Messages

Hi,
I have now installed an IPSec server with the Opensense in addition to an OpenVPN server and would like to operate it with the WIndows 10 VPN client. I have included the instructions

  https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsense-firewall-einrichten-337198.html

held and everything works! But the tunnel is very slow, if I use the OpenVPN tunnel via LTE on the computer, I get an upload of 15 MBit / s, if I use the IPSec tunnel it is only 5 MBit / s. The crazy thing is yet to come! If I use NCP instead of IKEv2 MSCHAPv2 IKEv1 I get the same speed as with the OpenVPN tunnel. It has something to do with the Windwos 10 VPN client in connection with IKEv2 and MSCHAPv2.
Really strange...
Has anyone implemented a fast working IPSec configuration with the WIndows VPN client?

I'm grateful for any help!

many Greetings
Stephan

- gelöst -

Hallo,

ich versuche gerade mit Windows 10 Bordmitteln einen IPsec-Tunnel mit der Opnsense herzustellen. Halte mich dabei genau an die Anleitung von aqui

https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsense-firewall-einrichten-337198.html

Leider bekomme ich beim Verbinden die Fehlermeldung: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.

Habe zum Test die Opnsense als VmWare laufen und soweit alles konfiguriert, habe auch schon erfolgreich OpenVPN und Wireguard-Tunnel laufen lassen. Firewalleinstellungen sind zum Testen auf ANY gestellt.

Habe eine CA erstellt und daraufhin ein Server-Zertifikat, welches ich dann exportiert und im Client importiert habe. Irgendwie habe ich das Gefühl, dass was mit den Zertifikaten nicht stimmt!? Kann mir diese jemand bestätigen?

Die Opnsesne läuft in der Version: OPNsense 20.1.6-amd64

Hier mal die Konfguration:
Übersicht:


Mobile_Client:


Phase 1:



Phase 2:



Habe hier mal den Log von der Opnsense:

2020-05-05T11:09:07   charon: 14[JOB] <con1|1> deleting half open IKE_SA with 192.168.178.82 after timeout
2020-05-05T11:08:37   charon: 14[NET] <con1|1> sending packet: from 192.168.178.250[4500] to 192.168.178.82[4500] (436 bytes)
2020-05-05T11:08:37   charon: 14[NET] <con1|1> sending packet: from 192.168.178.250[4500] to 192.168.178.82[4500] (1236 bytes)
2020-05-05T11:08:37   charon: 14[ENC] <con1|1> generating IKE_AUTH response 1 [ EF(2/2) ]
2020-05-05T11:08:37   charon: 14[ENC] <con1|1> generating IKE_AUTH response 1 [ EF(1/2) ]
2020-05-05T11:08:37   charon: 14[ENC] <con1|1> splitting IKE message (1600 bytes) into 2 fragments
2020-05-05T11:08:37   charon: 14[ENC] <con1|1> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
2020-05-05T11:08:37   charon: 14[IKE] <con1|1> sending end entity cert "C=DE, ST=BW, L=KA, O=abc, E=info@infode, CN=OPNsense, subjectAltName=IP:192.168.178.250,DNS:OPNsense.localdomain"
2020-05-05T11:08:37   charon: 14[IKE] <con1|1> authentication of '192.168.178.250' (myself) with RSA signature successful
2020-05-05T11:08:37   charon: 14[IKE] <con1|1> peer supports MOBIKE
2020-05-05T11:08:37   charon: 14[IKE] <con1|1> initiating EAP_IDENTITY method (id 0x00)
2020-05-05T11:08:37   charon: 14[CFG] <con1|1> selected peer config 'con1'
2020-05-05T11:08:37   charon: 14[CFG] <1> looking for peer configs matching 192.168.178.250[%any]...192.168.178.82[192.168.178.82]
2020-05-05T11:08:37   charon: 14[IKE] <1> received 69 cert requests for an unknown ca
2020-05-05T11:08:37   charon: 14[IKE] <1> received cert request for "C=DE, ST=BW, L=KA, O=abc, E=info@infode, CN=OPNsense, subjectAltName=IP:192.168.178.250,DNS:OPNsense.localdomain"
2020-05-05T11:08:37   charon: 14[IKE] <1> received cert request for "C=AD, ST=DE, L=KA, O=abc, E=info@info.de, CN=Test"
2020-05-05T11:08:37   charon: 14[ENC] <1> parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
2020-05-05T11:08:37   charon: 14[ENC] <1> received fragment #3 of 4, reassembled fragmented IKE message (1712 bytes)
2020-05-05T11:08:37   charon: 14[ENC] <1> parsed IKE_AUTH request 1 [ EF(3/4) ]
2020-05-05T11:08:37   charon: 14[NET] <1> received packet: from 192.168.178.82[4500] to 192.168.178.250[4500] (580 bytes)
2020-05-05T11:08:37   charon: 15[ENC] <1> received fragment #4 of 4, waiting for complete IKE message
2020-05-05T11:08:37   charon: 15[ENC] <1> parsed IKE_AUTH request 1 [ EF(4/4) ]
2020-05-05T11:08:37   charon: 15[NET] <1> received packet: from 192.168.178.82[4500] to 192.168.178.250[4500] (228 bytes)
2020-05-05T11:08:37   charon: 03[ENC] <1> received fragment #2 of 4, waiting for complete IKE message
2020-05-05T11:08:37   charon: 03[ENC] <1> parsed IKE_AUTH request 1 [ EF(2/4) ]
2020-05-05T11:08:37   charon: 03[NET] <1> received packet: from 192.168.178.82[4500] to 192.168.178.250[4500] (580 bytes)
2020-05-05T11:08:37   charon: 05[ENC] <1> received fragment #1 of 4, waiting for complete IKE message
2020-05-05T11:08:37   charon: 05[ENC] <1> parsed IKE_AUTH request 1 [ EF(1/4) ]
2020-05-05T11:08:37   charon: 05[NET] <1> received packet: from 192.168.178.82[4500] to 192.168.178.250[4500] (580 bytes)
2020-05-05T11:08:37   charon: 05[NET] <1> sending packet: from 192.168.178.250[500] to 192.168.178.82[500] (501 bytes)
2020-05-05T11:08:37   charon: 05[ENC] <1> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
2020-05-05T11:08:37   charon: 05[IKE] <1> sending cert request for "C=DE, ST=BW, L=KA, O=abc, E=info@infode, CN=vpnca"
2020-05-05T11:08:37   charon: 05[IKE] <1> sending cert request for "C=AD, ST=DE, L=KA, O=abc, E=info@info.de, CN=Test"
2020-05-05T11:08:37   charon: 05[CFG] <1> selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
2020-05-05T11:08:37   charon: 05[IKE] <1> 192.168.178.82 is initiating an IKE_SA
2020-05-05T11:08:37   charon: 05[ENC] <1> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
2020-05-05T11:08:37   charon: 05[IKE] <1> received Vid-Initial-Contact vendor ID
2020-05-05T11:08:37   charon: 05[IKE] <1> received MS-Negotiation Discovery Capable vendor ID
2020-05-05T11:08:37   charon: 05[IKE] <1> received MS NT5 ISAKMPOAKLEY v9 vendor ID
2020-05-05T11:08:37   charon: 05[ENC] <1> parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
2020-05-05T11:08:37   charon: 05[NET] <1> received packet: from 192.168.178.82[500] to 192.168.178.250[500] (544 bytes)

Hallo,

habe ein Problem und komme seid Tagen nicht weiter. Wenn ich einen Tunnel aufbau und dann vom LAN versuche mit RDP auf den Tunnelrechner über die TunnelIP zu verbinden, dann bricht es mir nach einer gewissen (nach 2 bis 10 min) Zeit die Verbindung ab und verbindet sich neu.

- Die MTU's sind angepasst.
- Mit TeamViewer passiert dies nicht.
- Mit VNC auch nicht. 

