OPNsense Forum

International Forums => German - Deutsch => Topic started by: stefan21 on January 21, 2017, 11:54:02 pm

Title: [SOLVED] Blackberry Passport und VPN
Post by: stefan21 on January 21, 2017, 11:54:02 pm
Ich habe eine IPsec-Verbindung zu einem BB Passport eingerichtet. Zum Verbindungsaufbau habe ich im BB eine Cisco Secure PIX Firewall VPN definiert.

Die Verbindung wird sofort und ohne Fehler aufgebaut!

Allerdings kann ich mit dem BB weder surfen noch emails empfangen. Ich erhalte im BB die Meldung, dass keine Netzwerkverbindung vorhanden ist. Im BB sind in der Standard-Konfiguration keine DNS-Server definiert. Das Telefon zeigt auch keine DNS-Server nach dem Verbindungsaufbau an. Das VPN-Profil im BB ist mit

- IP automatisch ermittlen,
- DNS automatisch ermitteln, und
- Algorithmus automatisch ermitteln
- Proxy verwenden "aus"

eingestellt.

Was mache ich falsch?

Vielen Dank für jede Hilfe.
stefan
Title: Re: Blackberry Passport und VPN
Post by: astronach on January 22, 2017, 03:33:10 pm
Moin Stefan,

also, da ich weder ein BB hab und auch noch nie IPsec VPN verwendet habe, würde ich pauschal auf die DNS Auflösung tippen.
Also, falls noch nicht passiert, gib dem Client als DNS die OPNsense LAN IP und evtl. mal checken ob man FW Regeln setzen müsste auf LAN und WAN Seite.

Aus eigener Erfahrung (nutz OPNsense auch noch nicht lange) kann ich sagen dass zumindest der OpenVPN Wizard anbietet die Regeln automatisch zu setzen.

Aber vielleicht ist hier noch der ein oder andere Advanced User das dazu mehr sagen kann.

gruss,
Astronach
Title: Re: Blackberry Passport und VPN
Post by: stefan21 on January 22, 2017, 09:54:51 pm
Hallo Astronach,

danke für Deine Rückantwort.

Ich versuche es mal mit den Details:

Die Firewall ist als Exposed Host hinter einer Fritzbox gesetzt. Der Blackberry wählt sich in eine Cisco Secure PIX Firewall VPN ein. Die Serveradresse ist eine dynamische - xxx.dyndns.org.

IP IF WAN: 192.168.178.10

1. Der Client hat den virtuellen Adress Pool 10.16.42.0/24
2. Die Tunnel-Einstellungen in der Phase 2 für das local subnet sind IPv4 tunnel 0.0.0.0/0
3. Die Firewall sieht wie folgt aus:
- Keine Floating rules
- IF IPSec: IPv4 *    *    *    *    *    *    
- IF LAN: IPv4 *    LAN net    *    *    *    *
- IF LAN: IPv6 *    LAN net    *    *    *    *
- IF WAN: IPv4 ESP    *    *    *    *    *    
- IF WAN: IPv4 UDP    *    *    *    500 (ISAKMP)    *
- IF WAN: IPv4 UDP    *    *    *    4500 (IPsec NAT-T)    *
- NAT Outbound:
IPsec    any     *    *    *    192.168.178.10    *    NO
WAN    127.0.0.0/8 192.168.42.0/24 10.0.50.0/24 10.0.50.0/24 10.0.50.0/24 10.0.50.0/24 10.16.42.0/24    *    *    500    WAN address    *    YES
WAN    127.0.0.0/8 192.168.42.0/24 10.0.50.0/24 10.0.50.0/24 10.0.50.0/24 10.0.50.0/24 10.16.42.0/24    *    *    *    WAN address    *    NO

Der Blackberry hat die Serveradresse 84.130.144.244. Die private IP-Adresse ist die 10.16.42.1/255.255.255.255.
Die Subnetze sind 84.130.144.244/255.255.255.255 und 10.16.42.0/255.255.255.0

Der primäre DNS ist im Blackberry mit 8.8.8.8 definiert. Die private Serveradresse ist 10.16.42.1.

Ein Ping aus der OPNsense auf 10.16.42.1 bringt 100% loss.

