VPN Windows Phone Boardmitteln

AKFI

Hallo Alex,

wie hast du die Verbindung hinbekommen.

Erstmal bin ich der Anleitung gefolgt.

Nur was muss ich am Windows Phone eintragen?

Ich fummel hier schon alles mögliche hin und her. Leider ohne Erfolg.

Immer passt Ihm irgendwas nicht.

Dinge wie no proposal chosen oder unknown vendor id sind an der Tagesordnung.

Vllt. kannst du mir sagen wo du was eingetragen hast.

Grüße

Andre

JoelLinn

Ohne mich mit euren Einstellungen im Detail zu beschäftigen ist https://forum.pfsense.org/index.php?topic=87380.msg482835#msg482835 was ich gemacht habe damit es funktioniert. Die Zertifizierungsstelle / Das Zertifikat müsst ihr natürlich auch noch erstellen und auf dem Windows Phone installieren.

Astralusche

hallo

ich denke mal nicht die Einstellungen sind das Problem sondern die Zertifikate. Stell schon mal alles ein so wie in den Bildern von der Anleitung von "JeGr". Dann schau nochmal in meine Anleitung und erstelle die entsprechenden Zertifikate genau so wie es dort beschrieben ist. Dann sollte alles klappen.

Hat jetzt trotzdem jemand ne Ahnung warum der Lan Zugriff nicht geht und nur der Internet Traffic über VPN geroutet wird?

AKFI

Hi,

danke für die Antwort,

Meinst du diese?

https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2

Was von Bedeutung sein könnte. Ich connecte nicht per DNS Eintrag sondern IP.
Hab das aber im Cert eingetragen.

IP und bei Value die IP

@JoelLinn

https://forum.pfsense.org/index.php?topic=87380.msg482835#msg488024

Da habe ich auch gepostet. Habe dort ebenfalls was geschrieben inkl. Log.

Ich habe die Cert.'s angelegt wie in der Anleitung beschrieben + deine Einstellungen übernommen. Ohne Erfolg.

Ich hab noch nen zweiten PFsense… Probier ich das dort mal. Resette nochmal das Phone.

Once again.

Danke für eure Hilfe!

Grüße

Edit meint noch... :

@Astralusche

Wenn ich soweit bin, dann schau ich mal ob ich das gleiche Problem hab wie du. Kann Firewall sein oder Routing. Dahin muss ich aber erstmal kommen ;)

AKFI

Okay, anderer pfsense gleicher Fehler.

So langsam bin ich am Ende mit meinem Latein.

Kann jemand mal seine komplette Konfiguration Posten.

Mit Certs und allem?

Das wäre super!!

Vielen Dank!

Astralusche

schick nochmal das aktuelle log bitte.

AKFI

Guten Morgen,

ich mach gerade alles neu. Neuinstallation PFsense, reset Telefon und dann nochmal von Anfang.

Wenn es dann noch immer nicht klappt kommen die Logs und screenshots von der Konfig.

Grüße

Neue Installation gleiches Problem,

Vllt. liegt es an dem Update auf 2.2 werden jetzt 2.2 direkt installieren.

Was mir aufgefallen ist.

Wenn ich das ServerCert installiere komme ich laut logs weiter als wenn ich das Cert der CA auch auf dem Phone habe.

Ich bekomm das Cert da nicht einfach runter … muss also das Tele wieder resetten.

Dann sieht das ganze so aus  (LOG) X ist ne Variable:

Ich frage mich was diese unknown vendor ID ist...

Feb 10 09:53:05	charon: 11[NET] received packet: from 80.187.XX.XX[500] to 217.XX.XX.XXX[500] (616 bytes)
Feb 10 09:53:05	charon: 11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09
Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Feb 10 09:53:05	charon: 11[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Feb 10 09:53:05	charon: 11[IKE] <12> 80.XXX.XXX.XXX is initiating an IKE_SA
Feb 10 09:53:05	charon: 11[IKE] 80.XXX.XXX.XXX is initiating an IKE_SA
Feb 10 09:53:05	charon: 11[IKE] <12> remote host is behind NAT
Feb 10 09:53:05	charon: 11[IKE] remote host is behind NAT
Feb 10 09:53:05	charon: 11[IKE] <12> sending cert request for "C=US, ST=nrw, L=kirchlengern, O=XXX, E=XXX@XXXX.de, CN=ikev2-ca"
Feb 10 09:53:05	charon: 11[IKE] sending cert request for "C=US, ST=nrw, L=kirchlengern, O=XXX, E=XXX@XXXX.de, CN=ikev2-ca"
Feb 10 09:53:05	charon: 11[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Feb 10 09:53:05	charon: 11[NET] sending packet: from 217.XX.XX.XXX[500] to 80.XX.XXX.XX[500] (337 bytes)
Feb 10 09:53:06	charon: 11[NET] received packet: from 80.XX.XXX.XX[500] to 217.XX.XX.XXX[500] (616 bytes)
Feb 10 09:53:06	charon: 11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Feb 10 09:53:06	charon: 11[IKE] <12> received retransmit of request with ID 0, retransmitting response
Feb 10 09:53:06	charon: 11[IKE] received retransmit of request with ID 0, retransmitting response
Feb 10 09:53:06	charon: 11[NET] sending packet: from 217.XX.XX.XXX[500] to 80.XX.XX.XXX[500] (337 bytes)
Feb 10 09:53:07	charon: 11[NET] received packet: from 80.XX.XX.xx[500] to 217.xx.xx.xx[500] (616 bytes)
Feb 10 09:53:07	charon: 11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Feb 10 09:53:07	charon: 11[IKE] <12> received retransmit of request with ID 0, retransmitting response
Feb 10 09:53:07	charon: 11[IKE] received retransmit of request with ID 0, retransmitting response
Feb 10 09:53:07	charon: 11[NET] sending packet: from 217.xx.xx.xx[500] to 80.xx.xx.xx[500] (337 bytes)
Feb 10 09:53:36	charon: 12[JOB] deleting half open IKE_SA after timeout

