist vollkommen fehlerfrei wie wir alle wissen.
Bitte warten ..
Mitglied: FA-jka
14.02.2020, aktualisiert um 11:22 Uhr
Hallo,

„leider“ insofern, dass ich mich seinerzeit gerne eingebracht hätte, was aber aufgrund der Sprachbarriere nicht möglich war.

Bei der OpnSense findet man z.B. wesentlich mehr deutschsprachige Ressourcen.

Gruß,
Jörg
Bitte warten ..
Mitglied: Globetrotter
14.02.2020 um 16:10 Uhr
Hi..
Dann stell' doch auf OPN um.. wo ist Dein Problem ?
Ich hatte bei PFSense am Anfang nen Premium-Account.. der zahlte sich auch aus... Zugriff auf Haufenweise Video-Tut's etc...
Nach dem "Streit" damals mit PFSense bin ich auf OPN umgestiegen (bei Kleinzeuchs)... passt prima...


Gruss Globe!
Bitte warten ..
Mitglied: FA-jka
14.02.2020 um 17:01 Uhr
Hallo,

hab' ich ja. Zumindest bei den letzten 700 Geräten

Gruß,
Jörg
Bitte warten ..
Mitglied: the-buccaneer
15.02.2020 um 13:17 Uhr
Zitat von aqui:

Die mobile Einwahl mit dem Shrew Client zickt aber.
Warum Shrew Client wenn alles viel einfacher mit dem bordeigenen_VPN_Client zu erledigen ist ?!

geht aber nur mit Zertifikaten und die und ich, das ist keine harmonische Beziehung...

Normal sollten die Clients nicht immer eine feste IP bekommen. Wie auch, denn der Pool vergibt nach dem Motto first come first serve genau wie bei DHCP. Er kann ja niemals den Client eindeutig identifizieren wenn du mit PSK arbeitest und nicht mit Zertifikaten.

Ist aber so: Es wird immer dieselbe IP zugewiesen.

Wenn wäre der Fehler also hier zu sehen. Ist mir bis dato aber auch noch nicht untergekommen was vielleicht daran liegt das hier schon länger keine 3rd Party VPN Clientsoftware mehr verwendet wird sondern nur noch bordeigene.

Kämpft man halt mit anderen Fehlern... Ich bin schon aus prinzipiellen Gründen sehr für Vielfalt im Softwarebereich und hasse dieses ausufernde totalitäre Gehabe der Big Player wie die Pest...
Bitte warten ..
Mitglied: aqui
15.02.2020, aktualisiert um 14:06 Uhr
Das Problem ist aber das diese Clients immer sehr eng in das Betriebssystem eingebunden sind. 3rd Party Clients hinken dann immer hinterher. Klar schränkt das die Vielfalt ein ist aber oft eben auf lange Sicht stressfreier, da nicht bei jedem OS Update wieder Funktionslosigkeit droht. Es ist also immer Ermessensache...
Und vor Zertifikaten musst du nun wirklich keine Angst haben. Zumal es ja nur ein einziges, einmaliges Server Zertifikat ist bei IKEv2 und mit 3560 Tagen Gültigkeit hast du da für die Laufzeit der Client Hardware Ruhe. Davon sind ja die User bei Preshared Keys keineswegs betroffen. Also nur Mut !!!
Bitte warten ..
Mitglied: the-buccaneer
15.02.2020 um 15:41 Uhr
Zitat von aqui:

Das Problem ist aber das diese Clients immer sehr eng in das Betriebssystem eingebunden sind. 3rd Party Clients hinken dann immer hinterher. Klar schränkt das die Vielfalt ein ist aber oft eben auf lange Sicht stressfreier, da nicht bei jedem OS Update wieder Funktionslosigkeit droht. Es ist also immer Ermessensache...

Scheint mir extrem abhängig von der Philosophie der 3rd Party Entwickler zu liegen. Es gibt Tools die laufen seit Vista stressfrei auch auf Win 10 wie zB. der Shrew. Und das, obwohl er Treiber einbindet. Die scheinen anständig geschrieben zu sein.

Und vor Zertifikaten musst du nun wirklich keine Angst haben. Zumal es ja nur ein einziges, einmaliges Server Zertifikat ist bei IKEv2 und mit 3560 Tagen Gültigkeit hast du da für die Laufzeit der Client Hardware Ruhe. Davon sind ja die User bei Preshared Keys keineswegs betroffen. Also nur Mut !!!

Die haben Angst vor mir.

Um die Fehlerbeschreibung etwas zu komplettieren:
Ich hatte sowohl auf der PfSense eine neue Phase 1 und 2 für die mobilen Clients eingerichtet, als auch den Shrew neu installiert mit entsprechenden Neustarts. Beides blieb erfolglos. Interessant war, dass ein Häkchen bei "Maintain Persistent Security Associations" zwar zum Aufbau derselben führte, aber kein Traffic durchging... Sei's drum. Wenn ich mal Lust und Zeit habe, sehe ich mir natürlich gerne die Win10 Lösung an, aber die Mikrotik ist auch immer noch in der OVP...
Bitte warten ..
Ähnliche Inhalte
Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgbornSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

LAN, WAN, Wireless

IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

Anleitung von aquiLAN, WAN, Wireless1 Kommentar

1.) Allgemeine Einleitung: Dieses Tutorial ist eine kurze Ergänzung zum allgemeinen IPsec Site_to_Site_VPN_Tutorial hier im Forum. Dieses Tutorial schildert ...

Netzwerke

IPsec VPN Praxis mit Standort Kopplung Cisco, IPCop, pfSense, FritzBox u. a

Anleitung von aquiNetzwerke20 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eine mehr Technik bezogene Fortsetzung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Anleitung von aquiNetzwerke72 Kommentare

Allgemeine Einleitung Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 2 StundenHumor (lol)2 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 11 StundenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 1 TagMicrosoft Office8 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP21 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 820 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...