trueblack
May 07, 2012, updated at Oct 18, 2012 (UTC)
view24891
view21
0
Goto Top

Pfsense L2TP over IPSec

GermansolvedQuestionLinux

Keine Verbindung zur Pfsense VPN mit L2TP over IPsec

Hallo,
ich habe auf einem Test System ein PFSense 2.0.1 installiert. Damit möchte ich eine VPN Verbindung(L2TP over IPsec) zum laufen bekommen. Das WAN und LAN habe ich konfiguriert und über das PFSense Interface kann ich den Client, welcher über ein Crossover Kabel mit dem Testsystem verbunden ist, anpingen. Jetzt habe ich die VPN wie in dieser Anleitung [url]http://doc.pfsense.org/index.php/Mobile_IPsec_on_2.0[/url] eingerichtet. Aber ich kann mich einfach nicht Verbinden =/ Windows 7 sagt immer wieder "Fehler 789".

Hier nochmal alles in Stichpunkten:
- Enstehen soll eine L2TP over IPsec Verbindung
- Es sollen sich Mobile Clients Verbinden(Testweise ein Netbook mit einem Crossover Kabel, später dann Smartphones mit Android und iOS)
- Eingerichtet nach der Oberen Anleitung
- In der Firewall ist alles Freigegeben(siehe untere Screenshots)
- Windows 7 als Client(später auch Mac OS und Linux)

Bilder:
c75ade6033d89ef27e78872945ba00fc
8bc0d2261b99a607e688d7ce9d659537
2b650a03407ee57ffc122620c0d8a3b8
492df2c789da89d22fe8af29e680bb0e
0725958b7c3e4c604bf52823668db753
6a48aa510903282c9607d1c31391eb85
c3eca76243e7c2741d06223e7ae8ee6c
69a64c4f4196d35e383d511ce3991a28
1abe76584f80c7bc9512c3063ddf709f
c7673fcb97c5aa703ae9a59d49a7e19d
a3a2f92fe610b708c5c79d97fc11f537
89b3e538c6540fd7e591482cfeb5b273
55fed6c10aed30ae5cea7077885c633b
aebfb86a50ab6a458c1a738cd6f9efbf
88087e2ff24b3b43bd4a2013bc3d33cc
20bafffd888e4ca68e9bdf643332dcb4
d43bb400e03e294a44765c73246fc6ee

May 2 14:57:52 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:52 racoon: INFO: begin Identity Protection mode.
May 2 14:57:52 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:52 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:52 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:52 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:52 racoon: ERROR: invalid DH group 20.
May 2 14:57:52 racoon: ERROR: invalid DH group 19.
May 2 14:57:52 racoon: ERROR: no suitable proposal found.
May 2 14:57:52 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:52 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:52 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:53 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:53 racoon: INFO: begin Identity Protection mode.
May 2 14:57:53 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:53 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:53 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:53 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:53 racoon: ERROR: invalid DH group 20.
May 2 14:57:53 racoon: ERROR: invalid DH group 19.
May 2 14:57:53 racoon: ERROR: no suitable proposal found.
May 2 14:57:53 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:53 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:53 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:55 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:55 racoon: INFO: begin Identity Protection mode.
May 2 14:57:55 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:55 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:55 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:55 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:55 racoon: ERROR: invalid DH group 20.
May 2 14:57:55 racoon: ERROR: invalid DH group 19.
May 2 14:57:55 racoon: ERROR: no suitable proposal found.
May 2 14:57:55 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:55 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:55 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:59 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:59 racoon: INFO: begin Identity Protection mode.
May 2 14:57:59 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:59 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:59 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:59 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:59 racoon: ERROR: invalid DH group 20.
May 2 14:57:59 racoon: ERROR: invalid DH group 19.
May 2 14:57:59 racoon: ERROR: no suitable proposal found.
May 2 14:57:59 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:59 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:59 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.

Nachdem ich dann Folgender Anleitung nachgegangen bin:
http://dekapitein.vorkbaard.nl/tech-1/how-to-set-up-ipsec-tunneling-in- ...

