c.r.s.
Jan 24, 2015
view3919
view9
2
Goto Top

PfSense 2.2 verfügbar

GermanGeneralFirewallSecurity
Es ist soweit, die neue pfSense-Version ist da. Sie bringt einige spannende Änderungen mit, vor allem im Bereich VPN.

Dank IKEv2 und L2TP/IPsec ist es nun möglich, die integrierten Clients von Windows und Windows Phone zu nutzen.

https://blog.pfsense.org/?p=1546
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 261019

Url: https://administrator.de/contentid/261019

Printed on: April 25, 2024 at 16:04 o'clock

9 Comments
Latest comment
Goto Top
Member: orcape
orcape Jan 24, 2015 at 19:13:43 (UTC)
Goto Top
Hi,
und Danke für den Link.
Schnurrt super auf dem ALIX und ein paar "Schönheitskorrekturen" den GUI betreffend sind auch mit eingeflossen.
Gruß orcape
heart1
Member: schicksal
schicksal Jan 25, 2015 at 16:58:58 (UTC)
Goto Top
"Dank IKEv2 und L2TP/IPsec ist es nun möglich, die integrierten Clients von Windows und Windows Phone zu nutzen."


Gibt es da schon eine Anleitung,, ich hab es schon mal mit der Beta probiert, aber es bisweilen noch nicht hingebracht?
Member: DCFan01
DCFan01 Jan 27, 2015 updated at 11:24:34 (UTC)
Goto Top
Das würde mich auch sehr interessieren.

Werde die Tage wieder mal ne PF SENSE auf nem schönen ALIX-Board in Betrieb nehmen, daer würde mich für die Road Warrior ein Howto zu neu implementierten VPN-Funktionen bzw Protokollen sehr interessieren, da der Shrew VPN Client bei einigen Rechnern bei mir immer wieder Probleme verursacht hat , warum auch immer...
Member: C.R.S.
C.R.S. Jan 27, 2015 at 11:21:23 (UTC)
Goto Top
Mir fehlt jetzt die Zeit, aber wenn man in die Konfigurationsdateien schaut, müsste eigentlich alles, was es schon zu strongSwan gibt, Anhaltspunkte liefern:

https://wiki.strongswan.org/projects/strongswan/wiki/Windows7
Member: dirkschwarz
dirkschwarz Jan 30, 2015 at 07:43:54 (UTC)
Goto Top
Hallo zusammen,

hat das schon mal jemand hinbekommen?

"Dank IKEv2 und L2TP/IPsec ist es nun möglich, die integrierten Clients von Windows und Windows Phone zu nutzen".

..und Lust mal eine kleine Anleitung zu schreiben? Ich bekome es nicht hin!

Danke & Schönen Tag noch
Member: schicksal
schicksal Jan 30, 2015 at 08:15:25 (UTC)
Goto Top
Ich "spiele" mich auch schon seit einigen Tagen, hänge auch.
Member: JudgeDredd
JudgeDredd Jan 30, 2015 at 11:29:48 (UTC)
Goto Top
Hallo,

es geht hier zwar offensichtlich speziell um Windows ipSec Connect, aber ich stelle meine Frage mal in Bezug auf das pfSense Update.

Ich hatte eine funktionierenden ipSec Verbindung (Mutual PSK + Xauth) zwischen meiner pfSense und meinem Android Mobilgerät.
Seit dem besagten Update von 2.1.5 -> 2.2, funktioniert obiger Tunnel leider nicht mehr.
Ich habe testweise mal auf pfSense 2.1.5 zurückgedreht und alles war wieder berstens.

Offensichtlich hängt mein Problem mit dem neuen "strongSwan" zusammen.

Evtl. hat ja schon jemand meine Konstellation nach dem Update zum laufen gebracht und könnte mir mal seine Einstellungen "verraten".

Gruß,
Andreas
Member: C.R.S.
C.R.S. Jan 30, 2015 at 19:59:11 (UTC)
Goto Top
Für L2TP/IPsec gibt es eine Anleitung: https://doc.pfsense.org/index.php/L2TP/IPsec

IKEv2 habe ich jetzt mal von der Konfiguration her plausibel aufgesetzt und muss auch passen: Die Phase 1 scheitert immer an 13801, sowohl mit Computerzertifikaten, EAP-TLS als auch EAP-MSCHAP v2.

