comtel
Goto Top

PfSense IPsec Mobile Client und FritzBox kopplung

Hallo,
ich beschäftige mich schon eine Ganze weile mit dem IPsec in der pfSense. Ich denke, ich übersehe einfach nur was.
Folgendes Szenario habe ich vor.
iOS Mobile Client über IPsec
sowie eine Site-to-Site zur Fritz!Box
Die IPsec Verbindungen für sich (allein) laufen 1a, allerdings nur so lange, wie sie einzeln betrieben werden (Enabled/Disabled der einzelnen Phasen)

Ich habe schon einiges ausprobiert, sobald ich aber die Mobile Client Phase wieder aktiviere, klappt die Verbindung zur Fritz!Box nicht mehr.

Ich habe unter IPsec, 2 Phasen und die jeweiligen Phasen 2 angelegt

Siehe Screenshot

ae1474fa67182e163e596bf514f453ba

Content-Key: 285039

Url: https://administrator.de/contentid/285039

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: aqui
aqui 08.10.2015 um 16:25:08 Uhr
Goto Top
Mitglied: comtel
comtel 08.10.2015 um 16:30:56 Uhr
Goto Top
Natürlich face-smile
Es klappt ja auch für sich alleine jeweils immer alles.
Ich hatte erst den Mobile Client aktiviert, dieses hatte nach dem Unitymedia Problem dann auch geklappt.
Dann wollte ich eine Fritz!Box in einem Technikraum anbinden, das habe ich dann auch nach Deiner Anleitung gemacht. Klappte aber nur wenn ich Mobile Client IPsec deaktiviere.
Jetzt bin ich etwas ratlos, warum die Verbindung dann nicht zur Stande kommt.
Mitglied: comtel
comtel 08.10.2015 um 17:38:34 Uhr
Goto Top
Folgendes Steht im Log wenn beide Phasen aktiv sind und ich den Tunnel bei der Fritz!Box aktiviere:


