Mobile Client VPN IKEv2

[Baustelle]

Ich habe erfolgreich die Mobile IKEv2 Konfiguration (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2) eingerichtet. Mit Windows 10 IKEv2 können sich die User ohne Probleme mit dem LAN verbinden und arbeiten. Allerdings nur einzeln! Sowie eine 2. Mobil-Verbindung aufgebaut wird, kann der 1. User nicht mehr im Netzwerk arbeiten, selbst ein Ping ins Netzwerk funktioniert nicht mehr. Ich bin bei der Mobil-Client-Option davon ausgegangen, dass sich hierüber mehrere User ans Netzwerk anmelden und arbeiten können, finde jedoch den Fehler nicht. Ich habe circa 10 User eingerichtet, EAP, als Username seine Mailadresse und jeweils ein seperates Passwort. Im Dasboard werden beide User als connected angezeigt, aber nur der jeweils zuletzt angemeldete User kann über VPN arbeiten. Hat jemand eine Idee woran es liegen könnte?

[fabian]

Möglicherweise Probleme mit NAT im Zusammenhang mit ESP

[Baustelle]

vielleicht noch mal zum besseren Verständnis. Wie gesagt der Tunnel funktioniert mit einem Client anstandslos.

LAN: 192.160.120.0/24
Mobil: 192.168.122.0/24
User A: usera@domain.com Passwort: aaaaaa
User B: userb@domain.com Passwort: bbbbbb


Client A meldet sich mit User A an:

Client A IP: 192.168.122.1

Der Client wird im Dashboard als connected angezeigt und kann ins LAN-Netz pingen.

Clinet B meldet sich mit User B an wenn Client A noch verbunden ist:

Client B IP: 192.168.122.2

Beide Clients werden im Dasboard als connected angezeigt. Client B kann ins Netz pingen, Client A nicht mehr.

Dies kann ich beliebig fortsetzen Clint C, D, E usw. Jeweils der zuletzt angemeldete Client kann aufs LAN zugreifen alle anderen nicht.

Ich habe auch bereits darüber nachgedacht, ob es am NAT liegen könnte. Nur ist mir nicht ganz klar, wo ich es einstellen soll!

[fabian]

Probier mal in IPSec NAT-T zu aktivieren - vielleicht macht das einen Unterschied aus.

[JeGr]

Dumm gefragt statt schlau gestorben: Setzt du jetzt pfSense oder opnSense ein? Denn genau den gleichen Beitrag hab ich auch im pfSense Forum von dir Nur damit man hier nicht an unterschiedlichen Kleinigkeiten scheitert...

https://forum.pfsense.org/index.php?topic=142991.msg14839

[Baustelle]

opnsense. Da ich aber die Anleitung von pfsense genommen habe, habe ich auch einen Beitrag im pfsense Forum geschrieben. Hast du richtig bemerkt! Leider habe ich bei opnsense keine entsprechende Anleitung gefunden. Das Problem besteht immer noch. Ich konnte bisher auch keinen Eintrag finden, in dem ich  hierfür NAT konfigurieren kann.

[JeGr]

Wollte nur sicher gehen, da meiner Erinnerung nach die IPSEC Konfiguration der beiden Projekte nicht ganz deckungsgleich ist, nicht dass sich auf einer Seite die Helfer wundern, warum du manche Sachen gar nicht konfigurieren kannst

Die Clients haben wirklich unterschiedliche IPs wenn sie verbunden sind? Was ist denn mit Routing Tabellen etc. wenn die verbunden sind? Verändert sich da was bei jedem davon?

[Baustelle]

Auf den Clients wir das Routing über die Powershell mit dem Befehl "Add-VpnConnectionRoute -ConnectionName...." gesetzt hier ändert sich nicht.

Ich habe bereits überlegt, ob ein virtuelles Interface für IPsec vorher erstellt werden muss, konnte hierzu jedoch ebenfalls nichts finden.

Auf der opnsense kann ich keine Routingeintrag für den Bereich 192.168.122.0 finden.

[rantwolf]

So.
Das hat mir auch keine Ruhe gelassen und ich hab auch mal geprüft.
Ich hab den gleichen Fehler.
Bisher hab ich mich nicht gleichzeitig von mehreren Rechnern angemeldet...
Ich hatte auch die Anleitung von pfsense genommen.

Also das geroutet wird, steht nur unter VPN > IPsec > Statusübersicht.
Beide Clients bekommen auch unterschiedliche SPI / IP zugewiesen.

[Baustelle]

danke, dass du dir die Mühe gemacht hast.

[Baustelle]

niermand eine Idee zum Thema?

[rantwolf]

Gibt es denn schon Neuerungen?

Im Protokoll vom IPsec steht ja auch nix drin.

[rainerle]

Push nach oben... gibt es da eine Lösung?

[rantwolf]

Moinsen.

Ich hab das Thema mit IPsec RoadWarrior aufgegeben.
Nutze seit einigen Monaten Wireguard und das läuft wie Sau.

Einziges Manko... Im Augenblick gibts keinen Windows Client (der kommt aber bald).
Betrifft mich so halt nicht mehr, da nur Linux, Mac, iOS im Einsatz ist.

[Stefan1904]

Da ich gerade dabei bin, VPN für mehrere externe Benutzer einzurichten, pushe ich das Thema mal nach oben. Ist es aktuell möglich, dass mehrere VPN IPsec User gleichzeitig auf das LAN zugreifen können oder muss man hierfür OpenVPN benutzen?