Ipsec VPN Einstellungen für Connect mit nm-applet

nobanzai

Hi *,

trotz stundenlangem Studium der diversen Anleitungen habe ich es bisher nicht hinbekommen, ein ipsec VPN auf meinen pfSensen so zu konfigurieren, dass ein Linux-Client via nm-applet (GNOME NetworkManager Applet unter Plasma 5) eine funktionierende Verbindung darauf konfigurieren und aufbauen kann 8-<
Derselbe Client kann gegen ein ipsec VPN auf einem Linux-Server ohne Probleme connecten - dort hatte ich allerdings "pubkey" eingestellt.
Auf den pfSensen ist momentan "eap-tls" eingestellt, wenn etwas Anderes einfacher/besser ist, ist mir das auch recht. "pubkey" kennen die scheinbar nicht.

Beim Verbinden gegen die pfSensen kommt im Log immer:

constraint check failed: EAP identity '%any' required

Das bedeutet nach meinem Verständnis, dass für den Client keine passende Konfiguration gefunden wird.
Sehe ich das richtig? Und wenn ja, was muss ich wo einstellen, dass der Client zugeordnet werden kann?
Auf dem bisherigen ipsec Server hatte ich das auf den ASN.1 DN gesetzt, aber da finde ich in der pfSense-Konfiguration (zumindest in der GUI) keine passende Stelle ausser für den DN des Servers.

Danke und ciao.
Michael.

nobanzai

Tja, wie es aussieht, passen die möglichen Authentisierungsvarianten einfach nicht zusammen.
Auf dem Linux-Client habe ich im nm-applet nur entweder EAP oder Zertifikate als Möglichkeiten - nicht die Kombination. EAP-TLS gibt es da einfach nicht.
Auf Android kann ich auf EAP-TLS umstellen, aber dann werden nur Zertifikate genommen, auch kein Passwort.

Ich habe nirgendwo die Möglichkeit gefunden, die ich auf dem Linux-Server hatte:

rightauth = pubkey
  rightauth2 = eap-md5

Und auch die Möglichkeit der Client-Identifkation per ASN.1 DNB gitb es bei den pfSensen scheinbar nicht, d.h.

rightid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn client="">"
  leftid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn server="">"

klappt nur für den Server, nicht für den Client.</fqdn></ou></o></fqdn></ou></o>