Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSec Mobile Clients - ich schaff es nicht...
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPSec Mobile Clients - ich schaff es nicht... (Read 2334 times)
c-mu
Full Member
Posts: 210
Karma: 5
IPSec Mobile Clients - ich schaff es nicht...
«
on:
January 23, 2020, 10:59:58 am »
Hallo,
ich versuche immer mal wieder, wenn es meine Zeit erlaubt, den Mobile IPSec Zugang einzurichten und scheitere immer wieder. Ich bin mittlerweile eigentlich recht gut vertraut mit OPNSense, IPSec (Site2Site), OpenVPN (Client & S2S) und alles was dazu gehört. Ich verstehe einfach den IPSec Mobile Client part nicht.
Firewall Ports sind offen, sonst würden auch meine IPSec S2S Verbindungen nicht aufgebaut werden.
Client zum testen: windows 10
Auf meinem Server (19.7.9_1) ist eingerichtet:
VPN -> IPsec -> Mobile Clients:
Enable IPsec Mobile Client Support
Backend for auth: meine LDAP Server (Funktionieren für OpenVPN)
Virtual Address Pool: 192.168.49.0/24
PHase2 PFS Group 14
VPN -> IPsec -> Tunnel Settings -> Phase1 for Mobile Client:
Connection method: default
Key Exchange version: V2
Internet Protocol: IPv4
Interface: (mein WAN Interface)
Phase 1 proposal (Authentication)
Authentication method: (Mutual PSK+Xauth) <- habe diverse andere Settings auch ausprobiert)
My identifier: "My IP address"
Pre-SharedKey: blahblah
Encryption algorithm: AES 256
Hash algorithm: SHA 256
DH key group: 14
LifeTime: 28800
rest default
Phase 2 entsprechend:
x.y.z.z/21 Mobile Client AES (256 bits), aes256gcm16 SHA256, SHA384, SHA512 Group 14 (2048 bits)
Log Auszug Server:
Jan 23 10:53:56 charon: 09[NET] <10867> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:56 charon: 09[ENC] <10867> generating INFORMATIONAL_V1 request 4063727981 [ N(NO_PROP) ]
Jan 23 10:53:56 charon: 09[IKE] <10867> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:56 charon: 09[ENC] <10867> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:56 charon: 09[NET] <10867> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)
Jan 23 10:53:55 charon: 09[NET] <10866> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:55 charon: 09[ENC] <10866> generating INFORMATIONAL_V1 request 3308202714 [ N(NO_PROP) ]
Jan 23 10:53:55 charon: 09[IKE] <10866> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:55 charon: 09[ENC] <10866> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:55 charon: 09[NET] <10866> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)
Jan 23 10:53:54 charon: 09[NET] <10865> sending packet: from 10.27.20.35[500] to 109.41.66.138[1270] (40 bytes)
Jan 23 10:53:54 charon: 09[ENC] <10865> generating INFORMATIONAL_V1 request 1607280496 [ N(NO_PROP) ]
Jan 23 10:53:54 charon: 09[IKE] <10865> no IKE config found for 10.27.20.35...109.41.66.138, sending NO_PROPOSAL_CHOSEN
Jan 23 10:53:54 charon: 09[ENC] <10865> parsed ID_PROT request 0 [ SA V V V V V V V V ]
Jan 23 10:53:54 charon: 09[NET] <10865> received packet: from 109.41.66.138[1270] to 10.27.20.35[500] (408 bytes)
TCP Dump Server:
10:53:54.114914 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:54.116322 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:55.126042 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:55.127817 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:56.162175 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:56.162822 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
10:53:59.158872 IP ip-109-41-66-138.web.vodafone.de.1270 > 10.27.20.35.isakmp: isakmp: phase 1 I ident
10:53:59.159337 IP 10.27.20.35.isakmp > ip-109-41-66-138.web.vodafone.de.1270: isakmp: phase 2/others R inf
Windows 10 Meldung:
Der L2TP-Verbindungsversuch ist fehlgeschlagen (...) nicht weiter aussagekräftig.
Settings:
VPN Anbieter: Windows integriert
Name: blah
Server: Public IP vom Server
VPN Typ: L2TP/IPsec mit vorinstalliertem Schlüssel (habe alles möglich auch ausprobiert)
Vorinstallierter Schlüssel: wie beim Server eingetragen:
Kann mir jemand einen entschiedenen Tipp geben, wie man es "richtig" macht? Muss man vielleicht auf Windows10 Seite irgendwas anderes einstellen?
Logged
uneu
Full Member
Posts: 137
Karma: 4
Re: IPSec Mobile Clients - ich schaff es nicht...
«
Reply #1 on:
January 27, 2020, 01:17:23 pm »
Hallo Claas,
ich glaube mit Windows 10 ist das so nicht möglich. Ich habe daher eine S2S-Verbindung zwischen meinen zwei Firewalls aufgebaut. Wenn das bei dir nicht möglich ist, dann sollte eine SSL-VPN-Verbindung deine Probleme lösen.
Viele Grüße Udo
Logged
Maurice
Hero Member
Posts: 1213
Karma: 158
Re: IPSec Mobile Clients - ich schaff es nicht...
«
Reply #2 on:
January 27, 2020, 08:48:19 pm »
Unter Windows 10 musst Du als VPN-Typ IKEv2 konfigurieren, nicht L2TP/IPsec.
Grüße
Maurice
Logged
OPNsense virtual machine images
OPNsense aarch64 firmware repository
Commercial support & engineering available. PM for details (en / de).
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPSec Mobile Clients - ich schaff es nicht...