So, ich hab jetzt alles eingestellt nach der Anleitung. Auch die Firewall(obwohl drin steht das man das nicht braucht). Jetzt bekomm ich keinerlei Logs im "IPsec" Bereich und in den Logs der Firewall wird Port 500 und 137 von 10.0.0.2(meinem Client) geblockt o.0

Am Client erscheint immernoch Fehler 789

Jetzt habe ich noch folgendes probiert:
Ich hab von "aggresive" auf "main" umgestellt, die Firewall komplett ausgeschaltet am pfsense und Nat-T auf disabled gestellt. Nur bekomm ich bei IPsec folgenden Log:

May 3 16:02:18 racoon: INFO: unsupported PF_KEY message REGISTER
May 3 16:05:06 racoon: INFO: unsupported PF_KEY message REGISTER
May 3 16:05:20 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:20 racoon: INFO: begin Identity Protection mode.
May 3 16:05:20 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:20 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:20 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:20 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:20 racoon: ERROR: invalid DH group 20.
May 3 16:05:20 racoon: ERROR: invalid DH group 19.
May 3 16:05:20 racoon: ERROR: no suitable proposal found.
May 3 16:05:20 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:20 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:20 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:21 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:21 racoon: INFO: begin Identity Protection mode.
May 3 16:05:21 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:21 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:21 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:21 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:21 racoon: ERROR: invalid DH group 20.
May 3 16:05:21 racoon: ERROR: invalid DH group 19.
May 3 16:05:21 racoon: ERROR: no suitable proposal found.
May 3 16:05:21 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:21 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:21 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:23 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:23 racoon: INFO: begin Identity Protection mode.
May 3 16:05:23 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:23 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:23 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:23 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:23 racoon: ERROR: invalid DH group 20.
May 3 16:05:23 racoon: ERROR: invalid DH group 19.
May 3 16:05:23 racoon: ERROR: no suitable proposal found.
May 3 16:05:23 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:23 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:23 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:27 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:27 racoon: INFO: begin Identity Protection mode.
May 3 16:05:27 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:27 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:27 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:27 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:27 racoon: ERROR: invalid DH group 20.
May 3 16:05:27 racoon: ERROR: invalid DH group 19.
May 3 16:05:27 racoon: ERROR: no suitable proposal found.
May 3 16:05:27 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:27 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:27 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 184566

Url: https://administrator.de/contentid/184566

Printed on: April 20, 2024 at 00:04 o'clock

21 Comments
Latest comment
Goto Top
Member: ChrisIO
ChrisIO May 07, 2012 at 09:04:08 (UTC)
Goto Top
Hey,

was hast Du denn eigentlich vor?
Also Du hast dort eine PfSense Firewall, auf was für Hardware läuft die denn?
Ist es einer dieser netten Kästen hier aus dem Forum, oder läuft Die vielleicht auf einem kleinen Server, der ehe noch genügend Ressourcen über hat?
Wan und Lan sind konfiguriert?
Hast Du die Firewall(PfSense) direkt an ein DSL- oder Kabelmodem gehängt oder steht da eventuell noch ein Router dazwischen?
An die Firewall hast Du nun einen Client angeschlossen.
Nun möchtest Du eine VPN-Verbindung von wo nach wo erzeugen?
Von einem aussenstehenden Client durch die Firewall mit dem Client hinter der Firewall in deinem Netzwerk?
Oder von deinem Client, durch die Firewall in ein aussenstehendes Netz?
Ich gehe mal vom Ersteren aus und frage mich wo dein VPN-Server steht.
Gebe doch mal bitte ein paar mehr Infos, sonst muss man zu viel mit der Glaskugel arbyten.

Greetz,
Chris

P.S.: Warum muss es eigentlich das genannte VPN-Protokoll sein, wegen der Windows7-Clients?
Vielleicht gibt es da bessere Lösungen die Du garnicht in Betracht ziehst.
Also würd ich das anders anfangen und dein Ziel definieren und nicht gleich aufs Protokoll festlegen, oder Dieses zumindest begründen.
Member: TrueBlack
TrueBlack May 07, 2012 at 09:13:57 (UTC)
Goto Top
Hallo,
also das ganze ist ein Testsystem was hier noch zur verfügung war! Es läuft nicht im Netz, der WAN Port ist mit einem Crossover-Kabel mit dem Client verbunden. LAN und WAN haben folgende einstellugen:
WAN: 10.0.0.1/24, kein DHCP
LAN: 192.168.1.1/24, DHCP von 192.168.1.100 bis 192.168.1.200
Client: Windows 7, IP: 10.0.0.2/24