Der Tunnel ist stabil(ping [IP] -l 1300 -t  --> kein Paket geht verloren, solange keine RDP aufgebaut wurde.

Habe es mit einem anderen Tunnelserver (OpenVPN) von einem Kollegen versucht, das funktioniert alles!
Die OpnSense ist auf einem ESXi Host in der aktuellen Version installiert.

Hat jemand eine Idee woran das liegen könnte? Oder in welchen Logs ich mal nachsehen kann?

Viele Grüße
Stephan

Hallo,

bin gerade dabei meinem OpenVPN-Tunnel im Bereich MTU zu konfgurieren und bin mit mit den Parametern nicht sicher!?

Ich nutze Remote Access (TLS) mit UDP.

Jetzt sagen die Einen nutze  folgende Befehle:

tun-mtu 1500
fragment 1300
mssfix 1300

die anderen

link-mtu 1300

und der Dritte:

mssfix 1300

Ich bin ein wenig überfrachtet, kann mir jemand helfen und mir erklären was ich nutzen soll bzw. welcher Parameter Sinn ergibt?

Viele Grüße und herzliches Danke
Stephan

So,

habe mal etwas weiter geforscht und habe herausgefunden, dass wenn ich im LAN Interface den Gateway auf default lasse, ich die Opnsense pingen kann aber sonst keine Route im Netz mehr funktioniert. Wenn ich meinen Gateway im Netz einstelle kann ich alle Geräte per Ping erreichen aber eben die OpnSesne nicht mehr pingen. Funktionieren tut aber bis jetzt alles.... :o

Keine Ahung was da los ist!?

Hallo,

habe ein Problem und komme seid Stunden nicht weiter. Ich habe meine OpnSense neu installiert und wollte diese nun einrichten. Habe auch auch schon einen OpenVPN-Tunnel am laufen der einen Ping vom Tunnelnetz ins lokale Netz senden kann ohne Probleme!

Jetzt wollte ich die Verbindung vom lokalen Netz ins Tunnelnetz testen, leider geht dies nicht! Jetzt habe ich versucht vom lokalen Netz die OpnSense zu pingen funktionierte auch nicht.

Es funktioniert alles, wenn ich als Gateway auf der LAN-Seite mein Rechner mit der IP 192.168.127.110 angebe! Wenn ich als Gateway meine IP-Adresse von der LAN-Seite angeben 192.168.178.250 geht nichts mehr!!!
Also irgendwas stimmt mit meinem Gatewayeinstellungen nicht!

Ich habe als Gatewayeinstellungen bei IP-Adresse die IP vom LAN-Interface genommen 192.168.178.250 und es als upstream markiert.

Wenn ich mit PacketCapture auf der Wireshark mal die ICMP-Pakete mitschneide kommt der Fehler "icpm no response seen" beim Antworten. Hat jemand eine Ahnung woran das liegt?

Viele Grüße
Stephan


   

HI JeGr,

das erschrickt mich jetzt ein bissl! Ist nach der Doku von Opnsesne:

https://wiki.opnsense.org/manual/how-tos/ipsec-road.html

Wollte damit einfach mal ein wenige herumspielen.

VG
Stephan

Hallo,

ja ich meine CAs. Ich nutze die Zertifikate als Remote Access (SSL/TLS). Ich habe drei VPN-Server auf der Opnsense um die Prozessorlast etwas zu teilen. Grundsätzlich sollen die tunnel untereinander getrennt sein. Es wird jedoch einen "Admin-Tunnel" geben der auf alle Geräte in den anderen Tunnel zugreifen soll/darf!

Aufbau:
VPN-Tunnel 1 (10.10.10.0/24)
VPN-Tunnel 2 (10.10.11.0/24)
VPN-Tunnel 3 (10.10.12/24)
Admin-Tunnel (10.10.13/28)

Kann ich jetzt für alle Tunnel eine CA nehmen oder soll ich für jeden Tunnel eine erstellen? Das Adminnetz soll mit den anderen Netzen kommunizieren könnten.

