OPNsense Forum

International Forums => German - Deutsch => Topic started by: r.weber on November 19, 2015, 09:21:46 am

Title: [GELÖST] Keine LAN Zugriff mit mobile IPSec
Post by: r.weber on November 19, 2015, 09:21:46 am

Hallo zusammen,

ich bin vor einem Monat von pfSense nach OPNsense gewechselt. Mein Problem mit dem Zugriff per IPSec von meinem iPhone aus auf mein LAN hatte ich aber auch mit pfSense.

Die eigentliche Verbindung bekomme ich ja hin, also einen Tunnel. Ich bekomme auch eine IP-Adresse zugewiesen. Aber weder ein HTTP Zugriff, noch ein Ping auf meinen Webserver im LAN ist erfolgreich.

Im Packet-Capture sehe ich aber das die Pakete vom iPhone an meinen Webserver weiterleitet werden und dieser auch antwortet, aber die Antwort Pakete nicht auf der IPSec Schnittstelle zu sehen sind :(
LAN Schnittstelle:
09:15:09.787317 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:09.787523 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 0, length 64
09:15:10.824233 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:10.824406 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 1, length 64
09:15:11.810063 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:11.810237 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 2, length 64
09:15:12.824206 IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64
09:15:12.824374 IP 192.168.1.10 > 192.168.26.129: ICMP echo reply, id 17157, seq 3, length 64

IPSec Schnittstelle:
09:15:49.904141 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 0, length 64
09:15:50.923943 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 1, length 64
09:15:51.903592 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 2, length 64
09:15:52.944165 (authentic,confidential): SPI 0xc97b6cf1: IP 192.168.26.129 > 192.168.1.10: ICMP echo request, id 17157, seq 3, length 64

Meine IPSec Konfiguration sieht so aus:
Mobile Clients
User authentication:   Local Database
Group Authentication:   System
Virtual Address Pool:
   Provide A virtual IP:   Checked
   192.168.26.128
   /25

DNS Servers:     Checked
   8.8.8.8
   8.8.4.4

Tunnel Phase1
Key Exchange:   V1
IP:      IPV4
Interface:   WAN

Authentication Method:   Mutual PSK+Xauth
Negotiation Mode:   Aggressive
My Identifier:      My IP Address
Peer Identifier:   Distinguished Name
         VPNUsers
Pre-Shared Key:      password123

Encryption algorithm:   AES
         256
Hash Algorith:      SHA1
DH Key Group:      2 (1024)
Lifetime:      86400
Disable Rekey:      Checked
Disable Reauth:      Checked
NAT Traversal:      Enable
Dead Peer Detection:   Not Checked


Phase 2
Mode:      Tunnel IPv4
Type:      Address
      0.0.0.0
      /0
Nat/Binat:   None
Address:   Left blank
      /128
Protocol:   ESP
Encryption:   Checked: AES, 256
Hash Algs:   SHA1
PFS Keygroup:   OFF
Lifetime:   28800
Auto Ping Host:   Left blank


Meine OPNsense Version ist:
OPNsense 15.7.19-amd64   
FreeBSD 10.1-RELEASE-p23   
OpenSSL 1.0.2d 9 Jul 2015

Hat vielleicht irgend jemand eine Idee, wo ich welche Schraube noch justieren muss?

Habe das gleiche Problem auch in einem anderen Thread (https://forum.opnsense.org/index.php?topic=1591.0 (https://forum.opnsense.org/index.php?topic=1591.0)) gefunden, aber leider nicht die Lösung.

Grüße
Ralf

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: Zeitkind on November 19, 2015, 10:53:27 am

Nichts zu dem Fehler, aber - bei IPSec hat Apple immer mal wieder Unsinn gebaut, deren Implementierung ist mehr oder weniger nur auf Cisco ausgerichtet, weshalb ich schon länger auch bei den iOS-Geräten auf OpenVPN umgestiegen bin - und seitdem keine Probleme mehr hatte..

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: r.weber on November 19, 2015, 01:50:08 pm

Ja das mag sein, aber es erklärt nicht, warum die Antwort Pakete zwar am LAN-Interface ankommen, aber nicht am IPSec-Interface wieder rauskommen. Das hat -meiner Meinung nach- noch nichts mit dem Endgerät zu tun.

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: Zeitkind on November 19, 2015, 02:42:33 pm

Deshalb schrieb ich ja auch "nichts zu dem Fehler".. ^^

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: r.weber on November 23, 2015, 12:11:02 pm

Hat den keiner mehr eine Idee?


Gesendet von iPhone mit Tapatalk

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: franco on November 24, 2015, 10:37:47 pm

Ich hatte früher den Eindruck L2TP/IPsec ist für Apple-Anbindung die beste Wahl. pfSense hat ein Dokument dafür:

https://doc.pfsense.org/index.php/L2TP/IPsec

Schon mal probiert oder schon überholt?

Gruss
Franco

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: r.weber on November 24, 2015, 10:42:42 pm

Hi,

ausprobiert noch nicht, da ich in erster Linie nach einer reinen IPSec Verbindung gesucht habe.

Aber ich bin immer noch davon überzeugt, das die Antwort Pakete innerhalb der Firewall "verloren" gehen. Der Tunnel an sich steht ja, aber von Seiten der Firewall scheint nichts in den Tunnel hinzugelangen. Und das Verhalten ist vom Gerät am Ende des Tunnels unabhängig.

Gruß
Ralf

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: franco on November 24, 2015, 10:57:23 pm

Da weiß ich zu wenig über IPsec um qualifizierte Auskunft zu geben. Ad kennt sich da weitaus besser aus, ich frag ihn morgen dazu. Einen kleinen Bug im Konfigurations-/Firewallcode lässt sich nicht ausschließen. Danke schon mal  für die Analyse des Problems. :)

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: r.weber on November 27, 2015, 07:16:09 am

Quote from: franco on November 24, 2015, 10:57:23 pm

Da weiß ich zu wenig über IPsec um qualifizierte Auskunft zu geben. Ad kennt sich da weitaus besser aus, ich frag ihn morgen dazu. Einen kleinen Bug im Konfigurations-/Firewallcode lässt sich nicht ausschließen. Danke schon mal  für die Analyse des Problems. :)

Konntest Du von Ad schon etwas zu meinem Problem in Erfahrung bringen?

Title: Re: Keine LAN Zugriff mit mobile IPSec
Post by: mikeboss on December 05, 2015, 12:00:42 am

1. ich gehe mit franco einig: iOS und OS X am besten via L2TP over IPsec anbinden.
2. es funktioniert tadellos mit der von franco verlinkten anleitung (gerade eben ausprobiert).
3. UNBEDINGT die floating rule welche unter dem abschnitt "Troubleshooting" erwaehnt wird einrichten!


grz!
m.

EDIT:
IPsec phase2 habe ich AES 256
IPsec phase1 habe ich DH key group 2 (1024bit) und Lifetime 3600