Wie gesagt es ist nur das PFsense und mein Client, keine Firewall oder ähnliches.
Und Grundsätz habe ich folgendes vor:
Ich möchte mich mit meinem Windows 7 Client mit meiner L2TP over IPsec VPN verbinden, zuerst mit einem PSK(PreShared-Key) und wenn das funktioniert möchte ich mit Zertifikaten arbeiten. Es sollen sich jeweils 1 Windows 7 Client, Linux Client, Mac OS X Client sowie iPhone und Android Gerät damit verbinden können. Aber erstmal reicht nur der Windows 7 Client face-smile
Member: aqui
aqui May 07, 2012, updated at Sep 09, 2021 at 11:15:06 (UTC)
Goto Top
Zuallererst: Bitte verschone uns alle hier mit diesen unsäglichen externen Bilderlinks und der damit verbundenen Zwangswerbung !
Beim Erstellen dieses Threads wird dir nicht entgangen sein das dort ein nicht zu übersehender "Bilder Hochladen" Button zu sehen ist. (Ansonsten Klicke auf "Meine Beiträge" wähle deinen Thread aus und "Bearbeiten" !)
Damit kannst du deine Bilder hier hochladen und den dann erscheinenden Bilder URL mit einem Rechtsklick und Cut and Paste in jeglichen text hier bringen. Statt des URLs werden dann deinen Bilder angezeigt. Klappt übrigens auch noch wenn man es nachträglich macht !
Wir haben hier nämlich alle keine Lust "Drakensang" zu spielen und nach Schweden mit der Stena wollen wir erst recht nicht !! Unterlasse das also bitte !
Einfach mal die FAQs lesen...das hilft wirklich !!
Zurück zu deinem Problem....

Für den Test gehst du schon richtig vor. Der Testaufbau sollte so aussehen:
(Client)----Ethernet----(WAN_Port=pfSense=LANPort)----Ethernet----(Lokales LAN)
Nun sind ein paar Punkte essentiell wichtig die du unbedingt überprüfen musst:
  • WAN Port sollte natürlich auf eine statische IP gesetzt werden zum testen die mit der Client IP korrespondiert.
  • Der WAN Port blockiert als Default alle RFC 1918 IP Adressen (Private IPs). Hast du also im WAN Segment wo der L2TP Client hängt private IP Adressen 192er, 172er oder 10er vergeben musst du zwingend diesen Haken bei Interface --> WAN --> "Block private networks" entfernen ! Andernfalls werden generell alle privaten IPs geblockt und nix geht.
  • Ist das geschehen musst du zusätzlich die L2TP Ports am WAN Port in dessen Firewall Regeln eingehend erlauben, sonst kommt dort nie dein L2TP Traffic an !! Hier musst du also von "Any" auf die "WAN Port IP Adresse" die Ports UDP 500, UDP 4500, TCP 1701, ESP Protokoll erlauben (Pass).
  • Deine IP Adressierung des L2TP ist totaler Blödsinn: Erstens kann man keine Netzwerk IPs an Endgeräte vergeben (.0) und 2tens sind Server und Clients in völlig verschiedenen IP Segmenten (.2.0 und .3.0) was unsinnig ist. Server gehört z.B. auf 192.168.2.1 und die Client Range kann bei 192.168.2.10 beginnen ! Du solltest zudem davon Abstand nehmen diese dümmlichen 192er Allerwelts IPs zu verwenden und #comment-toc7 DAS hier dazu lesen ! Bedenke das diese IP Netze KEINE sein dürfen die schon auf der pfSense verwendet werden !
  • Der Fehler 789 besagt übrigens das du das falsche Authentisierungs Verfahren verwendest http://support.microsoft.com/kb/326751/de
Erst dann ist aller Weg frei für die L2TP Pakete auf die WAN IP der pfSense !
Hast du das so entsprechend eingerichtet ?? Erst dann sehen wir mal mit L2TP weiter ?
Bzw. erklärt die dieses Forentutorial die umfassende Lösung:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Member: TrueBlack
TrueBlack May 07, 2012 at 09:40:40 (UTC)
Goto Top
Wegen den Bilder-Links:
Tut mir leid =/ Hab den Button nicht bemerkt und bin eig. immer ein Freund von solchen Externen-Service, diese z.B hat überhaupt keine Werbung und zeigt nur das Bild an sowie unten den Banner des Dienstes. Ich werden die Bilder aber nochmal hier hochladen und meine Links rauß löschen face-smile --> Done!