Es gibt jede Menge Posts im Netz zu IPSec, Blackberry und OPNsense oder PFsense. Meistens geht es darum, dass überhaupt ein Tunnel aufgebaut wird. Das ist hier ja nicht der Fall. Der Tunnel steht.

VPN: IPsec: Lease Status

   Pool: 10.16.42.0/24 Usage: 1/254 Online: 1    
   User    Host    Status    
   bb10    10.16.42.1    (online)

Der DNS-Forwarder ist aktiviert, ebenso der Proxy-Server. Im Forward sind die Interfaces lan, OpenVPN und IPSec definiert. In der Access Control List sind als Allowed Subnets das VPN-Netz und 10.16.42.0/24 hinterlegt.

Also Tunnel steht - aber kein Datenverkehr möglich. Wer kann helfen?

stefan
Title: Re: Blackberry Passport und VPN
Post by: stefan21 on January 22, 2017, 10:04:11 pm
Hier das log von ipsec:

Jan 22 22:01:38    charon: 12[IKE] CHILD_SA con1{8} established with SPIs ca9dfd02_i fc292792_o and TS 10.16.42.0/24 === 10.16.42.1/32
Jan 22 22:01:38    charon: 12[IKE] <con1|8> CHILD_SA con1{8} established with SPIs ca9dfd02_i fc292792_o and TS 10.16.42.0/24 === 10.16.42.1/32
Jan 22 22:01:38    charon: 12[ENC] parsed QUICK_MODE request 4210329793 [ HASH ]
Jan 22 22:01:38    charon: 12[NET] received packet: from 89.204.155.28[38220] to 192.168.178.10[4500] (60 bytes)
Jan 22 22:01:38    charon: 12[NET] sending packet: from 192.168.178.10[4500] to 89.204.155.28[38220] (172 bytes)
Jan 22 22:01:38    charon: 12[ENC] generating QUICK_MODE response 4210329793 [ HASH SA No ID ID ]
Jan 22 22:01:38    charon: 12[IKE] received 10800s lifetime, configured 28800s
Jan 22 22:01:38    charon: 12[IKE] <con1|8> received 10800s lifetime, configured 28800s
Jan 22 22:01:38    charon: 12[ENC] parsed QUICK_MODE request 4210329793 [ HASH SA No ID ID ]
Jan 22 22:01:38    charon: 12[NET] received packet: from 89.204.155.28[38220] to 192.168.178.10[4500] (444 bytes)
Jan 22 22:01:38    charon: 12[NET] sending packet: from 192.168.178.10[4500] to 89.204.155.28[38220] (92 bytes)
Jan 22 22:01:38    charon: 12[ENC] generating TRANSACTION response 1612096853 [ HASH CPRP(ADDR SUBNET) ]
Jan 22 22:01:38    charon: 12[IKE] assigning virtual IP 10.16.42.1 to peer 'bb10'
Jan 22 22:01:38    charon: 12[IKE] <con1|8> assigning virtual IP 10.16.42.1 to peer 'bb10'
Jan 22 22:01:38    charon: 12[IKE] peer requested virtual IP %any
Jan 22 22:01:38    charon: 12[IKE] <con1|8> peer requested virtual IP %any
Jan 22 22:01:38    charon: 12[ENC] parsed TRANSACTION request 1612096853 [ HASH CPRQ(ADDR MASK DNS NBNS U_SPLITINC U_DEFDOM U_BANNER U_SAVEPWD U_PFS U_FWTYPE VER) ]
Jan 22 22:01:38    charon: 12[NET] received packet: from 89.204.155.28[38220] to 192.168.178.10[4500] (172 bytes)
Jan 22 22:01:38    charon: 13[IKE] maximum IKE_SA lifetime 86151s
Jan 22 22:01:38    charon: 13[IKE] <con1|8> maximum IKE_SA lifetime 86151s
Jan 22 22:01:38    charon: 13[IKE] scheduling reauthentication in 85611s
Jan 22 22:01:38    charon: 13[IKE] <con1|8> scheduling reauthentication in 85611s
Jan 22 22:01:38    charon: 13[IKE] IKE_SA con1[8] established between 192.168.178.10[192.168.178.10]...89.204.155.28[bb10]
