Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ipsec VPN Einstellungen für Connect mit nm-applet

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 1 Posters 472 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nobanzai
      last edited by

      Hi *,

      trotz stundenlangem Studium der diversen Anleitungen habe ich es bisher nicht hinbekommen, ein ipsec VPN auf meinen pfSensen so zu konfigurieren, dass ein Linux-Client via nm-applet (GNOME NetworkManager Applet unter Plasma 5) eine funktionierende Verbindung darauf konfigurieren und aufbauen kann 8-<
      Derselbe Client kann gegen ein ipsec VPN auf einem Linux-Server ohne Probleme connecten - dort hatte ich allerdings "pubkey" eingestellt.
      Auf den pfSensen ist momentan "eap-tls" eingestellt, wenn etwas Anderes einfacher/besser ist, ist mir das auch recht. "pubkey" kennen die scheinbar nicht.

      Beim Verbinden gegen die pfSensen kommt im Log immer:

      constraint check failed: EAP identity '%any' required

      Das bedeutet nach meinem Verständnis, dass für den Client keine passende Konfiguration gefunden wird.
      Sehe ich das richtig? Und wenn ja, was muss ich wo einstellen, dass der Client zugeordnet werden kann?
      Auf dem bisherigen ipsec Server hatte ich das auf den ASN.1 DN gesetzt, aber da finde ich in der pfSense-Konfiguration (zumindest in der GUI) keine passende Stelle ausser für den DN des Servers.

      Danke und ciao.
      Michael.

      1 Reply Last reply Reply Quote 0
      • N
        nobanzai
        last edited by

        Tja, wie es aussieht, passen die möglichen Authentisierungsvarianten einfach nicht zusammen.
        Auf dem Linux-Client habe ich im nm-applet nur entweder EAP oder Zertifikate als Möglichkeiten - nicht die Kombination. EAP-TLS gibt es da einfach nicht.
        Auf Android kann ich auf EAP-TLS umstellen, aber dann werden nur Zertifikate genommen, auch kein Passwort.

        Ich habe nirgendwo die Möglichkeit gefunden, die ich auf dem Linux-Server hatte:

        rightauth = pubkey
          rightauth2 = eap-md5

        Und auch die Möglichkeit der Client-Identifkation per ASN.1 DNB gitb es bei den pfSensen scheinbar nicht, d.h.

        rightid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn client="">"
          leftid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn server="">"

        klappt nur für den Server, nicht für den Client.</fqdn></ou></o></fqdn></ou></o>

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.