Zum Problem:
Ja genau so hab ichs aufgebaut. Nur das am LAN-Port noch ein Client zur einrichtung hängt ^^
Der WAN-Port ist statisch, die Einstellung habe ich auch vorgenommen.
Unter Firewall -> Rules -> WAN hab ich nun Folgende Regeln:
d43bb400e03e294a44765c73246fc6ee
Member: aqui
aqui May 07, 2012 at 10:03:20 (UTC)
Goto Top
..."diese z.B hat überhaupt keine Werbung " Das meinst du nicht im Ernst, oder ? Klick mal auf deine eigenen Bilder, da wirst du erschlagen von Piraten, Zootieren, Drakensang und Co. und wenn du das schliessen willst gehen gleich noch 3 weitere Browserfenster auf !! Genau deshalb lieben wir hier alle solcherlei Links....

Deine Firewall Regeln sind soweit OK.
Wenn du nun noch die IP Adressierung in der L2TP Einrichtung angepasst hast, und die Authentisierung im Windows Client angepasst hast kommen wir schon mal nen Schritt weiter...
Wie du den Client einrichtest (Windows) steht hier:
http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/ ...
Bedenke auch das dein oben zitiertes HowTo NUR für iOS und Android gilt ! Nicht aber für einen Windows L2TP Client der ein anderes Authentisierungsverfahren benutzt !
Member: TrueBlack
TrueBlack May 07, 2012 at 10:09:39 (UTC)
Goto Top
*schäm* Ich hab nichts gesagt face-smile (Schon doof wenn man den Adblock verdrängt ^^, ohne haben mich auch die Tiere angefallen)

Wie meinst du das? Unter VPN -> L2TP ? Dort habe ich jetzt folgendes Eingetragen:
d527a77ce2114fb24dfd4c6b8ae88418
*war ein falsches Bild verlinkt*
Member: aqui
aqui May 07, 2012 at 10:27:41 (UTC)
Goto Top
An der Firewall liegt es nicht, das ist doch klar und zeigen auch die Logs. Da kommt schon alles richtig an !
Es scheitert am IPsec Phase 1 Prozess schon !
Bedenke auch das dein oben zitiertes HowTo NUR für iOS und Android gilt ! Nicht aber für einen Windows L2TP Client der ein anderes Authentisierungsverfahren benutzt !
Folglich musst du für Windows andere Phase 1 Parameter einstellen !
Member: TrueBlack
TrueBlack May 07, 2012 at 10:56:48 (UTC)
Goto Top
Hab gerade erst deine Edits gesehen ...

Ich hatte alle Einstellungen vom Pfsense zurückgesetzt, nun habe ich alles so eingestellt:
(nach dieser Anleitung für Windows http://dekapitein.vorkbaard.nl/tech-1/how-to-set-up-ipsec-tunneling-in- ..)

Phase1:
2aa14d92b38dcc0824662e8abc52ac3e

Phase2:
5c7e5c84d2dd3bd7765637b95600dbc8

Mobile Clients:
1c2637fc34137f4edf28390a4fad0b49

Am Client:
Internet Adresse: 10.0.0.1
Zielname: Pfsense
Benutzername: windows7 (hab ich so unter VPN -> L2TP -> User eingetragen)
Kennwort: vpn

In den Erweiterten Einstellungen:
Sicherheit -> VPN-Typ
L2TP/IPSEC

Sicherheit -> VPN-Typ --> Erweitert
Vorinstallierten Schlüssel...
l2tpoveripsec

Sicherheit -> Datenverschlüsselung
Optimal

Sicherheit -> Authentifizierung
CHAP & MS-CHAP v2

Netzwerk
IPv6 und Dateifreigabe deaktiviert

Wegen den IPs:
Ist der 192.168 Range für mein Test sehr störend? Im neuen Bild habe ich ja bei L2TP wie folgt geändert:
Server: 192.168.1.201/24
Remoterange: 192.168.2.0/24

Aber nach deiner Aussage wäre folgendes besser:
Server: 192.168.2.1/24
Remoterange: 192.168.2.10/32

Hab ich das so richtig verstanden?

EDIT:
Bei den Einstellungen bekomm ich folgendes...

Windows 7 Client:
Fehler 809 "Verbindung konnte nicht hergestellt werden, da der Remote-Server nicht Antwortet..."