Viele Grüße
Stephan

Hallo,

habe mal eine blöde Frage. Wenn ich auf der OpnSense mehrere VPN-Server  laufen lasse, soll ich dann für jeden seine eigene Authoritie unter Trust anlegen oder lege ich grundsätzlich nur eine Authoritie für mehrere VPN-Server an?

Viele Dank und Grüße an alle...

Stephan

Hallo,

hier die benötigten Informationen:










Wobei den GW 172.17.0.254 gibt es in meiner Testumgebung nicht!! Sollte aber ja kein Problem sein.

Viele Grüße
Stephan

So,

habe jetzt mal meine Konfig kopiert und hoffe es kann mit jemand sagen wo mein Fehler ist! Finde den einfach nicht!!

Hir meine zwei Phasen im Überblick:





Hier die Mobile_Client Einstellungen:




Hier die Phase 1:






Hier die Phase 2:




Hier die Benutzereinstellungen, wobei ich mir mit den Privilegs nicht sicher bin!?:




Als Client benutze ich NCP:








Als Fehlermeldung im Log des NCP kommt immer:

25.03.2020 15:42:11 - System: DNSHandling=0
25.03.2020 15:42:11 - IPSec: Start building connection
25.03.2020 15:42:11 - IpsDial: connection time interface choice,LocIpa=172.17.0.250,AdapterIndex=203
25.03.2020 15:42:11 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=172.17.0.250 : test
25.03.2020 15:42:11 - Ike: ConRef=7, XMIT_MSG1_AGGRESSIVE, name=test, vpngw=172.17.0.250:500
25.03.2020 15:42:11 - ike_phase1:send_id:ID_IPV4_ADDR:pid=0,port=0,172.17.0.250
25.03.2020 15:42:11 - Ike: ConRef=7, Send NAT-D vendor ID,remprt=500
25.03.2020 15:42:14 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:14 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:18 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:18 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:22 - Ike: ConRef=7, retry timeout, resend to=172.17.0.250
25.03.2020 15:42:22 - Isakmp: re-sending packet to=172.17.0.250:500,size=984
25.03.2020 15:42:26 - INFO - MONITOR: Disconnected
25.03.2020 15:42:26 - INFO - MONITOR: Media=LAN, Tx=0 Byte, Rx=0 Byte
25.03.2020 15:42:26 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - test.
25.03.2020 15:42:26 - Ike: phase1:name(test) - ERROR - retry timeout - max retries
25.03.2020 15:42:26 - IPSec: Disconnected from test on channel 1.


Ich weiß einfach nicht weiter....

Viele Grüße
Stephan

Hello,

I need your help again, as I have done so often in the past few days!
I would like to compare OpenVPN and IPsec in OpnSense. Now I have tried the documentation

https://wiki.opnsense.org/manual/how-tos/ipsec-road.html

Doing so always gets error messages. I also noticed that the documentary is not up to date.
Does anyone have a documentary that I can use?

Best wishes
Stephan

Hallo,

was nicht passt, kann vielfältig sein da die Doku ja etwas veraltet ist! Es wäre toll, wenn mir jemand sein Setup schicken könnte für IPsec RoadWarrior und ich es einfach zum Testen übernehmen kann. Als Client nutze ich NCP.

Ich denke, das wäre die einfachte Version.

Viele Grüße
Stephan

Guten Morgen,

ich bräuchte mal wieder Eure Hilfe, wie schon all zu oft in den Letzen Tagen!
Ich würde gerne mal OpenVPN und IPsec in der OpnSense  gegenüberstellen. Jetzt habe ich versucht mir der Dokumentation

https://wiki.opnsense.org/manual/how-tos/ipsec-road.html

Die zu tun, bekomme aber immer Fehlermeldungen. Habe auch festgestellt, dass die Doku nicht aktuell ist.
Hat jemand eine Doku die ich verwenden kann?

Viele Grüße
Stephan