Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSense 2.0.1 L2TP over IPsec

    Deutsch
    2
    8
    11.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      maxiwir
      last edited by

      Hallo,
      ich habe auf einem Test System ein PFSense 2.0.1 installiert. Damit möchte ich eine VPN Verbindung(L2TP over IPsec) zum laufen bekommen. Das WAN und LAN habe ich konfiguriert und über das PFSense Interface kann ich den Client, welcher über ein Crossover Kabel mit dem Testsystem verbunden ist, anpingen. Jetzt habe ich die VPN wie in dieser Anleitung http://doc.pfsense.org/index.php/Mobile_IPsec_on_2.0 eingerichtet. Aber ich kann mich einfach nicht Verbinden =/ Windows 7 sagt immer wieder "Fehler 789".

      Hier nochmal alles in Stichpunkten:

      • Enstehen soll eine L2TP over IPsec Verbindung
      • Es sollen sich Mobile Clients Verbinden(Testweise ein Netbook mit einem Crossover Kabel, später dann Smartphones mit Android und iOS)
      • Eingerichtet nach der Oberen Anleitung
      • In der Firewall ist alles Freigegeben(siehe untere Screenshots)
      • Windows 7 als Client(später auch Mac OS und Linux)

      Bilder:
















      1 Reply Last reply Reply Quote 0
      • M
        maxiwir
        last edited by

        Hier ist noch der Log. Vlt. kann damit jemand was anfangen :)

        May 2 14:57:52	racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:52	racoon: INFO: begin Identity Protection mode.
May 2 14:57:52	racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:52	racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:52	racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:52	racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:52	racoon: ERROR: invalid DH group 20.
May 2 14:57:52	racoon: ERROR: invalid DH group 19.
May 2 14:57:52	racoon: ERROR: no suitable proposal found.
May 2 14:57:52	racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:52	racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:52	racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:53	racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:53	racoon: INFO: begin Identity Protection mode.
May 2 14:57:53	racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:53	racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:53	racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:53	racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:53	racoon: ERROR: invalid DH group 20.
May 2 14:57:53	racoon: ERROR: invalid DH group 19.
May 2 14:57:53	racoon: ERROR: no suitable proposal found.
May 2 14:57:53	racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:53	racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:53	racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:55	racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:55	racoon: INFO: begin Identity Protection mode.
May 2 14:57:55	racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:55	racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:55	racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:55	racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:55	racoon: ERROR: invalid DH group 20.
May 2 14:57:55	racoon: ERROR: invalid DH group 19.
May 2 14:57:55	racoon: ERROR: no suitable proposal found.
May 2 14:57:55	racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:55	racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:55	racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:59	racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:59	racoon: INFO: begin Identity Protection mode.
May 2 14:57:59	racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:59	racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:59	racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:59	racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:59	racoon: ERROR: invalid DH group 20.
May 2 14:57:59	racoon: ERROR: invalid DH group 19.
May 2 14:57:59	racoon: ERROR: no suitable proposal found.
May 2 14:57:59	racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:59	racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:59	racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
        1 Reply Last reply Reply Quote 0
        • H
          Huhjukel
          last edited by

          Hallo,

          ich wollte es diese Tage mal nach dieser Anleitung probieren.

          Welche Einstellungen hast du den Windows-Seitig vorgenommen?

          Gruß Huhjukel

          1 Reply Last reply Reply Quote 0
          • M
            maxiwir
            last edited by

            @Huhjukel:

            Hallo,

            ich wollte es diese Tage mal nach dieser Anleitung probieren.

            Welche Einstellungen hast du den Windows-Seitig vorgenommen?

            Gruß Huhjukel

            Hallo,
            ich bin jetzt auch mal nach dieser Anleitung gegangen. Auch die Firewall(obwohl drin steht das man das nicht braucht) hab ich eingestell. Ich hab dann keinerlei Logs im "IPsec" Bereich und in den Logs der Firewall wird Port 500 und 137 von 10.0.0.2(meinem Client) geblockt o.0
            Am Client erschien immernoch Fehler 789.

