Messages

[Mobile Clients]

Hallo zusammen,

ich bin vor einem Monat von pfSense nach OPNsense gewechselt. Mein Problem mit dem Zugriff per IPSec von meinem iPhone aus auf mein LAN hatte ich aber auch mit pfSense.

Die eigentliche Verbindung bekomme ich ja hin, also einen Tunnel. Ich bekomme auch eine IP-Adresse zugewiesen. Aber weder ein HTTP Zugriff, noch ein Ping auf meinen Webserver im LAN ist erfolgreich.

Im Packet-Capture sehe ich aber das die Pakete vom iPhone an meinen Webserver weiterleitet werden und dieser auch antwortet, aber die Antwort Pakete nicht auf der IPSec Schnittstelle zu sehen sind :(
LAN Schnittstelle:
09:15:09.787317 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:09.787523 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 0, length 64
09:15:10.824233 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:10.824406 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 1, length 64
09:15:11.810063 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:11.810237 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 2, length 64
09:15:12.824206 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64
09:15:12.824374 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 3, length 64

IPSec Schnittstelle:
09:15:49.904141 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:50.923943 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:51.903592 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:52.944165 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64

Meine IPSec Konfiguration sieht so aus:
Mobile Clients
User authentication:   Local Database
Group Authentication:   System
Virtual Address Pool:
   Provide A virtual IP:   Checked
   192.168.26.128
   /25

DNS Servers:     Checked
   8.8.8.8
   8.8.4.4

Tunnel Phase1
Key Exchange:   V1
IP:      IPV4
Interface:   WAN

Authentication Method:   Mutual PSK+Xauth
Negotiation Mode:   Aggressive
My Identifier:      My IP Address
Peer Identifier:   Distinguished Name
         VPNUsers
Pre-Shared Key:      password123

Encryption algorithm:   AES
         256
Hash Algorith:      SHA1
DH Key Group:      2 (1024)
Lifetime:      86400
Disable Rekey:      Checked
Disable Reauth:      Checked
NAT Traversal:      Enable
Dead Peer Detection:   Not Checked


Phase 2
Mode:      Tunnel IPv4
Type:      Address
      0.0.0.0
      /0
Nat/Binat:   None
Address:   Left blank
      /128
Protocol:   ESP
Encryption:   Checked: AES, 256
Hash Algs:   SHA1
PFS Keygroup:   OFF
Lifetime:   28800
Auto Ping Host:   Left blank


Meine OPNsense Version ist:
OPNsense 15.7.19-amd64   
FreeBSD 10.1-RELEASE-p23   
OpenSSL 1.0.2d 9 Jul 2015

Hat vielleicht irgend jemand eine Idee, wo ich welche Schraube noch justieren muss?

Habe das gleiche Problem auch in einem anderen Thread (https://forum.opnsense.org/index.php?topic=1591.0) gefunden, aber leider nicht die Lösung.

Grüße
Ralf