(Gelöst) VPN Fritzbox –> pfsense / Android Phone -> PFsense

m0nji

Alles klar, na dann viel Erfolg!

Eike

hmmmm habs mit der Seite gemacht für die Handys:
https://www.ceos3c.com/pfsense/configure-openvpn-for-pfsense-2-3-step-by-step/

klappt aber irgendwie nicht….habt ihr ne idee?

Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS Error: TLS handshake failed
Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS Error: TLS object -> incoming plaintext read error
Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS_ERROR: BIO read tls_read_plaintext error
Mar 29 14:43:26 openvpn 41823 117.92.130.91 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
Mar 29 14:43:26 openvpn 41823 117.92.130.91 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=Deutschland, L=daborn, O=-, emailAddress=eike.de, CN=bla.no-ip.org, OU=IT

Eike

sagt mal lese ich das richtig das es jetzt mit der neuen version 2.4.3 und ipsec gehen wird ? also Handy und site to site ?

IPsec
Changed IPsec Phase 1 to allow selecting both IPv4 and IPv6 so the local side can allow inbound connections to either address family #6886
Changed IPsec Phase 1 to allow configuration of multiple IKE encryption algorithms, key lengths, hashes, and DH groups #8186
Fixed a problem when IPsec bypasslan was enabled while the LAN interface is disabled or doesn't have an IP address #8239
Added IPv6 LAN Network to the IPsec LAN bypass list #8321

https://doc.pfsense.org/index.php/2.4.3_New_Features_and_Changes

m0nji

Mar 29 14:43:26  openvpn  41823  117.92.130.91 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=Deutschland, L=daborn, O=-, emailAddress=eike.de, CN=bla.no-ip.org, OU=IT

Für mich sieht das so aus als wenn du dem Nutzer kein UserCertificate zugewiesen hast sondern ein anderes Zertifikat. Ist aber auch schwer zu sagen bei den wenigen Infos zur Konfiguration

Eike

hmmmm neee kann eigentlich nicht sein ich habe alle neu gemacht extra dafür…...was für infos brauchst du noch ?

Eike

sooo hab openvpn nicht zum laufen bekommen war ich zu blöde zu. aber ich habe jetzt sowohl fritzbox über ipsec und auch die handy über ipsec am laufen

hurraaaaaa

orcape

Hi Eike,
"sooo hab openvpn nicht zum laufen bekommen war ich zu blöde zu. aber ich habe jetzt sowohl fritzbox über ipsec und auch die handy über ipsec am laufen"  Schön für Dich, aber genau das, kann es eigentlich nicht wirklich geben. Ich bastele seit Jahren mit OpenVPN, IPSec, pfSense, DD-WRT, OpenWRT und Fritten rum. Ich hab bis Dato jeden Tunnel zum laufen bekommen und mir ist auch klar, das Fritte und OpenVPN sich ausschliessen, wenn das Teil nicht gefreetzt ist. Aber selbst da, ist es eigentlich der Obergau eine IPSec-Tunnel mit wirklich funktionierenden Routing hin zu bekommen, was bei OpenVPN eigentlich nicht wirklich ein Problem dargestellt hat. Aber ich behaupte nun einfach mal, das Fritten-IPSec ist von der "Stange".  ;D

m0nji

Aber selbst da, ist es eigentlich der Obergau eine IPSec-Tunnel mit wirklich funktionierenden Routing hin zu bekommen, was bei OpenVPN eigentlich nicht wirklich ein Problem dargestellt hat. Aber ich behaupte nun einfach mal, das Fritten-IPSec ist von der "Stange".  ;D

was meinst du damit?

orcape

was meinst du damit?

Ich meinte damit nicht den normalen IPSec, der von AVM unterstützt wird, sondern eher das modifizieren (Freezen) der Fritte. Jeder Flash des Gerätes, muss bei einem Konfigurationsfehler, (z.B. in der Firewall) wiederholt werden, da man keine direkten Änderungen machen kann, sondern das Image immer neu bauen muss.
Man kann das nicht mit einer pfSense oder einem DD-WRT Router vergleichen, wo die Änderungen einfach mal so in den Speicher hochgeladen werden.
Die original Firewall einer Fritte ist eben nur "von der Stange", auch wenn man das "Teil" in den Himmel lobt, so ist und bleibt das ein Consumergerät, wie jeder andere Plastikrouter auch.

orcape

@Eike,
Du hast definitiv einen Zertifikatsfehler vorliegen.
Passiert häufig bei selbst signierten Zertifikaten.
Wobei das eigentlich kein Problem mehr darstellen sollte, wenn man die Zertifikate mit der pfSense macht und sich von dieser herunter lädt.
Leider ist es nicht so ohne, wenn man den Tunnel zu anderer Hardware aufbaut, die eventuell nicht jede Art der Verschlüsselung unterstützt.

Eike

@m0nji:

du hast jetzt quasi eine ipsec verbindung zwischen den netzen 192.168.10.0/24 (deine pfsense) und 192.168.2.0/24 (dein kumpel seine fritzbox)?
ausgehend von diesem szenario erstmal die frage: kannst du aus dem 192.168.10.0/24 eine IP im 192.168.2.0/24 anpingen?

m0nji moin deine tipps waren ja gold wert. sage mal ich habe jetzt 2 boxen erfolgreich eingebunden ABER dein zweiter tunnel wird immer nur bei einer aufgebaut / wird es zwar auch zu zwei aber ich kann dahinter nichts pingen.

sprich eigentlich 4 phase2 tunnel sollten ja auf sein. es sind aber nur 3. wenn ich eine verbindung disable geht es sofort mit der anderen.
aktuell habe ich also ein entweder oder senario. hast du ne idee?

m0nji

Habe immer etwas Probleme deinen Sätzen zu folgen ;)
Hast du denn in den BINAT/DNAT Phase2 Tunnels immer eine unterschiedliche virtuelle IP genommen oder immer die gleiche? Pro Phase2 Tunnel musst du eine virtuelle IP nehmen, die nirgendwo anders benutzt wird.

Eike

immer die 192.168.10.x …...ach wir können auch telefonieren ;)

Eike

eine letzte Frage habe ich noch…..der Tunnel vom Handy wird jetzt aufgebaut aber der Traffic geht noch nicht da durch ....muss ich hier auch 2 Tunnel bauen ?