IPsec Log:
May 7 09:54:33 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 09:54:33 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 09:54:33 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 09:54:33 racoon: ERROR: glob found no matches for path "/var/etc/racoon.conf"
May 7 09:54:33 racoon: ERROR: could not read configuration file "/var/etc/racoon.conf"
May 7 10:00:48 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 10:00:48 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 10:00:48 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 10:00:48 racoon: ERROR: glob found no matches for path "/var/etc/racoon.conf"
May 7 10:00:48 racoon: ERROR: could not read configuration file "/var/etc/racoon.conf"
May 7 10:04:30 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 10:04:30 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 10:04:30 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 10:04:30 racoon: INFO: Resize address pool from 0 to 253
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[4500] used for NAT-T
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[4500] used as isakmp port (fd=14)
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[500] used for NAT-T
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[500] used as isakmp port (fd=15)
May 7 10:04:30 racoon: INFO: unsupported PF_KEY message REGISTER
May 7 10:06:10 racoon: INFO: unsupported PF_KEY message REGISTER
May 7 10:48:52 racoon: INFO: caught signal 15
May 7 10:48:52 racoon: INFO: racoon process 49735 shutdown
May 7 10:48:57 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 10:48:57 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 10:48:57 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 10:48:57 racoon: INFO: Resize address pool from 0 to 253
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[4500] used for NAT-T
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[4500] used as isakmp port (fd=14)
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[500] used for NAT-T
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[500] used as isakmp port (fd=15)
May 7 10:48:58 racoon: INFO: unsupported PF_KEY message REGISTER
May 7 10:48:58 racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.1/32 192.168.1.0/24 proto=any dir=out
May 7 10:48:58 racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24 192.168.1.1/32 proto=any dir=in

Das komische ist nur, dass ich den Client(mit der IP 10.0.0.2) vom Pfsense(10.0.0.1) anpingen kann...

PING 10.0.0.2 (10.0.0.2) from 10.0.0.1: 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=128 time=0.555 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=128 time=0.578 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=128 time=0.376 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=128 time=0.395 ms
64 bytes from 10.0.0.2: icmp_seq=4 ttl=128 time=0.374 ms
64 bytes from 10.0.0.2: icmp_seq=5 ttl=128 time=0.565 ms
64 bytes from 10.0.0.2: icmp_seq=6 ttl=128 time=0.383 ms
64 bytes from 10.0.0.2: icmp_seq=7 ttl=128 time=0.374 ms
64 bytes from 10.0.0.2: icmp_seq=8 ttl=128 time=0.357 ms
64 bytes from 10.0.0.2: icmp_seq=9 ttl=128 time=0.385 ms

--- 10.0.0.2 ping statistics ---
10 packets transmitted, 10 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.357/0.434/0.578/0.087 ms
Member: schmidtshauser
schmidtshauser May 07, 2012 at 10:57:41 (UTC)
Goto Top
Wieso mit L2TP herumquälen, gibt doch eine tolle openvpn integration in pfsense, wenn du neben Windows sowieso iOS und Android benutzen willst.

Ton ausschalten und das hier mal anschauen.

https://www.youtube.com/watch?v=odjviG-KDq8
Member: TrueBlack
TrueBlack May 07, 2012 at 11:05:01 (UTC)
Goto Top
Ich soll es mit L2TP umsetzten face-smile

- L2TP over IPSec
- Keine extra Software
- Zertifikat und Benutzer/Passwort abfrage

Ich möchte es aber erstmal mit PSK probieren um ein gefühl dafür zubekommen, die Zertifikate guck ich mir danach an.
Member: aqui
aqui May 07, 2012 at 13:21:27 (UTC)
Goto Top
Mit diesen Settings funktioniert es mit einem Winblows 7 Client absolut fehlerfrei:
IPsec Phase 1 Einstellungen:
7f8bdc50a48558a56a3e939bdc81920f

IPsec Phase 2 Einstellungen:
7a03527fd106e1486dbd4e9559f14ea1

Mobile Clients Einstellungen:
44e2110c6326974dd72ff5dd443b2b69

L2TP Einstellungen:
64080163d8af61f0a41f4416fbcd421c

Windows 7 Client Settings
3cf38978ca685e50c6ec6da8b4062bde
und für den PSK Schlüssel:
06268f1c56a9be74a2bb44f1080b110b

Fertisch !
Member: TrueBlack
TrueBlack May 07, 2012 at 13:51:38 (UTC)
Goto Top
Vielen Dank schonmal face-smile

