letstryandfindout
Aug 24, 2016
view6797
view18
0
Goto Top

Site-to-Site Verbindung mit Pfsense 2.3.2 auf APU Board

GermansolvedQuestionProtocolsNetworks
Hallo zusammen, ich bin absolut am verzweifeln. Ich will meine Monowalls durch Pfsense ersetzen und habe das zum Test nun mal an 2 Standorten gemacht. Ich bekomme aber absolut keine VPN Verbindung hin. Kann mir eventuell wer sagen ob es einen Trick gibt?

Key Exchange 1
Internet Protocol IPv4
Interface Wan
Remote Gateway IP from the other site

P1
Authentication Method: Mutual PSK
Negotiation mode: Aggressive
My identifier: My IP Adress
Peer identifier: Peer IP Adress
Presherdkey: ...
Encryption AES
Hash: SHA1
DH Group 2
Lifetime 28800
Enablde DPD 10/5

P2
Mode Tunnel IPv4
Local Network LAN Subnet
Remote Network Network 192.168.x.x/24
Protocoll ESP
Encryption AES256
Hash SHA1
PFS off
Lifetime 3600

Wenn ich die Config so habe bekomme ich:

Aug 24 09:12:42 charon 16[ENC] <con1000|9> parsed INFORMATIONAL_V1 request 874233868 [ N(AUTH_FAILED) ]
Aug 24 09:12:42 charon 16[IKE] <con1000|9> received AUTHENTICATION_FAILED error notify

Wenn ich nun folgendes ändre:

My identifier: My IP Adress
Peer identifier: Peer IP Adress

zu

My identifier: Distinguished name pfsense.localdomain
Peer identifier: any

bekomme ich

Aug 24 09:21:44 charon 15[ENC] <con1000|15> parsed INFORMATIONAL_V1 request 719346522 [ N(INVAL_KE) ]
Aug 24 09:21:44 charon 15[IKE] <con1000|15> received INVALID_KE_PAYLOAD error notify

und auf der anderen Seite

Aug 24 09:30:36 charon 11[IKE] <6> no shared key found for 'pfSense.localdomain'[172.31.xxx.xxx] - '213.200.xxx.xxx'[213.200.xxx.xxx]
Aug 24 09:30:36 charon 11[IKE] <6> no shared key found for 172.31.xxx.xxx - 213.200.xxx.xxx

Ich weiss ehrlich gesagt nicht mehr weiter ...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 313423

Url: https://administrator.de/contentid/313423

Printed on: April 25, 2024 at 18:04 o'clock

18 Comments
Latest comment
Goto Top
Member: michi1983
michi1983 Aug 24, 2016 at 07:51:25 (UTC)
Goto Top
Hallo,

hast du dieses Tutorial genau gelesen?

Kollege @aqui hat sich die Mühe gemacht Schritt für Schritt zu erklären wie man sowas macht und auf was es drauf an kommt - worauf man achten muss.

Gruß
Mitglied: 119944
119944 Aug 24, 2016 at 07:56:56 (UTC)
Goto Top
Moin,

die Identifier als IP Adresse sind schon richtig!
Ich würde 3 Sachen ändern:
  • Main Mode anstelle Aggressive Mode (gibts bei IKEv2 nicht mehr)
  • IKEv2 anstelle von IKEv1 verwenden
  • Verschlüsselung bei P1 und P2 auf AES256 sowie SHA256 ändern + DH Group 14

Probier das mal aus und achte darauf, dass beide Seiten gleich konfiguriert sind!

VG
Val
Member: letstryandfindout
letstryandfindout Aug 24, 2016 at 08:05:37 (UTC)
Goto Top
Hallo Val ich habe nun beide Seiten mal angepasst auf deine Werte. Hab auch beide Seiten nebeneinander um Fehler auszuschliessen. Ich bekomme auf der einen Seite nun:

Aug 24 10:04:48 charon 08[CFG] received stroke: terminate 'con1'
Aug 24 10:04:48 charon 08[CFG] no IKE_SA named 'con1' found
Aug 24 10:04:48 charon 14[CFG] received stroke: initiate 'con1'
Aug 24 10:04:48 charon 08[IKE] <con1|5> initiating IKE_SA con1[5] to 213.200.xxx.xxx
Aug 24 10:04:48 charon 08[ENC] <con1|5> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Aug 24 10:04:48 charon 08[NET] <con1|5> sending packet: from 172.31.xxx.xxx[500] to 213.200.xxx.xxx[500] (464 bytes)
Aug 24 10:04:49 charon 08[NET] <con1|5> received packet: from 213.200.xxx.xxx[500] to 172.31.xxx.xxx[500] (464 bytes)
Aug 24 10:04:49 charon 08[ENC] <con1|5> parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Aug 24 10:04:49 charon 08[IKE] <con1|5> local host is behind NAT, sending keep alives
Aug 24 10:04:49 charon 08[IKE] <con1|5> remote host is behind NAT
Aug 24 10:04:49 charon 08[IKE] <con1|5> authentication of '172.31.xxx.xxx' (myself) with pre-shared key
Aug 24 10:04:49 charon 08[IKE] <con1|5> establishing CHILD_SA con1
Aug 24 10:04:49 charon 08[ENC] <con1|5> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ]
Aug 24 10:04:49 charon 08[NET] <con1|5> sending packet: from 172.31.xxx.xxx[4500] to 213.200.xxx.xxx[4500] (256 bytes)
Aug 24 10:04:49 charon 08[NET] <con1|5> received packet: from 213.200.xxx.xxx[4500] to 172.31.xxx.xxx[4500] (80 bytes)
Aug 24 10:04:49 charon 08[ENC] <con1|5> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Aug 24 10:04:49 charon 08[IKE] <con1|5> received AUTHENTICATION_FAILED notify error

und die andere Seite sagt mir:

Aug 24 10:04:48 charon 06[NET] <5> received packet: from 213.200.229.167[500] to 172.31.xxx.xxx[500] (464 bytes)
Aug 24 10:04:48 charon 06[ENC] <5> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Aug 24 10:04:48 charon 06[IKE] <5> 213.200.229.167 is initiating an IKE_SA
Aug 24 10:04:49 charon 06[IKE] <5> local host is behind NAT, sending keep alives
Aug 24 10:04:49 charon 06[IKE] <5> remote host is behind NAT
Aug 24 10:04:49 charon 06[ENC] <5> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Aug 24 10:04:49 charon 06[NET] <5> sending packet: from 172.31.xxx.xxx[500] to 213.200.229.167[500] (464 bytes)
Aug 24 10:04:49 charon 06[NET] <5> received packet: from 213.200.229.167[4500] to 172.31.xxx.xxx[4500] (256 bytes)
Aug 24 10:04:49 charon 06[ENC] <5> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ]
Aug 24 10:04:49 charon 06[CFG] <5> looking for peer configs matching 172.31.xxx.xxx[213.200.xxx.xxx]...213.200.229.167[172.31.xxx.xxx]
Aug 24 10:04:49 charon 06[CFG] <bypasslan|5> selected peer config 'bypasslan'
Aug 24 10:04:49 charon 06[IKE] <bypasslan|5> no shared key found for '213.200.xxx.xxx' - '172.31.xxx.xxx'
Aug 24 10:04:49 charon 06[IKE] <bypasslan|5> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Aug 24 10:04:49 charon 06[ENC] <bypasslan|5> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Aug 24 10:04:49 charon 06[NET] <bypasslan|5> sending packet: from 172.31.xxx.xxx[4500] to 213.200.229.167[4500] (80 bytes)
Mitglied: 119944
Solution 119944 Aug 24, 2016 at 08:43:56 (UTC)
Goto Top
Du hast definitiv irgendwo einen Fehler in deiner Konfig.
Eine Seite arbeitet mit einer öffentlichen und die andere mit einer privaten IP Adresse:
Aug 24 10:04:49 charon 06[NET] <5> sending packet: from 172.31.xxx.xxx[500] to 213.200.229.167[500] (464 bytes)
Aug 24 10:04:49 charon 06[NET] <5> received packet: from 213.200.229.167[4500] to 172.31.xxx.xxx[4500] (256 bytes)

Bei mir werden dort sauber beide öffentliche IP Adressen angezeigt. Dein WAN wird ja wohl kaum eine private IP Adresse haben? Oder CGN?

VG
Val
Member: letstryandfindout
letstryandfindout Aug 24, 2016 at 08:48:13 (UTC)
Goto Top
Fehler gefunden. My identifier musste ich auf IP ändern und die public IP eingeben.
Mitglied: 119944
119944 Aug 24, 2016 at 10:21:29 (UTC)
Goto Top
Ok super face-smile und mit AES256, SHA256 und DH-Group 14 bist du auch von der Verschlüsselung her auf der sicheren Seite!
Member: aqui
aqui Aug 24, 2016 at 10:31:14 (UTC)
Goto Top
Kostet aber unnötig Performance auf dem APU. Mit seinen AES256 und SHA1 ist er auch gut aufgestellt... face-wink
Member: letstryandfindout
letstryandfindout Aug 26, 2016 at 08:03:35 (UTC)
Goto Top
Wirklich stress hat sie nicht mit:

• CPU: AMD Embedded G series GX-412TC, 1 GHz quad Jaguar core with 64 bit and AES-NI support, 32K data + 32K instruction cache per core, shared 2MB L2 cache.
• DRAM: 4 GB DDR3-1333 DRAM
Member: aqui
aqui Aug 26, 2016 at 09:17:41 (UTC)
Goto Top
Das stimmt, das ist das neue APU2 Board face-wink
Member: letstryandfindout
letstryandfindout Aug 26, 2016 at 12:35:15 (UTC)
Goto Top
Jup läuft noch super :D mit ner 16 GB SSD :D
Member: aqui
aqui Aug 26, 2016 updated at 18:54:31 (UTC)
Goto Top
Eine simple 8 Gig SD Karte im Onboard SD Slot hätte auch gereicht face-wink
Member: Kuemmel
Kuemmel Oct 27, 2016 at 09:10:36 (UTC)
Goto Top
Zitat von @aqui:

Eine simple 8 Gig SD Karte im Onboard SD Slot hätte auch gereicht face-wink

Nein. Bei der APU2 nicht mehr.

Mail vom PCEngines-Support:
Beim apu2 empfiehlt es sich jedoch nicht von SD zu booten, da der SD Slot direkt an der CPU hängt und das SDHCI Modul benötigt...
Member: aqui
aqui Oct 27, 2016 updated at 13:28:50 (UTC)
Goto Top
Danke fürs Feedback...wieder was gelernt. Nur WAS ist das für ein ominöses "Modul" ??
SD Slot ist ja SD Slot...egal wo er dran hängt. Solange das APU davon booten kann..?!
Fragt sich dann wie man auf ein mSATA die NanoBSD Version bekommt ??
Aber es gibt m.E. USB Sticks mit mSATA Adapter.
Member: Kuemmel
Kuemmel Oct 27, 2016 updated at 13:39:43 (UTC)
Goto Top
Garnicht. Man benutzt i. d. R. das memstick-Image:
http://blog.hinni.solutions/pfsense-on-a-apu1d4/
bzw.
http://www.pcengines.info/forums/?page=post&id=52A3FAF6-A192-40CB-8 ...
Member: aqui
aqui Oct 27, 2016 updated at 13:46:18 (UTC)
Goto Top
...was ja aber nicht gerade sehr SSD Flash freundlich ist. Aber bei SSDs ist das ja nicht wirklich relevant...das ist richtig.
Meine APU1Ds laufen jedenfalls alles wunderbar mit SDs face-wink
2er hab ich noch nicht in den Fingern gehabt.
Member: Kuemmel
Kuemmel Oct 28, 2016 at 20:02:35 (UTC)
Goto Top
Ich schreib die nächsten Tage mal eine Anleitung. @aqui, du bekommst die dann natürlich persönlich in dein privates Postfach gesendet wenn es soweit ist! face-wink
Member: aqui
aqui Oct 29, 2016 at 22:58:00 (UTC)
Goto Top
Das ist doch mal ne klasse Idee !
Ich kann aber auch wie ein normaler User hier DEINE Anleitung lesen... face-big-smile
Member: Kuemmel
Kuemmel Oct 30, 2016 at 08:04:22 (UTC)
Goto Top
So bitteschön:
PfSense auf apu2c2 oder apu2c4 installieren
GermansolvedQuestionProtocolsNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 Comments