Okay jetzt nochmal alles neu und die Konfig so wie JoelLinn.
Er hat nen Problem mit den Certs… aber welche? Ich hab die genauso angelegt wie in der Anleitung beschrieben.

Feb 10 11:13:48	charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09
Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Feb 10 11:13:48	charon: 14[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Feb 10 11:13:48	charon: 14[IKE] <1> 80.187.110.XX is initiating an IKE_SA
Feb 10 11:13:48	charon: 14[IKE] 80.187.110.XX is initiating an IKE_SA
Feb 10 11:13:48	charon: 14[IKE] <1> remote host is behind NAT
Feb 10 11:13:48	charon: 14[IKE] remote host is behind NAT
Feb 10 11:13:48	charon: 14[IKE] <1> sending cert request for "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=internal-ca"
Feb 10 11:13:48	charon: 14[IKE] sending cert request for "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=internal-ca"
Feb 10 11:13:48	charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Feb 10 11:13:48	charon: 14[NET] sending packet: from 217.91.78.XXX[500] to 80.187.110.XX[500] (337 bytes)
Feb 10 11:13:48	charon: 14[NET] received packet: from 80.187.110.XX[6602] to 217.91.78.XXX[4500] (716 bytes)
Feb 10 11:13:48	charon: 14[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
Feb 10 11:13:48	charon: 14[IKE] <1> received 19 cert requests for an unknown ca
Feb 10 11:13:48	charon: 14[IKE] received 19 cert requests for an unknown ca
Feb 10 11:13:48	charon: 14[CFG] looking for peer configs matching 217.91.78.XXX[%any]...80.187.110.XX[10.42.202.142]
Feb 10 11:13:48	charon: 14[CFG] selected peer config 'con1'
Feb 10 11:13:48	charon: 14[IKE] <con1|1>initiating EAP_IDENTITY method (id 0x00)
Feb 10 11:13:48	charon: 14[IKE] initiating EAP_IDENTITY method (id 0x00)
Feb 10 11:13:48	charon: 14[IKE] <con1|1>peer supports MOBIKE
Feb 10 11:13:48	charon: 14[IKE] peer supports MOBIKE
Feb 10 11:13:48	charon: 14[IKE] <con1|1>authentication of 'C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com' (myself) with RSA signature successful
Feb 10 11:13:48	charon: 14[IKE] authentication of 'C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com' (myself) with RSA signature successful
Feb 10 11:13:48	charon: 14[IKE] <con1|1>sending end entity cert "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com"
Feb 10 11:13:48	charon: 14[IKE] sending end entity cert "C=US, ST=NRW, L=Lennestadt, O=Linn, E=mail@domain.com, CN=vpn.domain.com"
Feb 10 11:13:48	charon: 14[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Feb 10 11:13:48	charon: 14[NET] sending packet: from 217.91.78.XXX[4500] to 80.187.110.XX[6602] (1692 bytes)</con1|1></con1|1></con1|1></con1|1> 

Nur das Server Cert exportiert und in ein .cer gewandelt. Das telefon magt .crt nicht.

Was mach ich bitte falsch?

AKFI

Okay ich bin ein Stückchen weiter.

Es ist das Zertifikat:

Error 13801 occurs on the client when:

The certificate is expired.  Das ist nicht der Fall.

The trusted root for the certificate is not present on the client. Ist auf dem Client. (.p12installiert)

The subject name of the certificate does not match the remote computer. Subject name ist wohl der cn. Der ist identisch.

The certificate does not have the required Enhanced Key Usage (EKU) values assigned. Wenn ich mir die Certs ansehe, ist das nicht der Fall. Nur wie generiere ich die mit?

Grüße

AKFI

Kann mir vllt. jemand Helfen? Oder Posten wie die Certs erstellt wurden? Ich komme einfach nicht weiter.

Wäre für Hilfe Dankbar.

Grüße

AKFI

Hallo Leute,

ich hab es hinbekommen. Wenn man der Anleitung folgt, komme zumindest ich nicht ans Ziel.

Mit IP alleine Arbeiten geht nicht!

Mann braucht nach meinen ganzen versuchen zu Urteilen einen DNS-A eintrag für eine Domain oder Subdomain.

Das ca muss genauso heißen (CN) wie der Pfsense und der PFSense muss genauso heißen wie die Domäne/subdomäne.
Das Cert muss ebenfalls genauso heissen wie die Domäne/subdomäne (CN).

My Identifyer : Distinguished name wie der pfsens
Peer Identifier: mailadresse@domäne/subdomäne

Nur das crt in cer wandeln von der CA und auf dem Telefon installieren.

Wer Fragen hat gern pn ;)

Dann läuft das auch.

Grüße