16
German - Deutsch / [GELÖST] Keine LAN Zugriff mit mobile IPSec
« on: November 19, 2015, 09:21:46 am »
Hallo zusammen,
ich bin vor einem Monat von pfSense nach OPNsense gewechselt. Mein Problem mit dem Zugriff per IPSec von meinem iPhone aus auf mein LAN hatte ich aber auch mit pfSense.
Die eigentliche Verbindung bekomme ich ja hin, also einen Tunnel. Ich bekomme auch eine IP-Adresse zugewiesen. Aber weder ein HTTP Zugriff, noch ein Ping auf meinen Webserver im LAN ist erfolgreich.
Im Packet-Capture sehe ich aber das die Pakete vom iPhone an meinen Webserver weiterleitet werden und dieser auch antwortet, aber die Antwort Pakete nicht auf der IPSec Schnittstelle zu sehen sind
LAN Schnittstelle:
09:15:09.787317 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:09.787523 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 0, length 64
09:15:10.824233 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:10.824406 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 1, length 64
09:15:11.810063 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:11.810237 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 2, length 64
09:15:12.824206 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64
09:15:12.824374 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 3, length 64
IPSec Schnittstelle:
09:15:49.904141 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:50.923943 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:51.903592 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:52.944165 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64
Meine IPSec Konfiguration sieht so aus:
Mobile Clients
User authentication: Local Database
Group Authentication: System
Virtual Address Pool:
Provide A virtual IP: Checked
192.168.26.128
/25
DNS Servers: Checked
8.8.8.8
8.8.4.4
Tunnel Phase1
Key Exchange: V1
IP: IPV4
Interface: WAN
Authentication Method: Mutual PSK+Xauth
Negotiation Mode: Aggressive
My Identifier: My IP Address
Peer Identifier: Distinguished Name
VPNUsers
Pre-Shared Key: password123
Encryption algorithm: AES
256
Hash Algorith: SHA1
DH Key Group: 2 (1024)
Lifetime: 86400
Disable Rekey: Checked
Disable Reauth: Checked
NAT Traversal: Enable
Dead Peer Detection: Not Checked
Phase 2
Mode: Tunnel IPv4
Type: Address
0.0.0.0
/0
Nat/Binat: None
Address: Left blank
/128
Protocol: ESP
Encryption: Checked: AES, 256
Hash Algs: SHA1
PFS Keygroup: OFF
Lifetime: 28800
Auto Ping Host: Left blank
Meine OPNsense Version ist:
OPNsense 15.7.19-amd64
FreeBSD 10.1-RELEASE-p23
OpenSSL 1.0.2d 9 Jul 2015
Hat vielleicht irgend jemand eine Idee, wo ich welche Schraube noch justieren muss?
Habe das gleiche Problem auch in einem anderen Thread (https://forum.opnsense.org/index.php?topic=1591.0) gefunden, aber leider nicht die Lösung.
Grüße
Ralf
ich bin vor einem Monat von pfSense nach OPNsense gewechselt. Mein Problem mit dem Zugriff per IPSec von meinem iPhone aus auf mein LAN hatte ich aber auch mit pfSense.
Die eigentliche Verbindung bekomme ich ja hin, also einen Tunnel. Ich bekomme auch eine IP-Adresse zugewiesen. Aber weder ein HTTP Zugriff, noch ein Ping auf meinen Webserver im LAN ist erfolgreich.
Im Packet-Capture sehe ich aber das die Pakete vom iPhone an meinen Webserver weiterleitet werden und dieser auch antwortet, aber die Antwort Pakete nicht auf der IPSec Schnittstelle zu sehen sind
LAN Schnittstelle:
09:15:09.787317 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:09.787523 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 0, length 64
09:15:10.824233 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:10.824406 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 1, length 64
09:15:11.810063 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:11.810237 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 2, length 64
09:15:12.824206 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64
09:15:12.824374 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 3, length 64
IPSec Schnittstelle:
09:15:49.904141 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:50.923943 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:51.903592 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:52.944165 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64
Meine IPSec Konfiguration sieht so aus:
Mobile Clients
User authentication: Local Database
Group Authentication: System
Virtual Address Pool:
Provide A virtual IP: Checked
192.168.26.128
/25
DNS Servers: Checked
8.8.8.8
8.8.4.4
Tunnel Phase1
Key Exchange: V1
IP: IPV4
Interface: WAN
Authentication Method: Mutual PSK+Xauth
Negotiation Mode: Aggressive
My Identifier: My IP Address
Peer Identifier: Distinguished Name
VPNUsers
Pre-Shared Key: password123
Encryption algorithm: AES
256
Hash Algorith: SHA1
DH Key Group: 2 (1024)
Lifetime: 86400
Disable Rekey: Checked
Disable Reauth: Checked
NAT Traversal: Enable
Dead Peer Detection: Not Checked
Phase 2
Mode: Tunnel IPv4
Type: Address
0.0.0.0
/0
Nat/Binat: None
Address: Left blank
/128
Protocol: ESP
Encryption: Checked: AES, 256
Hash Algs: SHA1
PFS Keygroup: OFF
Lifetime: 28800
Auto Ping Host: Left blank
Meine OPNsense Version ist:
OPNsense 15.7.19-amd64
FreeBSD 10.1-RELEASE-p23
OpenSSL 1.0.2d 9 Jul 2015
Hat vielleicht irgend jemand eine Idee, wo ich welche Schraube noch justieren muss?
Habe das gleiche Problem auch in einem anderen Thread (https://forum.opnsense.org/index.php?topic=1591.0) gefunden, aber leider nicht die Lösung.
Grüße
Ralf