            Dann hab ich von "aggresive" auf "main" umgestellt, die Firewall komplett ausgeschaltet am pfsense und Nat-T auf disabled gestellt. Nur bekomm ich bei IPsec folgenden Log:

            May 3 16:02:18 racoon: INFO: unsupported PF_KEY message REGISTER
May 3 16:05:06 racoon: INFO: unsupported PF_KEY message REGISTER
May 3 16:05:20 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:20 racoon: INFO: begin Identity Protection mode.
May 3 16:05:20 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:20 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:20 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:20 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:20 racoon: ERROR: invalid DH group 20.
May 3 16:05:20 racoon: ERROR: invalid DH group 19.
May 3 16:05:20 racoon: ERROR: no suitable proposal found.
May 3 16:05:20 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:20 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:20 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:21 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:21 racoon: INFO: begin Identity Protection mode.
May 3 16:05:21 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:21 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:21 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:21 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:21 racoon: ERROR: invalid DH group 20.
May 3 16:05:21 racoon: ERROR: invalid DH group 19.
May 3 16:05:21 racoon: ERROR: no suitable proposal found.
May 3 16:05:21 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:21 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:21 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:23 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:23 racoon: INFO: begin Identity Protection mode.
May 3 16:05:23 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:23 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:23 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:23 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:23 racoon: ERROR: invalid DH group 20.
May 3 16:05:23 racoon: ERROR: invalid DH group 19.
May 3 16:05:23 racoon: ERROR: no suitable proposal found.
May 3 16:05:23 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:23 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:23 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:27 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:27 racoon: INFO: begin Identity Protection mode.
May 3 16:05:27 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:27 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:27 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:27 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:27 racoon: ERROR: invalid DH group 20.
May 3 16:05:27 racoon: ERROR: invalid DH group 19.
May 3 16:05:27 racoon: ERROR: no suitable proposal found.
May 3 16:05:27 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:27 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:27 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.

            Ich benutzt den Standard Windows Client und soll keine andere Software zum Verbinden benutzen. Den Client habe ich nach dieser Anleitung eingestellt.

            1 Reply Last reply Reply Quote 0
            • H
              Huhjukel
              last edited by

              Mhhh, ich bist du dir sicher, dass du nicht aufs falsche Pferd setzt.

              Ich bin jetzt zwar nicht der VPN Profi, aber wenn ich in der PFsense Anleitung für mobile Endgeräte weiter lese, steht weiter unten für die Verbindung iOS Gerätes "…. Click IPsec"
              Beim Iphone wird zwischen L2tp und Ipsec unterschieden, und da man für die Verbindung nach der verlinkten Anleitung "IPsec" wählen soll, vermute ich dass diese Verbindung nichts mit L2TP am Hut hat.

              *Kann mich aber auch täuschen * ;D

              Gruß Huhjukel

              1 Reply Last reply Reply Quote 0
              • M
                maxiwir
                last edited by

                Ja die Einstellungen habe ich wieder Rückgänig gemacht und bin dann nach der Anleitung gegangen die du gepostet hast. Das sollte ja dann eig. funktionieren, tut es aber nicht =/

                Ich probiere jetzt die 2 folgenden Anleitungen aus:

                http://blog.schaefer-it.net/wissenswertes/ipsec-verbindung-zwischen-pfsense-und-mobilen-client/

                http://thepracticalsysadmin.com/setting-up-an-l2tp-vpn-with-pfsense/

                1 Reply Last reply Reply Quote 0
                • H
                  Huhjukel
                  last edited by

                  Hallo Maxiwir,

                  bist du weiter gekommen bei deinem Versuch?

                  Gruß Huhjukel

                  1 Reply Last reply Reply Quote 0
                  • M
                    maxiwir
                    last edited by

                    http://www.administrator.de/index.php?content=184566

                    Hier habe ich hilfe bekommen :)

                    Es funktioniert zumindest PSK, aber das ganze soll nun über Zertifikat + Benutzer/Passwort abfrage laufen! Ich bin mir nicht sicher wie ich das umsetzten soll…

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.