Jan 22 22:01:38    charon: 13[IKE] <con1|8> IKE_SA con1[8] established between 192.168.178.10[192.168.178.10]...89.204.155.28[bb10]
Jan 22 22:01:38    charon: 13[ENC] parsed TRANSACTION response 1393998599 [ HASH CPA(X_STATUS) ]
Jan 22 22:01:38    charon: 13[NET] received packet: from 89.204.155.28[38220] to 192.168.178.10[4500] (76 bytes)
Jan 22 22:01:38    charon: 13[NET] sending packet: from 192.168.178.10[4500] to 89.204.155.28[38220] (76 bytes)
Jan 22 22:01:38    charon: 13[ENC] generating TRANSACTION request 1393998599 [ HASH CPS(X_STATUS) ]
Jan 22 22:01:38    charon: 13[IKE] detected reauth of existing IKE_SA, adopting 0 children and 1 virtual IPs
Jan 22 22:01:38    charon: 13[IKE] <con1|7> detected reauth of existing IKE_SA, adopting 0 children and 1 virtual IPs
Jan 22 22:01:38    charon: 13[IKE] XAuth authentication of 'bb10' successful
Jan 22 22:01:38    charon: 13[IKE] <con1|8> XAuth authentication of 'bb10' successful
Jan 22 22:01:38    charon: 13[IKE] XAuth-SCRIPT succeeded for user 'bb10'.
Jan 22 22:01:38    charon: 13[IKE] <con1|8> XAuth-SCRIPT succeeded for user 'bb10'.
Jan 22 22:01:38    charon: user 'bb10' authenticated
Jan 22 22:01:38    charon: 13[ENC] parsed TRANSACTION response 276435399 [ HASH CPRP(X_USER X_PWD) ]
Jan 22 22:01:38    charon: 13[NET] received packet: from 89.204.155.28[38220] to 192.168.178.10[4500] (92 bytes)
Jan 22 22:01:38    charon: 13[NET] sending packet: from 192.168.178.10[4500] to 89.204.155.28[38220] (76 bytes)
Jan 22 22:01:38    charon: 13[ENC] generating TRANSACTION request 276435399 [ HASH CPRQ(X_USER X_PWD) ]
Jan 22 22:01:38    charon: 13[IKE] remote host is behind NAT
Jan 22 22:01:38    charon: 13[IKE] <con1|8> remote host is behind NAT
Jan 22 22:01:38    charon: 13[IKE] local host is behind NAT, sending keep alives
Jan 22 22:01:38    charon: 13[IKE] <con1|8> local host is behind NAT, sending keep alives
Jan 22 22:01:38    charon: 13[ENC] parsed AGGRESSIVE request 0 [ NAT-D NAT-D HASH N(INITIAL_CONTACT) ]
Jan 22 22:01:38    charon: 13[NET] received packet: from 89.204.155.28[38220] to 192.168.178.10[4500] (140 bytes)
Jan 22 22:01:38    charon: 13[NET] sending packet: from 192.168.178.10[500] to 89.204.155.28[38994] (392 bytes)
Jan 22 22:01:38    charon: 13[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
Jan 22 22:01:38    charon: 13[CFG] selected peer config "con1"
Jan 22 22:01:38    charon: 13[CFG] looking for XAuthInitPSK peer configs matching 192.168.178.10...89.204.155.28[bb10]
Jan 22 22:01:38    charon: 13[IKE] 89.204.155.28 is initiating a Aggressive Mode IKE_SA

Nachtrag:
VPN: IPsec: Security Policy Database

Source    Destination    Direction    Protocol    Tunnel endpoints
10.16.42.1    10.16.42.0/24       ESP    89.204.155.28 -> 192.168.178.10
10.16.42.0/24    10.16.42.1       ESP    192.168.178.10 -> 89.204.155.28
Title: Re: [SOLVED] Blackberry Passport und VPN
Post by: stefan21 on January 26, 2017, 12:56:41 am
Mit Hilfe von unten stehenden Anleitungen (und ein paar Tage probieren) habe ich eine IPSec-Verbindung von OPNsense zu einem Blackberry Passport eingerichtet. Hierbei habe ich mich im Wesentlichen an folgende Anleitungen gehalten:

