Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: c-mu on January 23, 2020, 10:59:58 AM

Title: IPSec Mobile Clients - ich schaff es nicht...
Post by: c-mu on January 23, 2020, 10:59:58 AM
Hallo,
ich versuche immer mal wieder, wenn es meine Zeit erlaubt, den Mobile IPSec Zugang einzurichten und scheitere immer wieder. Ich bin mittlerweile eigentlich recht gut vertraut mit OPNSense, IPSec (Site2Site), OpenVPN (Client & S2S) und alles was dazu gehört. Ich verstehe einfach den IPSec Mobile Client part nicht.

Firewall Ports sind offen, sonst würden auch meine IPSec S2S Verbindungen nicht aufgebaut werden.

Client zum testen: windows 10

Auf meinem Server (19.7.9_1) ist eingerichtet:

VPN -> IPsec -> Mobile Clients:
Enable IPsec Mobile Client Support
Backend for auth: meine LDAP Server (Funktionieren für OpenVPN)
Virtual Address Pool: 192.168.49.0/24
PHase2 PFS Group 14

VPN -> IPsec -> Tunnel Settings -> Phase1 for Mobile Client:
Connection method: default
Key Exchange version: V2
Internet Protocol: IPv4
Interface: (mein WAN Interface)

Phase 1 proposal (Authentication)
Authentication method: (Mutual PSK+Xauth) <- habe diverse andere Settings auch ausprobiert)
My identifier: "My IP address"
Pre-SharedKey: blahblah
Encryption algorithm: AES 256
Hash algorithm: SHA 256
DH key group: 14
LifeTime: 28800
rest default

Phase 2 entsprechend:
x.y.z.z/21    Mobile Client    AES (256 bits), aes256gcm16    SHA256, SHA384, SHA512    Group 14 (2048 bits)



Log Auszug Server:
Jan 23 10:53:56    charon: 09[NET] <10867> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:56    charon: 09[ENC] <10867> generating INFORMATIONAL_V1 request 4063727981 [ N(NO_PROP) ]
Jan 23 10:53:56    charon: 09[IKE] <10867> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:56    charon: 09[ENC] <10867> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:56    charon: 09[NET] <10867> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)
Jan 23 10:53:55    charon: 09[NET] <10866> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:55    charon: 09[ENC] <10866> generating INFORMATIONAL_V1 request 3308202714 [ N(NO_PROP) ]
Jan 23 10:53:55    charon: 09[IKE] <10866> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:55    charon: 09[ENC] <10866> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:55    charon: 09[NET] <10866> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)
Jan 23 10:53:54    charon: 09[NET] <10865> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:54    charon: 09[ENC] <10865> generating INFORMATIONAL_V1 request 1607280496 [ N(NO_PROP) ]
Jan 23 10:53:54    charon: 09[IKE] <10865> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:54    charon: 09[ENC] <10865> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:54    charon: 09[NET] <10865> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)


TCP Dump Server:
10:53:54.114914 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:54.116322 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:55.126042 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:55.127817 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:56.162175 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:56.162822 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:59.158872 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:59.159337 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf


Windows 10 Meldung:
Der L2TP-Verbindungsversuch ist fehlgeschlagen (...) nicht weiter aussagekräftig.

Settings:
VPN Anbieter: Windows integriert
Name: blah
Server: Public IP vom Server
VPN Typ: L2TP/IPsec mit vorinstalliertem Schlüssel (habe alles möglich auch ausprobiert)
Vorinstallierter Schlüssel: wie beim Server eingetragen:


Kann mir jemand einen entschiedenen Tipp geben, wie man es "richtig" macht? Muss man vielleicht auf Windows10 Seite irgendwas anderes einstellen?
Title: Re: IPSec Mobile Clients - ich schaff es nicht...
Post by: uneu on January 27, 2020, 01:17:23 PM
Hallo Claas,

ich glaube mit Windows 10 ist das so nicht möglich. Ich habe daher eine S2S-Verbindung zwischen meinen zwei Firewalls aufgebaut. Wenn das bei dir nicht möglich ist, dann sollte eine SSL-VPN-Verbindung deine Probleme lösen.

Viele Grüße Udo
Title: Re: IPSec Mobile Clients - ich schaff es nicht...
Post by: Maurice on January 27, 2020, 08:48:19 PM
Unter Windows 10 musst Du als VPN-Typ IKEv2 konfigurieren, nicht L2TP/IPsec.

Grüße

Maurice
Text only | Text with Images