Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN Windows Phone Boardmitteln

    Scheduled Pinned Locked Moved Deutsch
    22 Posts 6 Posters 5.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      WieMi
      last edited by

      Hört sich gut an, gibt es da schon ein geplantes Release Datum?
      Eine Beta als offizielle Umgebung ist nicht mein Ding.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hört sich gut an, gibt es da schon ein geplantes Release Datum?

        When it's done - auch wenn das doof klingen mag, aber…

        Eine Beta als offizielle Umgebung ist nicht mein Ding.

        ... es ist keine Beta mehr, sondern ein Release Candidate, deshalb wird sich das wohl auch nicht mehr unendlich hinziehen. Die RC Snapshots sind auch recht stabil. Ob es spezifische Probleme für den Einsatz gibt, kann man aber unter dem 2.2er Subforum gerne nachlesen. Produktiv sicher (noch) nicht das ganz Wahre, aber für einen Testlauf spricht nichts dagegen um überhaupt einmal zu testen, ob das gewünschte Szenario läuft.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • A
          Astralusche
          last edited by

          "its done" … hat es schon jemand zum laufen bekommen? eine kleine Anleitung zum einreichten wäre nett.

          gruss Astralusche

          1 Reply Last reply Reply Quote 0
          • M
            Marvho
            last edited by

            Habe es gerade upgraden lassen und lief ohne Probleme.

            Habe aber auch nur das BandwithD Package zusätzlich installiert.

            Das einzig auffällige ist der CPU Usage Balken, er ist etwas verwirrend da er immer voll ist.

            1 Reply Last reply Reply Quote 0
            • A
              Astralusche
              last edited by

              Ich komm da irgendwie nicht weiter. Bei mir klappt die Authentifizierung nicht. Kann mir bitte mal jemand eine funktionierende Konfiguration von dem Punkt "Authentifizierung" posten? ???

              1 Reply Last reply Reply Quote 0
              • W
                WieMi
                last edited by

                Das mit dem RC hat sich erledigt, 2.2 ist jetzt offiziell.
                Habt ihr den Windows Zugriff schon geschafft?

                Ich bekomme es irgendwie nicht hin.
                Gibt es eine Step by Step Anleitung, wo auch kommentiert ist was ich bei einem zB.: Windows7 Client einstellen muss.
                Ich sehe vor lauter Bäume den Wald nicht.

                Hier ein Auszug vom Log:

