Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Pfsense L2TP over IPSec

Frage Linux

Mitglied: TrueBlack

TrueBlack (Level 1) - Jetzt verbinden

07.05.2012, aktualisiert 18.10.2012, 21144 Aufrufe, 21 Kommentare

Keine Verbindung zur Pfsense VPN mit L2TP over IPsec

Hallo,
ich habe auf einem Test System ein PFSense 2.0.1 installiert. Damit möchte ich eine VPN Verbindung(L2TP over IPsec) zum laufen bekommen. Das WAN und LAN habe ich konfiguriert und über das PFSense Interface kann ich den Client, welcher über ein Crossover Kabel mit dem Testsystem verbunden ist, anpingen. Jetzt habe ich die VPN wie in dieser Anleitung [url]http://doc.pfsense.org/index.php/Mobile_IPsec_on_2.0[/url] eingerichtet. Aber ich kann mich einfach nicht Verbinden =/ Windows 7 sagt immer wieder "Fehler 789".

Hier nochmal alles in Stichpunkten:
- Enstehen soll eine L2TP over IPsec Verbindung
- Es sollen sich Mobile Clients Verbinden(Testweise ein Netbook mit einem Crossover Kabel, später dann Smartphones mit Android und iOS)
- Eingerichtet nach der Oberen Anleitung
- In der Firewall ist alles Freigegeben(siehe untere Screenshots)
- Windows 7 als Client(später auch Mac OS und Linux)

Bilder:
c75ade6033d89ef27e78872945ba00fc - Klicke auf das Bild, um es zu vergrößern
8bc0d2261b99a607e688d7ce9d659537 - Klicke auf das Bild, um es zu vergrößern
2b650a03407ee57ffc122620c0d8a3b8 - Klicke auf das Bild, um es zu vergrößern
492df2c789da89d22fe8af29e680bb0e - Klicke auf das Bild, um es zu vergrößern
0725958b7c3e4c604bf52823668db753 - Klicke auf das Bild, um es zu vergrößern
6a48aa510903282c9607d1c31391eb85 - Klicke auf das Bild, um es zu vergrößern
c3eca76243e7c2741d06223e7ae8ee6c - Klicke auf das Bild, um es zu vergrößern
69a64c4f4196d35e383d511ce3991a28 - Klicke auf das Bild, um es zu vergrößern
1abe76584f80c7bc9512c3063ddf709f - Klicke auf das Bild, um es zu vergrößern
c7673fcb97c5aa703ae9a59d49a7e19d - Klicke auf das Bild, um es zu vergrößern
a3a2f92fe610b708c5c79d97fc11f537 - Klicke auf das Bild, um es zu vergrößern
89b3e538c6540fd7e591482cfeb5b273 - Klicke auf das Bild, um es zu vergrößern
55fed6c10aed30ae5cea7077885c633b - Klicke auf das Bild, um es zu vergrößern
aebfb86a50ab6a458c1a738cd6f9efbf - Klicke auf das Bild, um es zu vergrößern
88087e2ff24b3b43bd4a2013bc3d33cc - Klicke auf das Bild, um es zu vergrößern
20bafffd888e4ca68e9bdf643332dcb4 - Klicke auf das Bild, um es zu vergrößern
d43bb400e03e294a44765c73246fc6ee - Klicke auf das Bild, um es zu vergrößern

May 2 14:57:52 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:52 racoon: INFO: begin Identity Protection mode.
May 2 14:57:52 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:52 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:52 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:52 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:52 racoon: ERROR: invalid DH group 20.
May 2 14:57:52 racoon: ERROR: invalid DH group 19.
May 2 14:57:52 racoon: ERROR: no suitable proposal found.
May 2 14:57:52 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:52 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:52 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:53 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:53 racoon: INFO: begin Identity Protection mode.
May 2 14:57:53 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:53 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:53 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:53 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:53 racoon: ERROR: invalid DH group 20.
May 2 14:57:53 racoon: ERROR: invalid DH group 19.
May 2 14:57:53 racoon: ERROR: no suitable proposal found.
May 2 14:57:53 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:53 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:53 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:55 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:55 racoon: INFO: begin Identity Protection mode.
May 2 14:57:55 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:55 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:55 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:55 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:55 racoon: ERROR: invalid DH group 20.
May 2 14:57:55 racoon: ERROR: invalid DH group 19.
May 2 14:57:55 racoon: ERROR: no suitable proposal found.
May 2 14:57:55 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:55 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:55 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 2 14:57:59 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 2 14:57:59 racoon: INFO: begin Identity Protection mode.
May 2 14:57:59 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 2 14:57:59 racoon: INFO: received Vendor ID: RFC 3947
May 2 14:57:59 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 2 14:57:59 racoon: INFO: received Vendor ID: FRAGMENTATION
May 2 14:57:59 racoon: ERROR: invalid DH group 20.
May 2 14:57:59 racoon: ERROR: invalid DH group 19.
May 2 14:57:59 racoon: ERROR: no suitable proposal found.
May 2 14:57:59 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 2 14:57:59 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 2 14:57:59 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.