Jan 30 20:48:52 	charon: 16[MGR] check-in of IKE_SA successful.
Jan 30 20:48:52 	charon: 16[MGR] <con1|99> check-in of IKE_SA successful.
Jan 30 20:48:52 	charon: 05[NET] sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500]
Jan 30 20:48:52 	charon: 05[NET] sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500]
Jan 30 20:48:52 	charon: 16[MGR] checkin IKE_SA con1[99]
Jan 30 20:48:52 	charon: 16[MGR] <con1|99> checkin IKE_SA con1[99]
Jan 30 20:48:52 	charon: 16[NET] sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500] (1596 bytes)
Jan 30 20:48:52 	charon: 16[NET] <con1|99> sending packet: from 192.168.88.99[4500] to 192.168.88.105[4500] (1596 bytes)
Jan 30 20:48:52 	charon: 16[IKE] sending end entity cert "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=ipsecserver"  
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> sending end entity cert "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=ipsecserver"  
Jan 30 20:48:52 	charon: 16[IKE] authentication of '192.168.88.99' (myself) with RSA signature successful  
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> authentication of '192.168.88.99' (myself) with RSA signature successful  
Jan 30 20:48:52 	charon: 16[IKE] peer supports MOBIKE
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> peer supports MOBIKE
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_SERVER attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_SERVER attribute
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_NBNS attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_NBNS attribute
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_DNS attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_DNS attribute
Jan 30 20:48:52 	charon: 16[IKE] processing INTERNAL_IP4_ADDRESS attribute
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> processing INTERNAL_IP4_ADDRESS attribute
Jan 30 20:48:52 	charon: 16[IKE] initiating EAP_IDENTITY method (id 0x00)
Jan 30 20:48:52 	charon: 16[IKE] <con1|99> initiating EAP_IDENTITY method (id 0x00)
Jan 30 20:48:52 	charon: 16[IKE] received 28 cert requests for an unknown ca
Jan 30 20:48:52 	charon: 16[IKE] <99> received 28 cert requests for an unknown ca
Jan 30 20:48:52 	charon: 16[IKE] received cert request for unknown ca with keyid xx:xx...
Jan 30 20:48:52 	charon: 16[IKE] <99> received cert request for unknown ca with keyid xx:xx...
...
Jan 30 20:48:52 	charon: 16[IKE] received cert request for unknown ca with keyid xx:xx...
Jan 30 20:48:52 	charon: 16[IKE] <99> received cert request for unknown ca with keyid xx:xx...
Jan 30 20:48:52 	charon: 16[IKE] received cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:52 	charon: 16[IKE] <99> received cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:52 	charon: 16[NET] received packet: from 192.168.88.105[4500] to 192.168.88.99[4500] (828 bytes)
Jan 30 20:48:52 	charon: 16[NET] <99> received packet: from 192.168.88.105[4500] to 192.168.88.99[4500] (828 bytes)
Jan 30 20:48:52 	charon: 16[MGR] IKE_SA (unnamed)[99] successfully checked out
Jan 30 20:48:52 	charon: 16[MGR] IKE_SA (unnamed)[99] successfully checked out
Jan 30 20:48:52 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:52 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:52 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:52 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:52 	charon: 04[NET] received packet: from 192.168.88.105[4500] to 192.168.88.99[4500]
Jan 30 20:48:52 	charon: 04[NET] received packet: from 192.168.88.105[4500] to 192.168.88.99[4500]
Jan 30 20:48:51 	charon: 16[MGR] check-in of IKE_SA successful.
Jan 30 20:48:51 	charon: 16[MGR] <99> check-in of IKE_SA successful.
Jan 30 20:48:51 	charon: 05[NET] sending packet: from 192.168.88.99[500] to 192.168.88.105[500]
Jan 30 20:48:51 	charon: 05[NET] sending packet: from 192.168.88.99[500] to 192.168.88.105[500]
Jan 30 20:48:51 	charon: 16[MGR] checkin IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[MGR] <99> checkin IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[NET] sending packet: from 192.168.88.99[500] to 192.168.88.105[500] (337 bytes)
Jan 30 20:48:51 	charon: 16[NET] <99> sending packet: from 192.168.88.99[500] to 192.168.88.105[500] (337 bytes)
Jan 30 20:48:51 	charon: 16[IKE] sending cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:51 	charon: 16[IKE] <99> sending cert request for "C=DE, ST=Berlin, L=Berlin, O=Company, E=info@company.com, CN=company-ipsec"  
Jan 30 20:48:51 	charon: 16[IKE] IKE_SA (unnamed)[99] state change: CREATED => CONNECTING
Jan 30 20:48:51 	charon: 16[IKE] <99> IKE_SA (unnamed)[99] state change: CREATED => CONNECTING
Jan 30 20:48:51 	charon: 16[IKE] 192.168.88.105 is initiating an IKE_SA
Jan 30 20:48:51 	charon: 16[IKE] <99> 192.168.88.105 is initiating an IKE_SA
Jan 30 20:48:51 	charon: 16[NET] received packet: from 192.168.88.105[500] to 192.168.88.99[500] (616 bytes)
Jan 30 20:48:51 	charon: 16[NET] <99> received packet: from 192.168.88.105[500] to 192.168.88.99[500] (616 bytes)
Jan 30 20:48:51 	charon: 16[MGR] created IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[MGR] created IKE_SA (unnamed)[99]
Jan 30 20:48:51 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:51 	charon: 16[MGR] checkout IKE_SA by message
Jan 30 20:48:51 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:51 	charon: 04[NET] waiting for data on sockets
Jan 30 20:48:51 	charon: 04[NET] received packet: from 192.168.88.105[500] to 192.168.88.99[500]

Bei Gelegenheit werde ich das noch mal mit extern generierten Zertifikaten probieren.
Member: DCFan01
DCFan01 Feb 02, 2015 updated at 22:19:21 (UTC)
Goto Top
Also ich habe am Wochenende 1 PF SENSE 2.2 aufgesetzt und auch gleich paar VPV_Verbindungen für die Road Warrior erstellt.

Verbindungen klappen mit dem oben genannten How_To von PF SENSE selbst (zumindest mit PSK) wunderbar (L2TP over IPSEC) mit dem Ob-Board VPN-Client von Windows 7 und einer PF SENSE 2.2

An Zertifikate mache ich demnächst dann auch noch, wenn ich mal Zeit habe
GermanGeneralFirewallSecurity
More from C.R.S.C.R.S.Defenseless: Spectre Mitigations LeveragedC.R.S. - 9 Comments
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments