Recherche utilisateurs pfSense 2.2 et Mac OS X 10.9/10.10 - VPN IPsec



  • Bonjour à tous,

    Je recherche des utilisateurs pfSense 2.2, exploitant un VPN IPSec depuis un Mac OS X 10.9 ou 10.10, pour retour d'expérience. Le matériel utilisé est un Alix APU1D.

    Je rencontre des difficultés de connexion lors de la Phase 1 :

    racoon: ERROR: none message must be encrypted
    

    J'ai fouillé sur le Net et ai trouvé aussi ce lien sur le forum pfSense :
    https://doc.pfsense.org/index.php/IPsec_Troubleshooting#Renegotiation_Errors

    Les différents essais ne sont pas concluant, quels que soient les conseils prodigués.

    Je retrouve également dans un sujet le même message d'erreur dans les logs IPSec, à savoir [ N(AUTH_FAILED) ]

    Feb 12 22:44:33 pfSenseBox charon: 08[ENC] generating INFORMATIONAL_V1 request 2272843524 [ N(AUTH_FAILED) ]
    

    https://forum.pfsense.org/index.php?topic=85152.15

    Pour vérifier si la config VPN IPSec est bonne ou pas, j'ai installé un produit commercial, VPN Tracker - http://www.vpntracker.com/us/index.html

    Les essais réalisés sont concluants : j'arrive à me connecter sans soucis.

    Le même type de configuration IPSec sur un pfSense 2.1 ne pose pas de soucis, j'arrive à me connecter avec le client intégré à Mac OS X.

    Je suppose que le changement induit dans la version 2.2 de pfSense sur IPSec a donc un impact, ou alors le setting côté serveur serait à adapter. Je ne vous cache pas que la config du Client intégré à Mac OS X est réduit :

    • IP Distante,
    • Login/pass,
    • PreShared Key,
    • Nom du Groupe (Réglage Peer Identifier dans pfSense)

    Si il y a donc sur cette section française des utilisateurs sous Mac OS X, je suis preneur de vos expériences en la matière. Pour information, pas de soucis en VPN OpenVPN et le client Viscosity - https://www.sparklabs.com/viscosity/

    Merci :-)



  • Quelques précisions :
    Vous avez migré un 2.1.x vers un 2.2 ou c'est une nouvelle installation ?

    Pour information, pas de soucis en VPN OpenVPN et le client Viscosity

    On parle bien d'IpSec ? il n'y a aucun rapport entre ipsec et openvpn. On pourrait dire comme le train à la voiture les deux servent à se déplacer mais les points communs s'arrêtent là.
    Votre tunnel IpSec, côté serveur utilise bien une PSK , pas des certificats ?

    Pour vérifier si la config VPN IPSec est bonne ou pas, j'ai installé un produit commercial, VPN Tracker - http://www.vpntracker.com/us/index.html

    Les essais réalisés sont concluants : j'arrive à me connecter sans soucis.

    Sue cette base ma première conclusion serait que le client IpSec que vous essayez d'utiliser sur le MAC n'est pas compatible avec le serveur. Ce ne serait pas la première fois. L’interopérabilité n'a jamais été le point fort d'IpSEc. Récemment j'ai interconnecté deux réseaux avec Pfsense d'un côté et Cisco ASA de l'autre côté sans difficulté. Avec un Netscreen , il semble me souvenir que cela ne fonctionne pas. Le client IpSec de l'Iphone 4 fonctionne avec Pfsense par exemple (c'est un client Cisco en fait).
    Je vous laisse préciser tout cela pour y voir plus clair.



  • C'est une installation neuve, boitier livré en pfSense 2.2. La configuration est bien de type PSK, pas de certificat. J'ai testé Mutual PSK ou Mutual PSK + XAuth : idem.

    Je partage l'avis sur l'intégration d'IPSec par la firme à la pomme : entre les mises à jour de sécurité qui foirent IPSec ou autres, il y a de quoi se poser la question toute légitime de passer par des solutions tierces plus efficientes ;-)

    Je vous recommande VPN Tracker, si vous aviez besoin d'intégrer des tunnels IPSec + Mac OS X, d'autant plus que le support est réactif et très compétent en cas de soucis.

    En complément, je suis tout à fait conscient que IPSec et OpenVPN n'ont rien à voir, mais je précisais dans mon post initial que sur ce point là OpenVPN, pas de soucis : ouf !

    On peut clore ce sujet ;-)

    Cordialement.