- https://wiki.openwrt.org/doc/howto/vpn.ipsec.roadwarrior (https://wiki.openwrt.org/doc/howto/vpn.ipsec.roadwarrior)
- https://wiki.strongswan.org/issues/1043 (https://wiki.strongswan.org/issues/1043)
- http://forum.ipfire.org/viewtopic.php?t=6955 (http://forum.ipfire.org/viewtopic.php?t=6955)
- https://help.blackberry.com/en/bes12/12.3/administration/ake1450126295640.html (https://help.blackberry.com/en/bes12/12.3/administration/ake1450126295640.html)

Ich bin auf der OPNsense folgendermassen vorgegangen:

1. User für den Blackberry eingerichtet
2. User die xauth Einwahlberechtigung erteilt
3. Für den User ein Zertifikat erstellt. Für das IPSec-PKI san muss der DNS der Domäne (im Falle von einem DynDns, der Name des DynDns) eingetragen werden.
4. mobile client, Tunnel Phase 1 und 2 (V2) konfigurieren. Da ich mit Zertifikaten die Verbindung aufgebaut habe, steht bei Phase 1 (Authentication):
- Auth method: Mutual RSA
- Negotiation: aggresive
- My identifier: My IP adress
- Peer identifier: Distinguished name --> Name des Zertifikats
- My Certificate: das erstellte Zertifikat für den User Blackberry auswählen
- My Certificate Authority: die gültige CA

Phase 1 (Algorithms):
richtet sich nach dem Client. Im Fall des des Blackberry Passports:
- Encrypt Algorythm: AES 256
- Hash: SHA1
- DH group: 2
- Lifetime: 86400
- Disable Rekey und Reauth: unchecked
- NAT Traversal: Enabled
- DPD: checked 10/5

Phase 2:
- Mode: Tunnel IPV4
- Type: Network
- Adress: 0.0.0.0/0
- NAT-Type: auto
- Type: none
- Protocol: ESP
- Encrypt algorythms: AES 256. Der Rest ist unchecked.
- Hash algorythms: SHA1. Der Rest ist unchecked.
- PFS key group: 2
- Lifetime: 28800

Das pkcs12-Zertifikat wird in der OPNsense unter OpenVPN - Client Export ausgewählt, und als Archiv heruntergeladen. Hier muss unter Host Name resolution der DNS eingetragen werden. Weiter muss ein Passwort für das Zertifikat vergeben werden. (Use a password to protect the pkcs12 file contents or key in Viscosity bundle.)

Das pkcs12 kann man sich per email schicken, oder über einen smb-connect auf den BB über WLAN kopieren. Nachdem das Zertifikat installiert ist, wird im Blackberry als Gateway-Typ der Generische IKEv2 VPN-Server mit Zertifikat (PKI) konfiguriert. Die Serveradresse ist der DNS. Der Typ d. Auth-ID ist der Definierte Name des Identitätszertifikats. Das Client Zertifikat ist das zuvor installierte Client-Zertifikat aus dem pkcs12-Bundle. Gateway-Auth ist wieder PKI. Auch hier ist der Typ d. Auth-ID wieder der Definierte Name des Identitätszertifikats. Nicht vertrauenswürdiges Zertifikat muss auf "Zulassen" gestellt werden. Das Zertifizierungsstellenzertifikat für das Gateway ist das bereits installierte CA-Zertifikat aus dem pkcs12-Bundle. Perfekte Geheimhaltung b. d. Weiterleitung ist eingeschaltet. Gleiches gilt für IP autom. ermitteln, DNS und Algorithmus. IKE Lebensdauer 86400, IPSec 10800, NAT 30, DPD 240, Proxy verwenden ist aus.

Mit den entsprechenden Firewall-Regeln
führt das alles zusammen zu einem funktionierenden IPSec VPN-Tunnel zu/auf einem Blackberry Passport. Internet funktioniert problemlos durch den Tunnel, was mir jedoch wichtiger ist, eine Mailbox kann mit einer IP aus dem lokalen Netz am anderen Ende des Tunnels definiert werden. Bei Verwendung von z.B. MS-Active-Sync kann der Port 443, 993 und 465 an der OPNsense geschlossen bleiben.

stefan