Mobile Client VPN IKEv2

Started by Baustelle, January 20, 2018, 02:47:35 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
January 20, 2018, 02:47:35 AM
Ich habe erfolgreich die Mobile IKEv2 Konfiguration (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2) eingerichtet. Mit Windows 10 IKEv2 können sich die User ohne Probleme mit dem LAN verbinden und arbeiten. Allerdings nur einzeln! Sowie eine 2. Mobil-Verbindung aufgebaut wird, kann der 1. User nicht mehr im Netzwerk arbeiten, selbst ein Ping ins Netzwerk funktioniert nicht mehr. Ich bin bei der Mobil-Client-Option davon ausgegangen, dass sich hierüber mehrere User ans Netzwerk anmelden und arbeiten können, finde jedoch den Fehler nicht. Ich habe circa 10 User eingerichtet, EAP, als Username seine Mailadresse und jeweils ein seperates Passwort. Im Dasboard werden beide User als connected angezeigt, aber nur der jeweils zuletzt angemeldete User kann über VPN arbeiten. Hat jemand eine Idee woran es liegen könnte?
January 20, 2018, 12:10:10 PM #1
Möglicherweise Probleme mit NAT im Zusammenhang mit ESP
January 20, 2018, 04:01:16 PM #2
vielleicht noch mal zum besseren Verständnis. Wie gesagt der Tunnel funktioniert mit einem Client anstandslos.

LAN: 192.160.120.0/24
Mobil: 192.168.122.0/24
User A: usera@domain.com Passwort: aaaaaa
User B: userb@domain.com Passwort: bbbbbb


Client A meldet sich mit User A an:

Client A IP: 192.168.122.1

Der Client wird im Dashboard als connected angezeigt und kann ins LAN-Netz pingen.

Clinet B meldet sich mit User B an wenn Client A noch verbunden ist:

Client B IP: 192.168.122.2

Beide Clients werden im Dasboard als connected angezeigt. Client B kann ins Netz pingen, Client A nicht mehr.

Dies kann ich beliebig fortsetzen Clint C, D, E usw. Jeweils der zuletzt angemeldete Client kann aufs LAN zugreifen alle anderen nicht.

Ich habe auch bereits darüber nachgedacht, ob es am NAT liegen könnte. Nur ist mir nicht ganz klar, wo ich es einstellen soll!
January 20, 2018, 06:19:22 PM #3
Probier mal in IPSec NAT-T zu aktivieren - vielleicht macht das einen Unterschied aus.
January 22, 2018, 02:02:01 PM #4
Dumm gefragt statt schlau gestorben: Setzt du jetzt pfSense oder opnSense ein? Denn genau den gleichen Beitrag hab ich auch im pfSense Forum von dir :) Nur damit man hier nicht an unterschiedlichen Kleinigkeiten scheitert...

https://forum.pfsense.org/index.php?topic=142991.msg14839
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
January 22, 2018, 03:58:38 PM #5
opnsense. Da ich aber die Anleitung von pfsense genommen habe, habe ich auch einen Beitrag im pfsense Forum geschrieben. Hast du richtig bemerkt! Leider habe ich bei opnsense keine entsprechende Anleitung gefunden. Das Problem besteht immer noch. Ich konnte bisher auch keinen Eintrag finden, in dem ich  hierfür NAT konfigurieren kann.
January 22, 2018, 04:24:50 PM #6 Last Edit: January 22, 2018, 04:37:31 PM by JeGr
Wollte nur sicher gehen, da meiner Erinnerung nach die IPSEC Konfiguration der beiden Projekte nicht ganz deckungsgleich ist, nicht dass sich auf einer Seite die Helfer wundern, warum du manche Sachen gar nicht konfigurieren kannst :)

Die Clients haben wirklich unterschiedliche IPs wenn sie verbunden sind? Was ist denn mit Routing Tabellen etc. wenn die verbunden sind? Verändert sich da was bei jedem davon?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
January 22, 2018, 05:39:47 PM #7 Last Edit: January 22, 2018, 05:41:46 PM by Baustelle
Auf den Clients wir das Routing über die Powershell mit dem Befehl "Add-VpnConnectionRoute -ConnectionName...." gesetzt hier ändert sich nicht.

Ich habe bereits überlegt, ob ein virtuelles Interface für IPsec vorher erstellt werden muss, konnte hierzu jedoch ebenfalls nichts finden.

Auf der opnsense kann ich keine Routingeintrag für den Bereich 192.168.122.0 finden.
January 22, 2018, 06:12:56 PM #8
So.
Das hat mir auch keine Ruhe gelassen und ich hab auch mal geprüft.
Ich hab den gleichen Fehler.
Bisher hab ich mich nicht gleichzeitig von mehreren Rechnern angemeldet...
Ich hatte auch die Anleitung von pfsense genommen.

Also das geroutet wird, steht nur unter VPN > IPsec > Statusübersicht.
Beide Clients bekommen auch unterschiedliche SPI / IP zugewiesen.
January 22, 2018, 08:45:16 PM #9
danke, dass du dir die Mühe gemacht hast.
January 24, 2018, 08:00:02 PM #10
niermand eine Idee zum Thema?
February 05, 2018, 06:31:46 PM #11 Last Edit: February 05, 2018, 08:54:38 PM by rantwolf
Gibt es denn schon Neuerungen?

Im Protokoll vom IPsec steht ja auch nix drin.

March 21, 2019, 11:15:49 PM #12 Last Edit: March 21, 2019, 11:19:24 PM by rainerle
Push nach oben... gibt es da eine Lösung?
March 22, 2019, 10:09:42 PM #13
Moinsen.

Ich hab das Thema mit IPsec RoadWarrior aufgegeben.
Nutze seit einigen Monaten Wireguard und das läuft wie Sau.

Einziges Manko... Im Augenblick gibts keinen Windows Client (der kommt aber bald).
Betrifft mich so halt nicht mehr, da nur Linux, Mac, iOS im Einsatz ist.
June 13, 2019, 07:09:30 PM #14
Da ich gerade dabei bin, VPN für mehrere externe Benutzer einzurichten, pushe ich das Thema mal nach oben. Ist es aktuell möglich, dass mehrere VPN IPsec User gleichzeitig auf das LAN zugreifen können oder muss man hierfür OpenVPN benutzen?
Print
Go Up Pages1 2
User actions