OPNSense <-> Lancom Advanced VPN Client Roadwarrior Verbindungsprobleme

Started by translate2124, October 09, 2025, 03:03:52 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 09, 2025, 03:03:52 PM
Hallo OPNSense Forum,

wir versuchen im Moment mit den IPSec Connections eine Verbindung zwischen unserer OPNSense Firewall in einer Hetzner-Umgebung und mehreren Roadwarriors mit dem Lancom Trusted Access Client zu verbinden, stoßen dort allerdings auf Schwierigkeiten mit der Zertifizierung der Verbindung. Wir verwenden EAP-MSCHAPv2 nach dem Tutorial in den OPNSense Docs. ( https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html ) Von Desktop-Seite kann eine Verbindung erstellt werden, allerdings bricht sie sofort mit einem "PKI Error - unable to get ca issuer certificate" ab. Liegt dies an irgendeiner übersehenen OPNSense-Einstellung? Ist IPSec überhaupt für diesen Anwendungsfall zielführend? Vielen Dank im Vorraus!
October 09, 2025, 05:23:06 PM #1
Haben die Clients alle das CA-Zertifikat der OPNsense lokal installiert und als vertrauenswürdig markiert? Steht so in der Fehlermeldung 😉
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 10:18:36 AM #2
Tatsächlich ja... Vielleicht hat es etwas mit dem Lancom VPN Client zu tun, ich muss mal weiter recherchieren. Trotzdem danke!
Today at 01:09:21 PM #3
Da ich leider nicht weitergekommen bin, versuche ich es hier nochmal. Folgende Daten kann ich geben:

Versionen:

OPNsense 25.7.4-amd64
FreeBSD 14.3-RELEASE-p2
OpenSSL 3.0.17
 
LANCOM Advanced VPN Client (Version 6.23 Build 30776)

Fragen:
Reicht es, das CA-Zertifikat im Windows-Zertifikatsspeicher zu hinterlegen, oder muss es explizit im Lancom Client eingebunden werden?
Kann der Fehler auch auf der Gegenseite liegen, z. B. durch eine unvollständige Zertifikatskette?
Gibt es eine Möglichkeit, den Client dazu zu bringen, ein bestimmtes CA-Zertifikat für die Prüfung zu verwenden?

Verbindungslogs des VPN Clients und der OPNSense sowie IPSec-Profil des Remote Clients sind angehängt.

Vielen Dank für die Hilfe.
Today at 01:12:40 PM #4
Beim NCP Client in der selben Anleitung muss das Zertifikat im Ordner des NCP clients abgelegt werden.

Ich bin mir fast sicher der LANCOM client will das auch.
Hardware:
DEC740
Today at 02:17:37 PM #5
Vielen Dank für den Tip!

Ich habe die Zertifikate jetzt manuell unter "C:/ProgramData/LANCOM/Trusted Access Client/certs" hinterlegt, der Fehler in den Logs besteht leider weiterhin. Ich denke aber, hier kommen wir der Sache näher...
Today at 02:57:56 PM #6
Warum benutzt du nicht einen der vorgeschlagenen Clients mit Konfigurationsbeispielen die funktionieren?
Hardware:
DEC740
Today at 03:05:12 PM #7
Da der Lancom Client bereits im Einsatz ist und ein weiterer Client nicht erwünscht ist.
Print
Go Up Pages1
User actions