IPSec VPN über Fritzbox an die Pfsense via Windows, Mac und iOS



  • Hallo,

    nochmals ein herzliches Dankeschön an alle die mich bisher in meiner Umsetzung in diesem Thema unterstützt haben: https://forum.pfsense.org/index.php?topic=136190.0

    Nun geht es darum, die VPN Einwahl zunächst mal vom iPhone und iPad zu ermöglichen und auf meine Daten von Server und Diskstation drauf zu zugreifen. Die Einwahl vom Mac über das iPhone oder iPad als Hotspot folgen dann im Anschluss.

    Bei der Einrichtung hab ich mich auf die Anleitung https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html bezogen. Wie es halt so ist muss man schauen, wie das dem Netzwerk bei mir anzupassen ist und warum die Einwahl nicht erfolgt bzw. die Verbindung nicht zu stande kommt.

    Ich bin vom Troubleshooting komplett überfragt. Wenn Ihr irgendwelche Logs, Mitschnitte braucht, bitte meldet euch, da ich hier schon etwas Schützenhilfe brauche.



  • Sep 8 20:46:45 charon 09[JOB] <2> deleting half open IKE_SA after timeout
    Sep 8 20:46:24 charon 09[NET] <2> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.105.4 (IP vom iPhone)[500] (473 bytes)
    Sep 8 20:46:24 charon 09[IKE] <2> received retransmit of request with ID 0, retransmitting response
    Sep 8 20:46:24 charon 09[ENC] <2> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
    Sep 8 20:46:24 charon 09[NET] <2> received packet: from 80.187.105.4 (IP vom iPhone)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
    Sep 8 20:46:21 charon 09[NET] <2> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.105.4 (IP vom iPhone)[500] (473 bytes)
    Sep 8 20:46:21 charon 09[IKE] <2> received retransmit of request with ID 0, retransmitting response
    Sep 8 20:46:21 charon 09[ENC] <2> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
    Sep 8 20:46:21 charon 09[NET] <2> received packet: from 80.187.105.4 (IP vom iPhone)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
    Sep 8 20:46:18 charon 09[NET] <2> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.105.4 (IP vom iPhone)[500] (473 bytes)
    Sep 8 20:46:18 charon 09[IKE] <2> received retransmit of request with ID 0, retransmitting response
    Sep 8 20:46:18 charon 09[ENC] <2> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
    Sep 8 20:46:18 charon 09[NET] <2> received packet: from 80.187.105.4 (IP vom iPhone)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
    Sep 8 20:46:15 charon 09[NET] <2> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.105.4 (IP vom iPhone)[500] (473 bytes)
    Sep 8 20:46:15 charon 09[ENC] <2> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
    Sep 8 20:46:15 charon 09[IKE] <2> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=vpnca, OU=Home"
    Sep 8 20:46:15 charon 09[IKE] <2> remote host is behind NAT
    Sep 8 20:46:15 charon 09[IKE] <2> 80.187.105.4 (IP vom iPhone) is initiating an IKE_SA
    Sep 8 20:46:15 charon 09[ENC] <2> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
    Sep 8 20:46:15 charon 09[NET] <2> received packet: from 80.187.105.4 (IP vom iPhone)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)
    Sep 8 20:46:12 charon 09[NET] <bypasslan|1>sending packet: from XX.XX.XXX.42 (IP der Pfsense)[4500] to 80.187.105.4 (IP vom iPhone)[20050] (80 bytes)
    Sep 8 20:46:12 charon 09[ENC] <bypasslan|1>generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
    Sep 8 20:46:12 charon 09[IKE] <bypasslan|1>peer supports MOBIKE
    Sep 8 20:46:12 charon 09[IKE] <bypasslan|1>received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
    Sep 8 20:46:12 charon 09[CFG] <bypasslan|1>no alternative config found
    Sep 8 20:46:12 charon 09[IKE] <bypasslan|1>peer requested EAP, config inacceptable
    Sep 8 20:46:12 charon 09[CFG] <bypasslan|1>selected peer config 'bypasslan'
    Sep 8 20:46:12 charon 09[CFG] <1> looking for peer configs matching XX.XX.XXX.42 (IP der Pfsense)[pfsense]…80.187.105.4 (IP vom iPhone)[10.93.112.35]
    Sep 8 20:46:12 charon 09[ENC] <1> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
    Sep 8 20:46:12 charon 09[ENC] <1> unknown attribute type (25)
    Sep 8 20:46:12 charon 09[NET] <1> received packet: from 80.187.105.4 (IP vom iPhone)[20050] to XX.XX.XXX.42 (IP der Pfsense)[4500] (496 bytes)
    Sep 8 20:46:11 charon 09[NET] <1> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.105.4 (IP vom iPhone)[500] (473 bytes)
    Sep 8 20:46:11 charon 09[ENC] <1> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
    Sep 8 20:46:11 charon 09[IKE] <1> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=pdiendorfer@gmail.com, CN=vpnca, OU=Home"
    Sep 8 20:46:11 charon 09[IKE] <1> remote host is behind NAT
    Sep 8 20:46:11 charon 09[IKE] <1> 80.187.105.4 (IP vom iPhone) is initiating an IKE_SA
    Sep 8 20:46:11 charon 09[ENC] <1> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
    Sep 8 20:46:11 charon 09[NET] <1> received packet: from 80.187.105.4 (IP vom iPhone)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes)</bypasslan|1></bypasslan|1></bypasslan|1></bypasslan|1></bypasslan|1></bypasslan|1></bypasslan|1>



  • Kann den gar keiner was zu den VPN Logs sagen oder einen Anhaltspunkt liefern?


  • Moderator

    Wenn die Verbindung hinter der Fritzbox ist, kann es sein, dass dir da NAT-T einen Streich spielen könnte. Zu L2TP Mobile gibt es diesbezüglich für die Client Seite auch eine Anmerkung in der Doku. Da ich aber IKE2 lese scheint es IKEv2 Implementation zu sein?

    Alternativ die Einrichtung ggf. nochmal mit der offiziellen Doku machen und nicht immer mit (dann ggf. bereits wieder out of date befindlichen) irgendwelchen Guides die irgendwann für irgendeine Version erstellt wurden. :)

    https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2
    https://doc.pfsense.org/index.php/IKEv2_with_EAP-TLS

    Gruß



  • Hallo,

    hab mich bei der Einrichtung ganz an diese hier gehalten: https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html

    Nun weis ich echt nicht mehr weiter, wo hier der fehler ist und wie man das behebt. Kannst du zum log was sagen, wo er steht was er nicht  macht aber machen sollte? Ich benötige einen anhaltspunkt oder so was ?!

    Grüße