EDIT:
Okay, hab bei IPsec -> PSK -> die IP meines Client eingetragen sowie den PSK aus L2TP. Jetzt habe ich eine Verbindung :D Endlich ein Erfolgsgefühl face-smile

Vor dem Edit:

Ich hab jetzt alles nach deinen Screens eingestellt, ich bekomme aber trozdem einen Fehler 789. Aus dem unterem Log schlägt mir " ERROR: couldn't find the pskey for 10.0.0.2." ins Auge. Aber den habe ich dem User zugewiesen. Nur für mein verständnis:

Im Pfsense:
bei VPN -> L2TP -> Secret habe ich z.B "l2tpoveripsec" eingegeben.
Unter VPN -> L2TP -> User habe ich einen User "windows7" mit dem Passwort "vpn".
Unter VPN -> IPsec -> PreSharedKey habe ich nichts eingetragen. Das ist so richtig oder irre ich mich?

Beim Windows Client:
Bei L2TP -> Erweiterte Einstellungen -> Schlüssel -> l2tpoveripsec
Bei der Anmeldemaske -> windows7 und vpn

May 7 13:58:32 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 7 13:58:32 racoon: INFO: begin Identity Protection mode.
May 7 13:58:32 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 7 13:58:32 racoon: INFO: received Vendor ID: RFC 3947
May 7 13:58:32 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 7 13:58:32 racoon: INFO: received Vendor ID: FRAGMENTATION
May 7 13:58:32 racoon: [10.0.0.2] INFO: Selected NAT-T version: RFC 3947
May 7 13:58:32 racoon: ERROR: invalid DH group 20.
May 7 13:58:32 racoon: ERROR: invalid DH group 19.
May 7 13:58:32 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 13:58:32 racoon: INFO: NAT-D payload verified
May 7 13:58:32 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 13:58:32 racoon: INFO: NAT-D payload #1 verified
May 7 13:58:32 racoon: INFO: NAT not detected
May 7 13:58:32 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 13:58:32 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 13:58:32 racoon: INFO: Adding remote and local NAT-D payloads.
May 7 13:58:32 racoon: [10.0.0.2] ERROR: couldn't find the pskey for 10.0.0.2.
May 7 13:58:32 racoon: [10.0.0.2] ERROR: failed to process ph1 packet (side: 1, status: 4).
May 7 13:58:32 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
Member: aqui
aqui May 07, 2012 at 14:48:51 (UTC)
Goto Top
Bei VPN -> L2TP -> Secret musst du nichts eintragen. Das Passwort ist optional wird aber bei Win VPN nicht genutzt deshalb ist es im obigen Screenshot auch leer !
Unter VPN -> IPsec -> PreSharedKey habe ich nichts eingetragen. "
Nein ! Das ist falsch ! Dort muss natürlich ein Preshared Key rein sonst kommt die IPsec Verbindung nicht zustande.
Dieser Key ist exakt der, der in den Client Settings unter VPN Typ in den Erweiterten Einstellungen eingetragen wird !! (Letztes Bild --> "Vorinstallierter Schlüssel"....) !!
Diese beiden Keys müssen identisch sein und konfiguriert sein !! Klar...
Der L2TP Username und Passwort ist das was du im Client unter User/Passwort eingibst !
Member: TrueBlack
TrueBlack May 07, 2012 at 14:48:56 (UTC)
Goto Top
So ich Antworte nochmal mit ein paar Fragen.

Ich bin jetzt Verbunden und hab die VPN-Verbindung als Heimnetzwerk Angegeben. Jetzt hab ich mir mit "ipconfig -all" die IP-Adresse etc. sagen lassen, folgendes kommt dabei rauß:

Beschreibung: Pfsense
Physikalische Adresse:
DHCP: Nein
Autokonfiguration: Ja
IPv4: 192.168.10.8
Subnetmaske: 255.255.255.255
Standard Gateway: 0.0.0.0
DNS-Server: 192.168.1.1
NetBIOS über TCP/IP: aktiviert

Sollte das Standard Gateway nicht 192.168.1.1 bzw. eigentlich 192.168.10.1 sein?

Und jetzt Sry für eine Dumme Frage(mir wurde eig. gesagt, es gibt keine Dummen Fragen aber ich glaube manche werden jetzt schmunzelt)....
Ich wollte jetzt mit dem Client 1 der über die VPN-Verbindung mit dem Pfsense verbunden ist den Client 2 anpingen(192.168.1.100), das ist aber nicht möglich. Es sollte aber doch eig. kein Problem sein oder?


Log-Datei:
May 7 14:49:18 racoon: INFO: deleting a generated policy.
May 7 14:49:18 racoon: INFO: purged IPsec-SA proto_id=ESP spi=1790706849.
May 7 14:49:18 racoon: [Self]: INFO: ISAKMP-SA expired 10.0.0.1[500]-10.0.0.2[500] spi:468a209911b00192:14e7a9130d245cc6
May 7 14:49:18 racoon: [Self]: INFO: ISAKMP-SA deleted 10.0.0.1[500]-10.0.0.2[500] spi:468a209911b00192:14e7a9130d245cc6
May 7 14:49:29 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 7 14:49:29 racoon: INFO: begin Identity Protection mode.
May 7 14:49:29 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 7 14:49:29 racoon: INFO: received Vendor ID: RFC 3947
May 7 14:49:29 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 7 14:49:29 racoon: INFO: received Vendor ID: FRAGMENTATION
May 7 14:49:29 racoon: [10.0.0.2] INFO: Selected NAT-T version: RFC 3947
May 7 14:49:29 racoon: ERROR: invalid DH group 20.
May 7 14:49:29 racoon: ERROR: invalid DH group 19.
May 7 14:49:29 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 14:49:29 racoon: INFO: NAT-D payload verified
May 7 14:49:29 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 14:49:29 racoon: INFO: NAT-D payload #1 verified
May 7 14:49:29 racoon: INFO: NAT not detected
May 7 14:49:29 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 14:49:29 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 14:49:29 racoon: INFO: Adding remote and local NAT-D payloads.
May 7 14:49:30 racoon: [Self]: INFO: ISAKMP-SA established 10.0.0.1[500]-10.0.0.2[500] spi:4e095b24ed04eba1:fd335fe4d3dc15ed
May 7 14:49:30 racoon: [Self]: INFO: respond new phase 2 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 7 14:49:30 racoon: INFO: no policy found, try to generate the policy : 10.0.0.2/32[1701] 10.0.0.1/32[1701] proto=udp dir=in
May 7 14:49:30 racoon: [Self]: INFO: IPsec-SA established: ESP 10.0.0.1[500]->10.0.0.2[500] spi=40995158(0x2718956)
May 7 14:49:30 racoon: [Self]: INFO: IPsec-SA established: ESP 10.0.0.1[500]->10.0.0.2[500] spi=1304828139(0x4dc618eb)
Member: aqui
aqui May 07, 2012 at 14:56:45 (UTC)
Goto Top
Sollte das Standard Gateway nicht 192.168.1.1 bzw. eigentlich 192.168.10.1 sein?
Ja natürlich. Das kannst du in den L2TP Einstellungen im pfSense eingeben wie auch den DNS Server wenn du da einen anderen haben willst !
Achte zudem darauf das im Windows Client der Haken in den Erweiterten Eigenschaften des IP4 Protokolls bei "Standardgateway für das Remotenetzwerk..." entfernt ist sofern du mit aktivem VPN Client auch noch im lokalen LAN arbeiten willst.
Ansonsten wird bei aktivem VPN Client ALLES in den Tunnel geroutet.
Zudem musst du auf dem nun angezeigten L2TP Interface im pfSense eine FW Regel erstellen. Default ist das alles geblockt wird. Hier musst du "any any" einstellen oder L2TP Clients nach any oder je nachdem was du steuern willst. Ansonsten wird dort auch alles geblockt ! Ist halt ne Firewall.... da ist alles verboten was nicht ausdrücklich erlaubt ist ! face-wink
Member: TrueBlack
TrueBlack May 07, 2012 at 15:15:18 (UTC)
Goto Top
Ja natürlich. Das kannst du in den L2TP Einstellungen im pfSense eingeben wie auch den DNS Server wenn du da einen anderen haben willst !