Oct 8 17:33:40 	charon: 13[IKE] <21> ID_PROT request with message ID 0 processing failed
Oct 8 17:33:40 	charon: 13[IKE] <21> ID_PROT request with message ID 0 processing failed
Oct 8 17:33:40 	charon: 13[NET] <21> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (68 bytes)
Oct 8 17:33:40 	charon: 13[ENC] <21> generating INFORMATIONAL_V1 request 1818946211 [ HASH N(PLD_MAL) ]
Oct 8 17:33:40 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:40 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:40 	charon: 13[ENC] <21> could not decrypt payloads
Oct 8 17:33:40 	charon: 13[ENC] <21> invalid ID_V1 payload length, decryption failed?
Oct 8 17:33:40 	charon: 13[NET] <21> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (108 bytes)
Oct 8 17:33:36 	charon: 13[IKE] <21> INFORMATIONAL_V1 request with message ID 807488525 processing failed
Oct 8 17:33:36 	charon: 13[IKE] <21> INFORMATIONAL_V1 request with message ID 807488525 processing failed
Oct 8 17:33:36 	charon: 13[IKE] <21> ignore malformed INFORMATIONAL request
Oct 8 17:33:36 	charon: 13[IKE] <21> ignore malformed INFORMATIONAL request
Oct 8 17:33:36 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:36 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:36 	charon: 13[ENC] <21> could not decrypt payloads
Oct 8 17:33:36 	charon: 13[ENC] <21> invalid HASH_V1 payload length, decryption failed?
Oct 8 17:33:36 	charon: 13[NET] <21> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (84 bytes)
Oct 8 17:33:36 	charon: 13[NET] <con2000|18> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (68 bytes)
Oct 8 17:33:36 	charon: 13[IKE] <con2000|18> sending retransmit 5 of request message ID 0, seq 3
Oct 8 17:33:36 	charon: 13[IKE] <con2000|18> sending retransmit 5 of request message ID 0, seq 3
Oct 8 17:33:36 	charon: 13[IKE] <21> ID_PROT request with message ID 0 processing failed
Oct 8 17:33:36 	charon: 13[IKE] <21> ID_PROT request with message ID 0 processing failed
Oct 8 17:33:36 	charon: 13[NET] <21> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (68 bytes)
Oct 8 17:33:36 	charon: 13[ENC] <21> generating INFORMATIONAL_V1 request 1221880277 [ HASH N(PLD_MAL) ]
Oct 8 17:33:36 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:36 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:36 	charon: 13[ENC] <21> could not decrypt payloads
Oct 8 17:33:36 	charon: 13[ENC] <21> invalid ID_V1 payload length, decryption failed?
Oct 8 17:33:36 	charon: 13[NET] <21> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (108 bytes)
Oct 8 17:33:34 	charon: 13[IKE] <21> ID_PROT request with message ID 0 processing failed
Oct 8 17:33:34 	charon: 13[IKE] <21> ID_PROT request with message ID 0 processing failed
Oct 8 17:33:34 	charon: 13[NET] <21> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (68 bytes)
Oct 8 17:33:34 	charon: 13[ENC] <21> generating INFORMATIONAL_V1 request 847041782 [ HASH N(PLD_MAL) ]
Oct 8 17:33:34 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:34 	charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:34 	charon: 13[ENC] <21> could not decrypt payloads
Oct 8 17:33:34 	charon: 13[ENC] <21> invalid ID_V1 payload length, decryption failed?
Oct 8 17:33:34 	charon: 13[NET] <21> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (108 bytes)
Oct 8 17:33:33 	charon: 13[NET] <21> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (164 bytes)
Oct 8 17:33:33 	charon: 13[ENC] <21> generating ID_PROT response 0 [ KE No ]
Oct 8 17:33:33 	charon: 13[ENC] <21> parsed ID_PROT request 0 [ KE No ]
Oct 8 17:33:33 	charon: 13[NET] <21> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (148 bytes)
Oct 8 17:33:33 	charon: 13[NET] <21> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (132 bytes)
Oct 8 17:33:33 	charon: 13[ENC] <21> generating ID_PROT response 0 [ SA V V V ]
Oct 8 17:33:33 	charon: 13[IKE] <21> 95.193.178.174 is initiating a Main Mode IKE_SA
Oct 8 17:33:33 	charon: 13[IKE] <21> 95.193.178.174 is initiating a Main Mode IKE_SA
Oct 8 17:33:33 	charon: 13[IKE] <21> received DPD vendor ID
Oct 8 17:33:33 	charon: 13[IKE] <21> received DPD vendor ID
Oct 8 17:33:33 	charon: 13[IKE] <21> received XAuth vendor ID
Oct 8 17:33:33 	charon: 13[IKE] <21> received XAuth vendor ID
Oct 8 17:33:33 	charon: 13[ENC] <21> parsed ID_PROT request 0 [ SA V V ]
Mitglied: comtel
comtel 08.10.2015 um 17:43:15 Uhr
Goto Top
Diese Meldung kommt wenn nur die Phase der Fritz!Box aktiv ist, der Tunnel steht dann auch:

Oct 8 17:39:39 	charon: 08[IKE] <con2000|22> CHILD_SA con2000{12} established with SPIs cf61571e_i 2a5f4ef3_o and TS 192.168.177.0/24|/0 === 192.168.176.0/24|/0
Oct 8 17:39:39 	charon: 08[IKE] <con2000|22> CHILD_SA con2000{12} established with SPIs cf61571e_i 2a5f4ef3_o and TS 192.168.177.0/24|/0 === 192.168.176.0/24|/0
Oct 8 17:39:39 	charon: 08[ENC] <con2000|22> parsed QUICK_MODE request 2654362397 [ HASH ]
Oct 8 17:39:39 	charon: 08[NET] <con2000|22> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (52 bytes)
Oct 8 17:39:39 	charon: 08[NET] <con2000|22> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (276 bytes)
Oct 8 17:39:39 	charon: 08[ENC] <con2000|22> generating QUICK_MODE response 2654362397 [ HASH SA No KE ID ID ]
Oct 8 17:39:39 	charon: 08[ENC] <con2000|22> parsed QUICK_MODE request 2654362397 [ HASH SA No KE ID ID ]
Oct 8 17:39:39 	charon: 08[NET] <con2000|22> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (260 bytes)
Oct 8 17:39:38 	charon: 11[NET] <con2000|22> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (68 bytes)
Oct 8 17:39:38 	charon: 11[ENC] <con2000|22> generating ID_PROT response 0 [ ID HASH ]
Oct 8 17:39:38 	charon: 11[IKE] <con2000|22> maximum IKE_SA lifetime 28549s
Oct 8 17:39:38 	charon: 11[IKE] <con2000|22> maximum IKE_SA lifetime 28549s
Oct 8 17:39:38 	charon: 11[IKE] <con2000|22> scheduling reauthentication in 28009s
Oct 8 17:39:38 	charon: 11[IKE] <con2000|22> scheduling reauthentication in 28009s
Oct 8 17:39:38 	charon: 11[IKE] <con2000|22> IKE_SA con2000[22] established between 140.178.55.94[140.178.55.94]...95.193.178.174[testen.selfhost.eu]
Oct 8 17:39:38 	charon: 11[IKE] <con2000|22> IKE_SA con2000[22] established between 140.178.55.94[140.178.55.94]...95.193.178.174[testen.selfhost.eu]
Oct 8 17:39:38 	charon: 11[CFG] <22> selected peer config "con2000"  
Oct 8 17:39:38 	charon: 11[CFG] <22> looking for pre-shared key peer configs matching 140.178.55.94...95.193.178.174[testen.selfhost.eu]
Oct 8 17:39:38 	charon: 11[ENC] <22> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Oct 8 17:39:38 	charon: 11[NET] <22> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (108 bytes)
Oct 8 17:39:38 	charon: 11[NET] <22> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (164 bytes)
Oct 8 17:39:38 	charon: 11[ENC] <22> generating ID_PROT response 0 [ KE No ]
Oct 8 17:39:38 	charon: 11[ENC] <22> parsed ID_PROT request 0 [ KE No ]
Oct 8 17:39:38 	charon: 11[NET] <22> received packet: from 95.193.178.174[500] to 140.178.55.94[500] (148 bytes)
Oct 8 17:39:38 	charon: 11[NET] <22> sending packet: from 140.178.55.94[500] to 95.193.178.174[500] (132 bytes)
Oct 8 17:39:38 	charon: 11[ENC] <22> generating ID_PROT response 0 [ SA V V V ]
Oct 8 17:39:38 	charon: 11[IKE] <22> 95.193.178.174 is initiating a Main Mode IKE_SA
Oct 8 17:39:38 	charon: 11[IKE] <22> 95.193.178.174 is initiating a Main Mode IKE_SA
Oct 8 17:39:38 	charon: 11[IKE] <22> received DPD vendor ID
Oct 8 17:39:38 	charon: 11[IKE] <22> received DPD vendor ID
Oct 8 17:39:38 	charon: 11[IKE] <22> received XAuth vendor ID
Oct 8 17:39:38 	charon: 11[IKE] <22> received XAuth vendor ID
Oct 8 17:39:38 	charon: 11[ENC] <22> parsed ID_PROT request 0 [ SA V V ]
Mitglied: aqui
aqui 08.10.2015 aktualisiert um 19:11:05 Uhr
Goto Top
Mmmhhh. Du musst auf alle Fälle 2 Templates erstellen. Was genau meinst du mit "Phasen" ??
Phase 1 und 2 ist die IPsec Authentication selber..
Sorgen bereiten höchstens
Oct 8 17:33:36 charon: 13[IKE] <21> message parsing failed
Oct 8 17:33:36 charon: 13[ENC] <21> could not decrypt payloads
Oct 8 17:33:36 charon: 13[ENC] <21> invalid HASH_V1 payload length, decryption failed?

Da stimmt ja generell was mit dem IKE (UDP 500) nicht und den Cipher Suites.
Achte darauf das die immer gleich sind zwischen dem Client und dem dazugehörigen Template und dem Site to Site VPN.
Mitglied: comtel
comtel 13.10.2015 um 19:07:35 Uhr
Goto Top
Ich möchte gerne lösen face-smile

Ich musste tatsächlich den PSK für Phase 1 bei allen Tunneln gleich setzen. Danach klappten alle Verbindungen gleichzeitig ohne Fehler.
Ob das allerdings so sinnig ist, sei einmal dahin gestellt.
Wenn man den Mobile Client nicht verwendet, kann man hier auch verschiedene PSK in den verschiedenen Phasen 1 einsetzen.
Die Phase 2 von den einzelnen Tunneln können natürlich unterschiedlich sein.
Mitglied: the-buccaneer
the-buccaneer 28.02.2016 um 16:20:03 Uhr
Goto Top
Danke für deine Rückmeldung. Das wars. Ich kann bestätigen, dass bei aktiviertem Moblie Client Support mit StrongSwan auf der PfSense 2.2.x die PSK's alle gleich sein müssen. Das war mit dem Racoon auf der 2.1.x noch nicht so.

Buc