                an 26 16:05:42 charon: 16[IKE] <con1|1>peer supports MOBIKE
                Jan 26 16:05:42 charon: 16[IKE] peer supports MOBIKE
                Jan 26 16:05:42 charon: 16[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
                Jan 26 16:05:42 charon: 16[NET] sending packet: from 192.168.202.62[4500] to 192.168.202.213[4500] (76 bytes)
                Jan 26 16:07:01 charon: 16[NET] received packet: from 192.168.202.213[500] to 192.168.202.62[500] (528 bytes)
                Jan 26 16:07:01 charon: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
                Jan 26 16:07:01 charon: 16[IKE] <2> 192.168.202.213 is initiating an IKE_SA
                Jan 26 16:07:01 charon: 16[IKE] 192.168.202.213 is initiating an IKE_SA
                Jan 26 16:07:01 charon: 16[IKE] <2> faking NAT situation to enforce UDP encapsulation
                Jan 26 16:07:01 charon: 16[IKE] faking NAT situation to enforce UDP encapsulation
                Jan 26 16:07:01 charon: 16[IKE] <2> sending cert request for "xxxxxxx"
                Jan 26 16:07:01 charon: 16[IKE] sending cert request for "xxxxxxx"
                Jan 26 16:07:01 charon: 16[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
                Jan 26 16:07:01 charon: 16[NET] sending packet: from 192.168.202.62[500] to 192.168.202.213[500] (337 bytes)
                Jan 26 16:07:01 charon: 16[NET] received packet: from 192.168.202.213[4500] to 192.168.202.62[4500] (764 bytes)
                Jan 26 16:07:01 charon: 16[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
                Jan 26 16:07:01 charon: 16[IKE] <2> received 21 cert requests for an unknown ca
                Jan 26 16:07:01 charon: 16[IKE] received 21 cert requests for an unknown ca
                Jan 26 16:07:01 charon: 16[CFG] looking for peer configs matching 192.168.202.62[%any]…192.168.202.213[192.168.202.213]
                Jan 26 16:07:01 charon: 16[CFG] selected peer config 'con1'
                Jan 26 16:07:01 charon: 16[IKE] <con1|2>peer requested EAP, config inacceptable
                Jan 26 16:07:01 charon: 16[IKE] peer requested EAP, config inacceptable
                Jan 26 16:07:01 charon: 16[CFG] no alternative config found
                Jan 26 16:07:01 charon: 16[IKE] <con1|2>peer supports MOBIKE
                Jan 26 16:07:01 charon: 16[IKE] peer supports MOBIKE
                Jan 26 16:07:01 charon: 16[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
                Jan 26 16:07:01 charon: 16[NET] sending packet: from 192.168.202.62[4500] to 192.168.202.213[4500] (76 bytes)
                Jan 26 16:08:09 charon: 16[NET] received packet: from 192.168.202.213[500] to 192.168.202.62[500] (792 bytes)
                Jan 26 16:08:09 charon: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
                Jan 26 16:08:09 charon: 16[IKE] <3> 192.168.202.213 is initiating an IKE_SA
                Jan 26 16:08:09 charon: 16[IKE] 192.168.202.213 is initiating an IKE_SA
                Jan 26 16:08:09 charon: 16[IKE] <3> faking NAT situation to enforce UDP encapsulation
                Jan 26 16:08:09 charon: 16[IKE] faking NAT situation to enforce UDP encapsulation
                Jan 26 16:08:09 charon: 16[IKE] <3> sending cert request for "xxxxxxx"
                Jan 26 16:08:09 charon: 16[IKE] sending cert request for "xxxxxxx"
                Jan 26 16:08:09 charon: 16[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
                Jan 26 16:08:09 charon: 16[NET] sending packet: from 192.168.202.62[500] to 192.168.202.213[500] (337 bytes)
                Jan 26 16:08:09 charon: 16[NET] received packet: from 192.168.202.213[4500] to 192.168.202.62[4500] (828 bytes)
                Jan 26 16:08:09 charon: 16[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
                Jan 26 16:08:09 charon: 16[IKE] <3> received 21 cert requests for an unknown ca
                Jan 26 16:08:09 charon: 16[IKE] received 21 cert requests for an unknown ca
                Jan 26 16:08:09 charon: 16[CFG] looking for peer configs matching 192.168.202.62[%any]…192.168.202.213[192.168.202.213]
                Jan 26 16:08:09 charon: 16[CFG] selected peer config 'con1'
                Jan 26 16:08:09 charon: 16[IKE] <con1|3>peer requested EAP, config inacceptable
                Jan 26 16:08:09 charon: 16[IKE] peer requested EAP, config inacceptable
                Jan 26 16:08:09 charon: 16[CFG] no alternative config found
                Jan 26 16:08:09 charon: 16[IKE] <con1|3>peer supports MOBIKE
                Jan 26 16:08:09 charon: 16[IKE] peer supports MOBIKE
                Jan 26 16:08:09 charon: 16[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
                Jan 26 16:08:09 charon: 16[NET] sending packet: from 192.168.202.62[4500] to 192.168.202.213[4500] (76 bytes)

                Vielleicht fällt euch der Fehler auf.</con1|3></con1|3></con1|2></con1|2></con1|1>

                1 Reply Last reply Reply Quote 0
                • A
                  Astralusche
                  last edited by

                  ich bin schon ein stückchen weiter. die musst unter "Phase 1 proposal (Authentication)" noch "Authentication method" auf EAP-???? umstellen, dein log sagt nämlich:

                  Jan 26 16:08:09  charon: 16[IKE] <con1|3>peer requested EAP, config inacceptable
                  Jan 26 16:08:09  charon: 16[IKE] peer requested EAP, config inacceptable
                  Jan 26 16:08:09  charon: 16[CFG] no alternative config found</con1|3>

                  1 Reply Last reply Reply Quote 0
                  • W
                    WieMi
                    last edited by

                    Danke ich bin schon ein Stück weiter.

                    Aber hier hängt es noch, kannst du damit was anfangen?

                    Jan 27 17:15:15 charon: 16[CFG] rereading secrets
                    Jan 27 17:15:15 charon: 16[CFG] loading secrets from '/var/etc/ipsec/ipsec.secrets'
                    Jan 27 17:15:15 charon: 16[CFG] loaded RSA private key from '/var/etc/ipsec/ipsec.d/private/cert-1.key'
                    Jan 27 17:15:15 charon: 16[CFG] loaded EAP secret for %any IPSEC
                    Jan 27 17:15:15 charon: 16[CFG] rereading ca certificates from '/var/etc/ipsec/ipsec.d/cacerts'
                    Jan 27 17:15:15 charon: 16[CFG] loaded ca certificate "C=AT, ST=Ober, L=Txxx, O=S , E=t@s.com, CN=SchRW-CA" from '/var/etc/ipsec/ipsec.d/cacerts/fc1149a3.0.crt'
                    Jan 27 17:15:15 charon: 16[CFG] loaded ca certificate "C=AT, ST=Ober, L=Txxx, O=S , E=t@s.com, CN=internalIPSEC-ca" from '/var/etc/ipsec/ipsec.d/cacerts/78667b63.0.crt'
                    Jan 27 17:15:15 charon: 16[CFG] rereading ocsp signer certificates from '/var/etc/ipsec/ipsec.d/ocspcerts'
                    Jan 27 17:15:15 charon: 16[CFG] rereading aa certificates from '/var/etc/ipsec/ipsec.d/aacerts'
                    Jan 27 17:15:15 charon: 16[CFG] rereading attribute certificates from '/var/etc/ipsec/ipsec.d/acerts'
                    Jan 27 17:15:15 charon: 16[CFG] rereading crls from '/var/etc/ipsec/ipsec.d/crls'
                    Jan 27 17:15:15 ipsec_starter[33209]: bad argument value in conn 'con1'
                    Jan 27 17:15:15 ipsec_starter[33209]: # ignored conn 'con1' due to 1 parsing error
                    Jan 27 17:15:15 ipsec_starter[33209]: ### 1 parsing error (0 fatal) ###
                    Jan 27 17:15:23 charon: 16[NET] received packet: from 192.168.202.213[500] to 192.168.202.62[500] (528 bytes)
                    Jan 27 17:15:23 charon: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
                    Jan 27 17:15:23 charon: 16[IKE] <15> no IKE config found for 192.168.202.62…192.168.202.213, sending NO_PROPOSAL_CHOSEN
                    Jan 27 17:15:23 charon: 16[IKE] no IKE config found for 192.168.202.62…192.168.202.213, sending NO_PROPOSAL_CHOSEN
                    Jan 27 17:15:23 charon: 16[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
                    Jan 27 17:15:23 charon: 16[NET] sending packet: from 192.168.202.62[500] to 192.168.202.213[500] (36 bytes)

                    1 Reply Last reply Reply Quote 0
                    • W
                      WieMi
                      last edited by

                      "bad argument value in conn 'con1'
                      "
                      Dies hat sich erledigt bei der Lifetime hat sich ein Punkt (28.000) reingeschlichen.

                      Aber es hängt noch immer bei bei der IKE Authentifizierung.

                      Jan 28 15:46:28 charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
                      Jan 28 15:46:28 charon: 14[IKE] <3> 77.242.69.10 is initiating an IKE_SA
                      Jan 28 15:46:28 charon: 14[IKE] 77.242.69.10 is initiating an IKE_SA
                      Jan 28 15:46:28 charon: 14[IKE] <3> local host is behind NAT, sending keep alives
                      Jan 28 15:46:28 charon: 14[IKE] local host is behind NAT, sending keep alives
                      Jan 28 15:46:28 charon: 14[IKE] <3> remote host is behind NAT
                      Jan 28 15:46:28 charon: 14[IKE] remote host is behind NAT
                      Jan 28 15:46:28 charon: 14[IKE] <3> sending cert request for "C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=T@schXXX.com, CN=internal-ca"
                      Jan 28 15:46:28 charon: 14[IKE] sending cert request for "C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=T@schwXXX.com, CN=internal-ca"
                      Jan 28 15:46:28 charon: 14[IKE] <3> sending cert request for "C=AT, ST=OXXX, L=TXXX, O=SchXXX Mxxx-schwxxx, E=technik@SchXXX.com, CN=SchweigRW-CA"
                      Jan 28 15:46:28 charon: 14[IKE] sending cert request for "C=AT, ST=OXXX, L=TXXX, O=SchXXX Mxxx-schwxxx, E=technik@SchXXX.com, CN=SchweigRW-CA"
                      Jan 28 15:46:28 charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
                      Jan 28 15:46:28 charon: 14[NET] sending packet: from 192.168.202.62[500] to 77.242.69.10[500] (357 bytes)
                      Jan 28 15:46:28 charon: 14[NET] received packet: from 77.242.69.10[4500] to 192.168.202.62[4500] (800 bytes)
                      Jan 28 15:46:28 charon: 14[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
                      Jan 28 15:46:28 charon: 14[IKE] <3> received cert request for "C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=Technik@SchXXX.com, CN=internal-ca"
                      Jan 28 15:46:28 charon: 14[IKE] received cert request for "C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=Technik@SchXXX.com, CN=internal-ca"
                      Jan 28 15:46:28 charon: 14[IKE] <3> received 22 cert requests for an unknown ca
                      Jan 28 15:46:28 charon: 14[IKE] received 22 cert requests for an unknown ca
                      Jan 28 15:46:28 charon: 14[CFG] looking for peer configs matching 192.168.202.62[%any]…77.242.69.10[192.168.1.206]
                      Jan 28 15:46:28 charon: 14[CFG] selected peer config 'con1'
                      Jan 28 15:46:28 charon: 14[IKE] <con1|3>initiating EAP_IDENTITY method (id 0x00)
                      Jan 28 15:46:28 charon: 14[IKE] initiating EAP_IDENTITY method (id 0x00)
                      Jan 28 15:46:28 charon: 14[IKE] <con1|3>peer supports MOBIKE
                      Jan 28 15:46:28 charon: 14[IKE] peer supports MOBIKE
                      Jan 28 15:46:28 charon: 14[IKE] <con1|3>authentication of 'C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=Technik@SchXXX.com, CN=pfsense.localdomain' (myself) with RSA signature successful
                      Jan 28 15:46:28 charon: 14[IKE] authentication of 'C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=Technik@SchXXX.com, CN=pfsense.localdomain' (myself) with RSA signature successful
                      Jan 28 15:46:28 charon: 14[IKE] <con1|3>sending end entity cert "C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=Technik@SchXXX.com, CN=pfsense.localdomain"
                      Jan 28 15:46:28 charon: 14[IKE] sending end entity cert "C=AT, ST=OXXX, L=TXXX, O=SchXXX, E=Technik@SchXXX.com, CN=pfsense.localdomain"
                      Jan 28 15:46:28 charon: 14[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
                      Jan 28 15:46:28 charon: 14[NET] sending packet: from 192.168.202.62[4500] to 77.242.69.10[4500] (1744 bytes)
                      Jan 28 15:46:48 charon: 14[IKE] <con1|3>sending keep alive to 77.242.69.10[4500]
                      Jan 28 15:46:48 charon: 14[IKE] sending keep alive to 77.242.69.10[4500]
                      Jan 28 15:46:58 charon: 14[JOB] deleting half open IKE_SA after timeout

                      Liegt dies am Zertifikat?

                      Am Windows7 Client kommt Fehler 13801 IKE-Autentfizierung Anmeldeinformationen nicht akzeptabel.

                      Ich habe mich nach dieser Anleitung gehalten:
                      https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2

                      Muss man sich mit einer DNS Namensauflösung verbinden oder genügt nur die IP das dass Zertifikat gültig ist?
                      Ist das der Fehler?

                      Danke Mike</con1|3></con1|3></con1|3></con1|3></con1|3>

                      1 Reply Last reply Reply Quote 0
                      • A
                        Astralusche
                        last edited by

                        Hallo zusammen

                        also mittlerweile habe ich den Tunnel aufgebaut bekommen und kann diesen auch nutzen. Allerdings komme ich nur in das Internet und nicht in mein LAN rein. Da mein Email Server im Lan steht, erreiche ich diesen nun bei hergestellter Verbindung nicht mehr :-(. Kann also erstmal von draußen über meinen Heimanschluss surfen aber nicht auf das Heimnetzwerk zugreifen. Ich denke eine Firewall Regel ist noch fehlerhaft, aber ich komme im Moment nicht weiter. Hat vielleicht noch jemand einen Tip dazu?

                        Als Einrichtung bin ich dieser Anleitung
                        https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
                        auf Schritt und "Klick" gefolgt. Probiere gerade das mit dem Zertifikat und dann den entsprechenden Einstellungen am IPsec Reiter aus! Viel Erfolg!

                        Gruss AleX

                        1 Reply Last reply Reply Quote 0
                        • A
                          AKFI
                          last edited by

                          Hallo Alex,

                          wie hast du die Verbindung hinbekommen.

                          Erstmal bin ich der Anleitung gefolgt.

                          Nur was muss ich am Windows Phone eintragen?

                          Ich fummel hier schon alles mögliche hin und her. Leider ohne Erfolg.

                          Immer passt Ihm irgendwas nicht.

                          Dinge wie no proposal chosen oder unknown vendor id sind an der Tagesordnung.

                          Vllt. kannst du mir sagen wo du was eingetragen hast.

                          Grüße

                          Andre

                          1 Reply Last reply Reply Quote 0
                          • J
                            JoelLinn
                            last edited by

                            Ohne mich mit euren Einstellungen im Detail zu beschäftigen ist https://forum.pfsense.org/index.php?topic=87380.msg482835#msg482835 was ich gemacht habe damit es funktioniert. Die Zertifizierungsstelle / Das Zertifikat müsst ihr natürlich auch noch erstellen und auf dem Windows Phone installieren.

                            1 Reply Last reply Reply Quote 0
                            • A
                              Astralusche
                              last edited by

                              hallo

                              ich denke mal nicht die Einstellungen sind das Problem sondern die Zertifikate. Stell schon mal alles ein so wie in den Bildern von der Anleitung von "JeGr". Dann schau nochmal in meine Anleitung und erstelle die entsprechenden Zertifikate genau so wie es dort beschrieben ist. Dann sollte alles klappen.

                              Hat jetzt trotzdem jemand ne Ahnung warum der Lan Zugriff nicht geht und nur der Internet Traffic über VPN geroutet wird?

                              1 Reply Last reply Reply Quote 0
                              • A
                                AKFI
                                last edited by

                                Hi,

                                danke für die Antwort,

                                Meinst du diese?

                                https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2

                                Was von Bedeutung sein könnte. Ich connecte nicht per DNS Eintrag sondern IP.
                                Hab das aber im Cert eingetragen.

                                IP und bei Value die IP

                                @JoelLinn

                                https://forum.pfsense.org/index.php?topic=87380.msg482835#msg488024

                                Da habe ich auch gepostet. Habe dort ebenfalls was geschrieben inkl. Log.

                                Ich habe die Cert.'s angelegt wie in der Anleitung beschrieben + deine Einstellungen übernommen. Ohne Erfolg.

                                Ich hab noch nen zweiten PFsense… Probier ich das dort mal. Resette nochmal das Phone.

                                Once again.

                                Danke für eure Hilfe!

                                Grüße

                                Edit meint noch... :

                                @Astralusche

                                Wenn ich soweit bin, dann schau ich mal ob ich das gleiche Problem hab wie du. Kann Firewall sein oder Routing. Dahin muss ich aber erstmal kommen ;)

                                1 Reply Last reply Reply Quote 0
                                • A
                                  AKFI
                                  last edited by

                                  Okay, anderer pfsense gleicher Fehler.

                                  So langsam bin ich am Ende mit meinem Latein.

                                  Kann jemand mal seine komplette Konfiguration Posten.

                                  Mit Certs und allem?

                                  Das wäre super!!

                                  Vielen Dank!

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    Astralusche
                                    last edited by

                                    schick nochmal das aktuelle log bitte.

                                    1 Reply Last reply Reply Quote 0
                                    • A
                                      AKFI
                                      last edited by

                                      Guten Morgen,

                                      ich mach gerade alles neu. Neuinstallation PFsense, reset Telefon und dann nochmal von Anfang.

                                      Wenn es dann noch immer nicht klappt kommen die Logs und screenshots von der Konfig.

                                      Grüße

                                      Neue Installation gleiches Problem,

                                      Vllt. liegt es an dem Update auf 2.2 werden jetzt 2.2 direkt installieren.

                                      Was mir aufgefallen ist.

                                      Wenn ich das ServerCert installiere komme ich laut logs weiter als wenn ich das Cert der CA auch auf dem Phone habe.

                                      Ich bekomm das Cert da nicht einfach runter … muss also das Tele wieder resetten.

                                      Dann sieht das ganze so aus  (LOG) X ist ne Variable:

                                      Ich frage mich was diese unknown vendor ID ist...

                                      
                                      Feb 10 09:53:05	charon: 11[NET] received packet: from 80.187.XX.XX[500] to 217.XX.XX.XXX[500] (616 bytes)
                                      Feb 10 09:53:05	charon: 11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
                                      Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09
                                      Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
                                      Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
                                      Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
                                      Feb 10 09:53:05	charon: 11[IKE] <12> 80.XXX.XXX.XXX is initiating an IKE_SA
                                      Feb 10 09:53:05	charon: 11[IKE] 80.XXX.XXX.XXX is initiating an IKE_SA
                                      Feb 10 09:53:05	charon: 11[IKE] <12> remote host is behind NAT
                                      Feb 10 09:53:05	charon: 11[IKE] remote host is behind NAT
                                      Feb 10 09:53:05	charon: 11[IKE] <12> sending cert request for "C=US, ST=nrw, L=kirchlengern, O=XXX, E=XXX@XXXX.de, CN=ikev2-ca"
                                      Feb 10 09:53:05	charon: 11[IKE] sending cert request for "C=US, ST=nrw, L=kirchlengern, O=XXX, E=XXX@XXXX.de, CN=ikev2-ca"
                                      Feb 10 09:53:05	charon: 11[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
                                      Feb 10 09:53:05	charon: 11[NET] sending packet: from 217.XX.XX.XXX[500] to 80.XX.XXX.XX[500] (337 bytes)
                                      Feb 10 09:53:06	charon: 11[NET] received packet: from 80.XX.XXX.XX[500] to 217.XX.XX.XXX[500] (616 bytes)
                                      Feb 10 09:53:06	charon: 11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
                                      Feb 10 09:53:06	charon: 11[IKE] <12> received retransmit of request with ID 0, retransmitting response
                                      Feb 10 09:53:06	charon: 11[IKE] received retransmit of request with ID 0, retransmitting response
                                      Feb 10 09:53:06	charon: 11[NET] sending packet: from 217.XX.XX.XXX[500] to 80.XX.XX.XXX[500] (337 bytes)
                                      Feb 10 09:53:07	charon: 11[NET] received packet: from 80.XX.XX.xx[500] to 217.xx.xx.xx[500] (616 bytes)
                                      Feb 10 09:53:07	charon: 11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
                                      Feb 10 09:53:07	charon: 11[IKE] <12> received retransmit of request with ID 0, retransmitting response
                                      Feb 10 09:53:07	charon: 11[IKE] received retransmit of request with ID 0, retransmitting response
                                      Feb 10 09:53:07	charon: 11[NET] sending packet: from 217.xx.xx.xx[500] to 80.xx.xx.xx[500] (337 bytes)
                                      Feb 10 09:53:36	charon: 12[JOB] deleting half open IKE_SA after timeout
                                      
                                      

                                      Okay jetzt nochmal alles neu und die Konfig so wie JoelLinn.
                                      Er hat nen Problem mit den Certs… aber welche? Ich hab die genauso angelegt wie in der Anleitung beschrieben.

                                      
                                      Feb 10 11:13:48	charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
                                      Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09
                                      Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
                                      Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
                                      Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
                                      Feb 10 11:13:48	charon: 14[IKE] <1> 80.187.110.XX is initiating an IKE_SA
                                      Feb 10 11:13:48	charon: 14[IKE] 80.187.110.XX is initiating an IKE_SA
                                      Feb 10 11:13:48	charon: 14[IKE] <1> remote host is behind NAT
                                      Feb 10 11:13:48	charon: 14[IKE] remote host is behind NAT
                                      Feb 10 11:13:48	charon: 14[IKE] <1> sending cert request for "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=internal-ca"
                                      Feb 10 11:13:48	charon: 14[IKE] sending cert request for "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=internal-ca"
                                      Feb 10 11:13:48	charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
                                      Feb 10 11:13:48	charon: 14[NET] sending packet: from 217.91.78.XXX[500] to 80.187.110.XX[500] (337 bytes)
                                      Feb 10 11:13:48	charon: 14[NET] received packet: from 80.187.110.XX[6602] to 217.91.78.XXX[4500] (716 bytes)
                                      Feb 10 11:13:48	charon: 14[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
                                      Feb 10 11:13:48	charon: 14[IKE] <1> received 19 cert requests for an unknown ca
                                      Feb 10 11:13:48	charon: 14[IKE] received 19 cert requests for an unknown ca
                                      Feb 10 11:13:48	charon: 14[CFG] looking for peer configs matching 217.91.78.XXX[%any]...80.187.110.XX[10.42.202.142]
                                      Feb 10 11:13:48	charon: 14[CFG] selected peer config 'con1'
                                      Feb 10 11:13:48	charon: 14[IKE] <con1|1>initiating EAP_IDENTITY method (id 0x00)
                                      Feb 10 11:13:48	charon: 14[IKE] initiating EAP_IDENTITY method (id 0x00)
                                      Feb 10 11:13:48	charon: 14[IKE] <con1|1>peer supports MOBIKE
                                      Feb 10 11:13:48	charon: 14[IKE] peer supports MOBIKE
                                      Feb 10 11:13:48	charon: 14[IKE] <con1|1>authentication of 'C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com' (myself) with RSA signature successful
                                      Feb 10 11:13:48	charon: 14[IKE] authentication of 'C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com' (myself) with RSA signature successful
                                      Feb 10 11:13:48	charon: 14[IKE] <con1|1>sending end entity cert "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com"
                                      Feb 10 11:13:48	charon: 14[IKE] sending end entity cert "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com"
                                      Feb 10 11:13:48	charon: 14[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
                                      Feb 10 11:13:48	charon: 14[NET] sending packet: from 217.91.78.XXX[4500] to 80.187.110.XX[6602] (1692 bytes)</con1|1></con1|1></con1|1></con1|1> 
                                      

                                      Nur das Server Cert exportiert und in ein .cer gewandelt. Das telefon magt .crt nicht.

                                      Was mach ich bitte falsch?

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        AKFI
                                        last edited by

                                        Okay ich bin ein Stückchen weiter.

                                        Es ist das Zertifikat:

                                        Error 13801 occurs on the client when:

                                        The certificate is expired.  Das ist nicht der Fall.

                                        The trusted root for the certificate is not present on the client. Ist auf dem Client. (.p12installiert)

                                        The subject name of the certificate does not match the remote computer. Subject name ist wohl der cn. Der ist identisch.

                                        The certificate does not have the required Enhanced Key Usage (EKU) values assigned. Wenn ich mir die Certs ansehe, ist das nicht der Fall. Nur wie generiere ich die mit?

                                        Grüße

                                        1 Reply Last reply Reply Quote 0
                                        • A
                                          AKFI
                                          last edited by

                                          Kann mir vllt. jemand Helfen? Oder Posten wie die Certs erstellt wurden? Ich komme einfach nicht weiter.

                                          Wäre für Hilfe Dankbar.

                                          Grüße

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            AKFI
                                            last edited by

                                            Hallo Leute,

                                            ich hab es hinbekommen. Wenn man der Anleitung folgt, komme zumindest ich nicht ans Ziel.

                                            Mit IP alleine Arbeiten geht nicht!

                                            Mann braucht nach meinen ganzen versuchen zu Urteilen einen DNS-A eintrag für eine Domain oder Subdomain.

                                            Das ca muss genauso heißen (CN) wie der Pfsense und der PFSense muss genauso heißen wie die Domäne/subdomäne.
                                            Das Cert muss ebenfalls genauso heissen wie die Domäne/subdomäne (CN).

                                            My Identifyer : Distinguished name wie der pfsens
                                            Peer Identifier: mailadresse@domäne/subdomäne

                                            Nur das crt in cer wandeln von der CA und auf dem Telefon installieren.

                                            Wer Fragen hat gern pn ;)

                                            Dann läuft das auch.

                                            Grüße

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.