Ich habe bei VPN -> L2TP nur WINS, DNS, und Radius. Und das ist ja alles nicht das Standard Gateway ^^ vlt. bin ich nach 5 Std. VPN auch Blind geworden face-smile

Das hatte ich noch Vergessen mit aufzuschreiben, es soll alles über die VPN laufen face-smile Ein Bein im Firmennetzwerk und eins im Lokalem finde ich Persönlich auch ein wenig Riskant face-smile

Die Firewall hab ich jetzt wie folgt eingestellt:
Firewall -> Rules -> L2TP VPN
Interface: L2TP VPN
Protocol: any
Source: any
Destination: any
Destination port range: any to any

Ansonsten wird dort auch alles geblockt ! Ist halt ne Firewall.... da ist alles verboten was nicht ausdrücklich erlaubt ist ! face-wink
Den Spruch merk ich mir face-smile
Member: TrueBlack
TrueBlack May 13, 2012 at 11:59:40 (UTC)
Goto Top
Problem gelöst face-smile

Der Post von aqui mit seinen Einstellungen ist des Rätsels lösung ;)

Hier gehts zu meinem neuen Problem face-smile
Pfsense Zertifikate VPN
Member: Huhjukel
Huhjukel May 13, 2012 at 20:04:41 (UTC)
Goto Top
Hallo TrueBlack und aqui,

ich habs das auch mal auf meiner Pfsense probiert um damit eine Verbindung zu einem Iphone herzustellen.

Mein erster großer Fehler war, dass ich mit dem Iphone eine Verbindung nutzte zum Wlan das an der Pfsense Firewall eingestöpselt ist, mit diesem Aufbau konnte ich zwar laut dem Iphone einen Tunnel aufbauen, aber ich konnte mit Safari keine Seite aufrufen face-smile

Nach dem ich dann Wifi deaktiviert hatte, sah es dann besser aus. Surfen mit Safarie war möglich. Um zu testen ob das nun auch wirklich über meine Firewall läuft , hab ich bei Youtube ein paar Clips angeschaut und und im Pfsense unter Status > RRD Graph die Graphen für das Ipsec Interface und das WAN Interface angesehen. Hat alles OK ausgesehen. Was mich dann aber etwas verwundert hat, dass mir das Ipsec Widgets im Dashboard, 0 Active Tunnels und 1 Inactive Tunnel angezeigt wird. Auch bei Status Ipsec wird in der Spalte "Status" ein gelb-organgens umrahmtes Kreuz angezeigt face-sad

Es geht wird, aber nicht angezeigt....
Wie muss man den die Einstellungen ändern, dass man mit dem Tunnel vom Wlan per VPN ins LAN Netz kommt.

öömmm, kann mir mal einer die Tomaten von den Augen nehmen und mir zeigen wo der Bilder hochladen Button ist, damit ich ein Bild vom Ipsec Log hochladen kann?

Grüße, Huhjukel
Member: aqui
aqui May 14, 2012, updated at Sep 09, 2021 at 11:19:07 (UTC)
Goto Top
@Huhjukel
Vergiss L2TP auf dem iPhone und nimmt PPTP als VPN Protokoll. Ist genauso sicher wenn du ein starkes Passwort verwendest (12 Stellen minimum) und lässt sich erheblich leichter einrichten und verwalten auf der pfSense !
Nicht mehr up to date da PPTP weithin als geknackt gilt und unsicher ist:
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...

L2TP oder native IPsec bzw. OpenVPN oder Wireguard (letztere erfordern aber immer externen Client !) ist also das VPN der Wahl.
Member: Huhjukel
Huhjukel May 15, 2012 at 16:30:29 (UTC)
Goto Top
Hallo aqui,

danke für die Links, die sind echt super erklärt, damit bekomme es auch ich hin face-smile

Trotzdem hab ich noch zwei Fragen.

1. Wie lange darf das Passwort maximal sein?
2. Was bringt bei dem Vorhaben von TrueBlack, die Verschachtelung von IpSec und L2TP, auser dass er auf der Windowsseite nur mit Boardmitteln arbeiten kann. (Was mir übrigends sehr zusagt).

Gruß Huhjukel

P.S. Werde jetzt aber zuerst mal schauen wie ich VPN on Demand auf meinen Iphone einrichten muss, die ständige aktiviererei vom Tunnel nervt.
Member: aqui
aqui May 16, 2012, updated at Sep 09, 2021 at 11:19:35 (UTC)
Goto Top
1.) So lang wie du möchstest. Sicher und wasserdicht sind PPTP Passwörter mit 12 Stellen und mehr.
2.) Die Frage ist unverständlich ?? L2TP ist immer eine Kombination mit IPsec. L2TP nutzt IPsec immer als Transport. Wo genau ist dein Punkt ??
GermansolvedQuestionLinux
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment