Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: osmom on January 14, 2026, 04:18:52 PM

Title: Umstellung auf IPsec Connetions mit Radius autentikation gescheitert
Post by: osmom on January 14, 2026, 04:18:52 PM
Ich habe bisher eine legacy IPsec Verbindung, wo sich die User auf Windows-Clients für die VPN Verbindung gegen einen Radius Server authentifizieren. Dieser Radius Server ist ein MS-NPS und holt seine User-Daten aus einem Active Directory.
Radius Server, User und Firerwall kennen und nutzen eine gemeinsamme CA. Die Firerwall hat ein gültiges Server-Certifikat und nutzt in der Phase 1 EAP-Radius und Key-Exchange V2.
Der User baut unter Benutzung seines Users aus dem Active Diretory: domain\Userkennung + Passwort die VPN-Verbindung mit den in Windows Integrierten VPN-Client auf. In Phase 2 wird bei  der legacy Verbindung das ESP Protokoll genutzt.

Bei den neuen Connections wird  ESP nicht mehr unterstüzt. Meine Konfiguration habe ich nach https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#method-1-shared-ip-pool-for-all-roadwarriors (https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#method-1-shared-ip-pool-for-all-roadwarriors) aufgebaut und auf die Radius angepasst wo es für mich logisch war.
Zur Authentifizierung nutze ich dabe EAP-Radius und EAP-MSCHAPv2.
Der Windowsclient kann sich mit der Connections Verbindung aber nicht authentifizieren und im Log habe ich Einträge das die halboffene Verbindung beendet wird.
Im Anhang noch ein par Screenshots von meinen Einstellungen. Sieht vieleicht wer, was ich falsch gemacht habe?
Title: Re: Umstellung auf IPsec Connetions mit Radius autentikation gescheitert
Post by: viragomann on January 14, 2026, 06:11:21 PM
Quote from: osmom on Today at 04:18:52 PMBei den neuen Connections wird  ESP nicht mehr unterstüzt.
Das glaub ich nicht. Da würde meine VPN auch nicht mehr funktionieren.

Quote from: osmom on Today at 04:18:52 PMZur Authentifizierung nutze ich dabe EAP-Radius und EAP-MSCHAPv2.
Sind nicht beide Methoden zur Client Authentifizierung gedacht und alternativ in der Remote-Konfiguration zu verwenden?
Jedenfalls hatte ich mich vor ein paar Wochen damit beschäftigt, als ich einen Road Warrior Server eingerichtet hatte, und das so im Kopf behalten.
Ich nutze am Server (Local) einfach ein TLS Zertifikat.

In der Remote muss auf jeden Fall EAP Radius rein, wenn der Prozess den NPS nutzen soll.
Und in VPN: IPsec: Mobile & Advanced Settings > eap-radius muss dieser ausgewählt werden.

In Remote wird konfiguriert, wie sich der Client beim Server authentifiziert.
In Local, wie sich der Server beim Client authentifiziert.
Title: Re: Umstellung auf IPsec Connetions mit Radius autentikation gescheitert
Post by: osmom on January 14, 2026, 07:11:32 PM
Quote from: viragomann on Today at 06:11:21 PM
Quote from: osmom on Today at 04:18:52 PMBei den neuen Connections wird  ESP nicht mehr unterstüzt.
Das glaub ich nicht. Da würde meine VPN auch nicht mehr funktionieren.

-> Dann muss ich nochmals schauen.


In der Remote muss auf jeden Fall EAP Radius rein, wenn der Prozess den NPS nutzen soll.
Und in VPN: IPsec: Mobile & Advanced Settings > eap-radius muss dieser ausgewählt werden.
-> Ja ist in VPN: IPsec: Mobile & Advanced Settings > eap-radius eingetragen.

In Remote wird konfiguriert, wie sich der Client beim Server authentifiziert.
In Local, wie sich der Server beim Client authentifiziert.

Text only | Text with Images