Nachdem ich dann Folgender Anleitung nachgegangen bin:
http://dekapitein.vorkbaard.nl/tech-1/how-to-set-up-ipsec-tunneling-in- ...

So, ich hab jetzt alles eingestellt nach der Anleitung. Auch die Firewall(obwohl drin steht das man das nicht braucht). Jetzt bekomm ich keinerlei Logs im "IPsec" Bereich und in den Logs der Firewall wird Port 500 und 137 von 10.0.0.2(meinem Client) geblockt o.0

Am Client erscheint immernoch Fehler 789

Jetzt habe ich noch folgendes probiert:
Ich hab von "aggresive" auf "main" umgestellt, die Firewall komplett ausgeschaltet am pfsense und Nat-T auf disabled gestellt. Nur bekomm ich bei IPsec folgenden Log:

May 3 16:02:18 racoon: INFO: unsupported PF_KEY message REGISTER
May 3 16:05:06 racoon: INFO: unsupported PF_KEY message REGISTER
May 3 16:05:20 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:20 racoon: INFO: begin Identity Protection mode.
May 3 16:05:20 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:20 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:20 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:20 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:20 racoon: ERROR: invalid DH group 20.
May 3 16:05:20 racoon: ERROR: invalid DH group 19.
May 3 16:05:20 racoon: ERROR: no suitable proposal found.
May 3 16:05:20 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:20 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:20 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:21 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:21 racoon: INFO: begin Identity Protection mode.
May 3 16:05:21 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:21 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:21 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:21 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:21 racoon: ERROR: invalid DH group 20.
May 3 16:05:21 racoon: ERROR: invalid DH group 19.
May 3 16:05:21 racoon: ERROR: no suitable proposal found.
May 3 16:05:21 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:21 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:21 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:23 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:23 racoon: INFO: begin Identity Protection mode.
May 3 16:05:23 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:23 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:23 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:23 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:23 racoon: ERROR: invalid DH group 20.
May 3 16:05:23 racoon: ERROR: invalid DH group 19.
May 3 16:05:23 racoon: ERROR: no suitable proposal found.
May 3 16:05:23 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:23 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:23 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
May 3 16:05:27 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 3 16:05:27 racoon: INFO: begin Identity Protection mode.
May 3 16:05:27 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 3 16:05:27 racoon: INFO: received Vendor ID: RFC 3947
May 3 16:05:27 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 3 16:05:27 racoon: INFO: received Vendor ID: FRAGMENTATION
May 3 16:05:27 racoon: ERROR: invalid DH group 20.
May 3 16:05:27 racoon: ERROR: invalid DH group 19.
May 3 16:05:27 racoon: ERROR: no suitable proposal found.
May 3 16:05:27 racoon: [10.0.0.2] ERROR: failed to get valid proposal.
May 3 16:05:27 racoon: [10.0.0.2] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
May 3 16:05:27 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
Mitglied: ChrisIO
07.05.2012 um 11:04 Uhr
Hey,

was hast Du denn eigentlich vor?
Also Du hast dort eine PfSense Firewall, auf was für Hardware läuft die denn?
Ist es einer dieser netten Kästen hier aus dem Forum, oder läuft Die vielleicht auf einem kleinen Server, der ehe noch genügend Ressourcen über hat?
Wan und Lan sind konfiguriert?
Hast Du die Firewall(PfSense) direkt an ein DSL- oder Kabelmodem gehängt oder steht da eventuell noch ein Router dazwischen?
An die Firewall hast Du nun einen Client angeschlossen.
Nun möchtest Du eine VPN-Verbindung von wo nach wo erzeugen?
Von einem aussenstehenden Client durch die Firewall mit dem Client hinter der Firewall in deinem Netzwerk?
Oder von deinem Client, durch die Firewall in ein aussenstehendes Netz?
Ich gehe mal vom Ersteren aus und frage mich wo dein VPN-Server steht.
Gebe doch mal bitte ein paar mehr Infos, sonst muss man zu viel mit der Glaskugel arbyten.

Greetz,
Chris

P.S.: Warum muss es eigentlich das genannte VPN-Protokoll sein, wegen der Windows7-Clients?
Vielleicht gibt es da bessere Lösungen die Du garnicht in Betracht ziehst.
Also würd ich das anders anfangen und dein Ziel definieren und nicht gleich aufs Protokoll festlegen, oder Dieses zumindest begründen.
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 11:13 Uhr
Hallo,
also das ganze ist ein Testsystem was hier noch zur verfügung war! Es läuft nicht im Netz, der WAN Port ist mit einem Crossover-Kabel mit dem Client verbunden. LAN und WAN haben folgende einstellugen:
WAN: 10.0.0.1/24, kein DHCP
LAN: 192.168.1.1/24, DHCP von 192.168.1.100 bis 192.168.1.200
Client: Windows 7, IP: 10.0.0.2/24

Wie gesagt es ist nur das PFsense und mein Client, keine Firewall oder ähnliches.
Und Grundsätz habe ich folgendes vor:
Ich möchte mich mit meinem Windows 7 Client mit meiner L2TP over IPsec VPN verbinden, zuerst mit einem PSK(PreShared-Key) und wenn das funktioniert möchte ich mit Zertifikaten arbeiten. Es sollen sich jeweils 1 Windows 7 Client, Linux Client, Mac OS X Client sowie iPhone und Android Gerät damit verbinden können. Aber erstmal reicht nur der Windows 7 Client
Bitte warten ..
Mitglied: aqui
07.05.2012, aktualisiert 18.10.2012
Zuallererst: Bitte verschone uns alle hier mit diesen unsäglichen externen Bilderlinks und der damit verbundenen Zwangswerbung !
Beim Erstellen dieses Threads wird dir nicht entgangen sein das dort ein nicht zu übersehender "Bilder Hochladen" Button zu sehen ist. (Ansonsten Klicke auf "Meine Beiträge" wähle deinen Thread aus und "Bearbeiten" !)
Damit kannst du deine Bilder hier hochladen und den dann erscheinenden Bilder URL mit einem Rechtsklick und Cut and Paste in jeglichen text hier bringen. Statt des URLs werden dann deinen Bilder angezeigt. Klappt übrigens auch noch wenn man es nachträglich macht !
Wir haben hier nämlich alle keine Lust "Drakensang" zu spielen und nach Schweden mit der Stena wollen wir erst recht nicht !! Unterlasse das also bitte !
Einfach mal die FAQs lesen...das hilft wirklich !!
Zurück zu deinem Problem....

Für den Test gehst du schon richtig vor. Der Testaufbau sollte so aussehen:
(Client)----Ethernet----(WAN_Port=pfSense=LANPort)----Ethernet----(Lokales LAN)
Nun sind ein paar Punkte essentiell wichtig die du unbedingt überprüfen musst:
  • WAN Port sollte natürlich auf eine statische IP gesetzt werden zum testen die mit der Client IP korrespondiert.
  • Der WAN Port blockiert als Default alle RFC 1918 IP Adressen (Private IPs). Hast du also im WAN Segment wo der L2TP Client hängt private IP Adressen 192er, 172er oder 10er vergeben musst du zwingend diesen Haken bei Interface --> WAN --> "Block private networks" entfernen ! Andernfalls werden generell alle privaten IPs geblockt und nix geht.
  • Ist das geschehen musst du zusätzlich die L2TP Ports am WAN Port in dessen Firewall Regeln eingehend erlauben, sonst kommt dort nie dein L2TP Traffic an !! Hier musst du also von "Any" auf die "WAN Port IP Adresse" die Ports UDP 500, UDP 4500, TCP 1701, ESP Protokoll erlauben (Pass).
  • Deine IP Adressierung des L2TP ist totaler Blödsinn: Erstens kann man keine Netzwerk IPs an Endgeräte vergeben (.0) und 2tens sind Server und Clients in völlig verschiedenen IP Segmenten (.2.0 und .3.0) was unsinnig ist. Server gehört z.B. auf 192.168.2.1 und die Client Range kann bei 192.168.2.10 beginnen ! Du solltest zudem davon Abstand nehmen diese dümmlichen 192er Allerwelts IPs zu verwenden und DAS hier dazu lesen ! Bedenke das diese IP Netze KEINE sein dürfen die schon auf der pfSense verwendet werden !
  • Der Fehler 789 besagt übrigens das du das falsche Authentisierungs Verfahren verwendest http://support.microsoft.com/kb/326751/de
Erst dann ist aller Weg frei für die L2TP Pakete auf die WAN IP der pfSense !
Hast du das so entsprechend eingerichtet ?? Erst dann sehen wir mal mit L2TP weiter ?
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 11:40 Uhr
Wegen den Bilder-Links:
Tut mir leid =/ Hab den Button nicht bemerkt und bin eig. immer ein Freund von solchen Externen-Service, diese z.B hat überhaupt keine Werbung und zeigt nur das Bild an sowie unten den Banner des Dienstes. Ich werden die Bilder aber nochmal hier hochladen und meine Links rauß löschen --> Done!

Zum Problem:
Ja genau so hab ichs aufgebaut. Nur das am LAN-Port noch ein Client zur einrichtung hängt ^^
Der WAN-Port ist statisch, die Einstellung habe ich auch vorgenommen.
Unter Firewall -> Rules -> WAN hab ich nun Folgende Regeln:
d43bb400e03e294a44765c73246fc6ee - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
07.05.2012 um 12:03 Uhr
.. ."diese z.B hat überhaupt keine Werbung " Das meinst du nicht im Ernst, oder ? Klick mal auf deine eigenen Bilder, da wirst du erschlagen von Piraten, Zootieren, Drakensang und Co. und wenn du das schliessen willst gehen gleich noch 3 weitere Browserfenster auf !! Genau deshalb lieben wir hier alle solcherlei Links....

Deine Firewall Regeln sind soweit OK.
Wenn du nun noch die IP Adressierung in der L2TP Einrichtung angepasst hast, und die Authentisierung im Windows Client angepasst hast kommen wir schon mal nen Schritt weiter...
Wie du den Client einrichtest (Windows) steht hier:
http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/ ...
Bedenke auch das dein oben zitiertes HowTo NUR für iOS und Android gilt ! Nicht aber für einen Windows L2TP Client der ein anderes Authentisierungsverfahren benutzt !
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 12:09 Uhr
*schäm* Ich hab nichts gesagt (Schon doof wenn man den Adblock verdrängt ^^, ohne haben mich auch die Tiere angefallen)

Wie meinst du das? Unter VPN -> L2TP ? Dort habe ich jetzt folgendes Eingetragen:
d527a77ce2114fb24dfd4c6b8ae88418 - Klicke auf das Bild, um es zu vergrößern
*war ein falsches Bild verlinkt*
Bitte warten ..
Mitglied: aqui
07.05.2012 um 12:27 Uhr
An der Firewall liegt es nicht, das ist doch klar und zeigen auch die Logs. Da kommt schon alles richtig an !
Es scheitert am IPsec Phase 1 Prozess schon !
Bedenke auch das dein oben zitiertes HowTo NUR für iOS und Android gilt ! Nicht aber für einen Windows L2TP Client der ein anderes Authentisierungsverfahren benutzt !
Folglich musst du für Windows andere Phase 1 Parameter einstellen !
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 12:56 Uhr
Hab gerade erst deine Edits gesehen ...

Ich hatte alle Einstellungen vom Pfsense zurückgesetzt, nun habe ich alles so eingestellt:
(nach dieser Anleitung für Windows http://dekapitein.vorkbaard.nl/tech-1/how-to-set-up-ipsec-tunneling-in- ...)

Phase1:
2aa14d92b38dcc0824662e8abc52ac3e - Klicke auf das Bild, um es zu vergrößern

Phase2:
5c7e5c84d2dd3bd7765637b95600dbc8 - Klicke auf das Bild, um es zu vergrößern

Mobile Clients:
1c2637fc34137f4edf28390a4fad0b49 - Klicke auf das Bild, um es zu vergrößern

Am Client:
Internet Adresse: 10.0.0.1
Zielname: Pfsense
Benutzername: windows7 (hab ich so unter VPN -> L2TP -> User eingetragen)
Kennwort: vpn

In den Erweiterten Einstellungen:
Sicherheit -> VPN-Typ
L2TP/IPSEC

Sicherheit -> VPN-Typ --> Erweitert
Vorinstallierten Schlüssel...
l2tpoveripsec

Sicherheit -> Datenverschlüsselung
Optimal

Sicherheit -> Authentifizierung
CHAP & MS-CHAP v2

Netzwerk
IPv6 und Dateifreigabe deaktiviert

Wegen den IPs:
Ist der 192.168 Range für mein Test sehr störend? Im neuen Bild habe ich ja bei L2TP wie folgt geändert:
Server: 192.168.1.201/24
Remoterange: 192.168.2.0/24

Aber nach deiner Aussage wäre folgendes besser:
Server: 192.168.2.1/24
Remoterange: 192.168.2.10/32

Hab ich das so richtig verstanden?

EDIT:
Bei den Einstellungen bekomm ich folgendes...

Windows 7 Client:
Fehler 809 "Verbindung konnte nicht hergestellt werden, da der Remote-Server nicht Antwortet..."

IPsec Log:
May 7 09:54:33 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 09:54:33 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 09:54:33 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 09:54:33 racoon: ERROR: glob found no matches for path "/var/etc/racoon.conf"
May 7 09:54:33 racoon: ERROR: could not read configuration file "/var/etc/racoon.conf"
May 7 10:00:48 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 10:00:48 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 10:00:48 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 10:00:48 racoon: ERROR: glob found no matches for path "/var/etc/racoon.conf"
May 7 10:00:48 racoon: ERROR: could not read configuration file "/var/etc/racoon.conf"
May 7 10:04:30 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 10:04:30 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 10:04:30 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 10:04:30 racoon: INFO: Resize address pool from 0 to 253
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[4500] used for NAT-T
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[4500] used as isakmp port (fd=14)
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[500] used for NAT-T
May 7 10:04:30 racoon: [Self]: INFO: 10.0.0.1[500] used as isakmp port (fd=15)
May 7 10:04:30 racoon: INFO: unsupported PF_KEY message REGISTER
May 7 10:06:10 racoon: INFO: unsupported PF_KEY message REGISTER
May 7 10:48:52 racoon: INFO: caught signal 15
May 7 10:48:52 racoon: INFO: racoon process 49735 shutdown
May 7 10:48:57 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
May 7 10:48:57 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
May 7 10:48:57 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
May 7 10:48:57 racoon: INFO: Resize address pool from 0 to 253
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[4500] used for NAT-T
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[4500] used as isakmp port (fd=14)
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[500] used for NAT-T
May 7 10:48:58 racoon: [Self]: INFO: 10.0.0.1[500] used as isakmp port (fd=15)
May 7 10:48:58 racoon: INFO: unsupported PF_KEY message REGISTER
May 7 10:48:58 racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.1/32[0] 192.168.1.0/24[0] proto=any dir=out
May 7 10:48:58 racoon: ERROR: such policy already exists. anyway replace it: 192.168.1.0/24[0] 192.168.1.1/32[0] proto=any dir=in

Das komische ist nur, dass ich den Client(mit der IP 10.0.0.2) vom Pfsense(10.0.0.1) anpingen kann...

PING 10.0.0.2 (10.0.0.2) from 10.0.0.1: 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=128 time=0.555 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=128 time=0.578 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=128 time=0.376 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=128 time=0.395 ms
64 bytes from 10.0.0.2: icmp_seq=4 ttl=128 time=0.374 ms
64 bytes from 10.0.0.2: icmp_seq=5 ttl=128 time=0.565 ms
64 bytes from 10.0.0.2: icmp_seq=6 ttl=128 time=0.383 ms
64 bytes from 10.0.0.2: icmp_seq=7 ttl=128 time=0.374 ms
64 bytes from 10.0.0.2: icmp_seq=8 ttl=128 time=0.357 ms
64 bytes from 10.0.0.2: icmp_seq=9 ttl=128 time=0.385 ms

--- 10.0.0.2 ping statistics ---
10 packets transmitted, 10 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.357/0.434/0.578/0.087 ms
Bitte warten ..
Mitglied: schmidtshauser
07.05.2012 um 12:57 Uhr
Wieso mit L2TP herumquälen, gibt doch eine tolle openvpn integration in pfsense, wenn du neben Windows sowieso iOS und Android benutzen willst.

Ton ausschalten und das hier mal anschauen.

https://www.youtube.com/watch?v=odjviG-KDq8
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 13:05 Uhr
Ich soll es mit L2TP umsetzten

- L2TP over IPSec
- Keine extra Software
- Zertifikat und Benutzer/Passwort abfrage

Ich möchte es aber erstmal mit PSK probieren um ein gefühl dafür zubekommen, die Zertifikate guck ich mir danach an.
Bitte warten ..
Mitglied: aqui
07.05.2012 um 15:21 Uhr
Mit diesen Settings funktioniert es mit einem Winblows 7 Client absolut fehlerfrei:
IPsec Phase 1 Einstellungen:
7f8bdc50a48558a56a3e939bdc81920f - Klicke auf das Bild, um es zu vergrößern

IPsec Phase 2 Einstellungen:
7a03527fd106e1486dbd4e9559f14ea1 - Klicke auf das Bild, um es zu vergrößern

Mobile Clients Einstellungen:
44e2110c6326974dd72ff5dd443b2b69 - Klicke auf das Bild, um es zu vergrößern

L2TP Einstellungen:
64080163d8af61f0a41f4416fbcd421c - Klicke auf das Bild, um es zu vergrößern

Windows 7 Client Settings
3cf38978ca685e50c6ec6da8b4062bde - Klicke auf das Bild, um es zu vergrößern
und für den PSK Schlüssel:
06268f1c56a9be74a2bb44f1080b110b - Klicke auf das Bild, um es zu vergrößern

Fertisch !
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 15:51 Uhr
Vielen Dank schonmal

EDIT:
Okay, hab bei IPsec -> PSK -> die IP meines Client eingetragen sowie den PSK aus L2TP. Jetzt habe ich eine Verbindung :D Endlich ein Erfolgsgefühl

Vor dem Edit:

Ich hab jetzt alles nach deinen Screens eingestellt, ich bekomme aber trozdem einen Fehler 789. Aus dem unterem Log schlägt mir " ERROR: couldn't find the pskey for 10.0.0.2." ins Auge. Aber den habe ich dem User zugewiesen. Nur für mein verständnis:

Im Pfsense:
bei VPN -> L2TP -> Secret habe ich z.B "l2tpoveripsec" eingegeben.
Unter VPN -> L2TP -> User habe ich einen User "windows7" mit dem Passwort "vpn".
Unter VPN -> IPsec -> PreSharedKey habe ich nichts eingetragen. Das ist so richtig oder irre ich mich?

Beim Windows Client:
Bei L2TP -> Erweiterte Einstellungen -> Schlüssel -> l2tpoveripsec
Bei der Anmeldemaske -> windows7 und vpn

May 7 13:58:32 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 7 13:58:32 racoon: INFO: begin Identity Protection mode.
May 7 13:58:32 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 7 13:58:32 racoon: INFO: received Vendor ID: RFC 3947
May 7 13:58:32 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 7 13:58:32 racoon: INFO: received Vendor ID: FRAGMENTATION
May 7 13:58:32 racoon: [10.0.0.2] INFO: Selected NAT-T version: RFC 3947
May 7 13:58:32 racoon: ERROR: invalid DH group 20.
May 7 13:58:32 racoon: ERROR: invalid DH group 19.
May 7 13:58:32 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 13:58:32 racoon: INFO: NAT-D payload #0 verified
May 7 13:58:32 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 13:58:32 racoon: INFO: NAT-D payload #1 verified
May 7 13:58:32 racoon: INFO: NAT not detected
May 7 13:58:32 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 13:58:32 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 13:58:32 racoon: INFO: Adding remote and local NAT-D payloads.
May 7 13:58:32 racoon: [10.0.0.2] ERROR: couldn't find the pskey for 10.0.0.2.
May 7 13:58:32 racoon: [10.0.0.2] ERROR: failed to process ph1 packet (side: 1, status: 4).
May 7 13:58:32 racoon: [10.0.0.2] ERROR: phase1 negotiation failed.
Bitte warten ..
Mitglied: aqui
07.05.2012 um 16:48 Uhr
Bei VPN -> L2TP -> Secret musst du nichts eintragen. Das Passwort ist optional wird aber bei Win VPN nicht genutzt deshalb ist es im obigen Screenshot auch leer !
Unter VPN -> IPsec -> PreSharedKey habe ich nichts eingetragen. "
Nein ! Das ist falsch ! Dort muss natürlich ein Preshared Key rein sonst kommt die IPsec Verbindung nicht zustande.
Dieser Key ist exakt der, der in den Client Settings unter VPN Typ in den Erweiterten Einstellungen eingetragen wird !! (Letztes Bild --> "Vorinstallierter Schlüssel"....) !!
Diese beiden Keys müssen identisch sein und konfiguriert sein !! Klar...
Der L2TP Username und Passwort ist das was du im Client unter User/Passwort eingibst !
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 16:48 Uhr
So ich Antworte nochmal mit ein paar Fragen.

Ich bin jetzt Verbunden und hab die VPN-Verbindung als Heimnetzwerk Angegeben. Jetzt hab ich mir mit "ipconfig -all" die IP-Adresse etc. sagen lassen, folgendes kommt dabei rauß:

Beschreibung: Pfsense
Physikalische Adresse:
DHCP: Nein
Autokonfiguration: Ja
IPv4: 192.168.10.8
Subnetmaske: 255.255.255.255
Standard Gateway: 0.0.0.0
DNS-Server: 192.168.1.1
NetBIOS über TCP/IP: aktiviert

Sollte das Standard Gateway nicht 192.168.1.1 bzw. eigentlich 192.168.10.1 sein?

Und jetzt Sry für eine Dumme Frage(mir wurde eig. gesagt, es gibt keine Dummen Fragen aber ich glaube manche werden jetzt schmunzelt)....
Ich wollte jetzt mit dem Client 1 der über die VPN-Verbindung mit dem Pfsense verbunden ist den Client 2 anpingen(192.168.1.100), das ist aber nicht möglich. Es sollte aber doch eig. kein Problem sein oder?


Log-Datei:
May 7 14:49:18 racoon: INFO: deleting a generated policy.
May 7 14:49:18 racoon: INFO: purged IPsec-SA proto_id=ESP spi=1790706849.
May 7 14:49:18 racoon: [Self]: INFO: ISAKMP-SA expired 10.0.0.1[500]-10.0.0.2[500] spi:468a209911b00192:14e7a9130d245cc6
May 7 14:49:18 racoon: [Self]: INFO: ISAKMP-SA deleted 10.0.0.1[500]-10.0.0.2[500] spi:468a209911b00192:14e7a9130d245cc6
May 7 14:49:29 racoon: [Self]: INFO: respond new phase 1 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 7 14:49:29 racoon: INFO: begin Identity Protection mode.
May 7 14:49:29 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
May 7 14:49:29 racoon: INFO: received Vendor ID: RFC 3947
May 7 14:49:29 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
May 7 14:49:29 racoon: INFO: received Vendor ID: FRAGMENTATION
May 7 14:49:29 racoon: [10.0.0.2] INFO: Selected NAT-T version: RFC 3947
May 7 14:49:29 racoon: ERROR: invalid DH group 20.
May 7 14:49:29 racoon: ERROR: invalid DH group 19.
May 7 14:49:29 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 14:49:29 racoon: INFO: NAT-D payload #0 verified
May 7 14:49:29 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 14:49:29 racoon: INFO: NAT-D payload #1 verified
May 7 14:49:29 racoon: INFO: NAT not detected
May 7 14:49:29 racoon: [10.0.0.2] INFO: Hashing 10.0.0.2[500] with algo #2
May 7 14:49:29 racoon: [Self]: [10.0.0.1] INFO: Hashing 10.0.0.1[500] with algo #2
May 7 14:49:29 racoon: INFO: Adding remote and local NAT-D payloads.
May 7 14:49:30 racoon: [Self]: INFO: ISAKMP-SA established 10.0.0.1[500]-10.0.0.2[500] spi:4e095b24ed04eba1:fd335fe4d3dc15ed
May 7 14:49:30 racoon: [Self]: INFO: respond new phase 2 negotiation: 10.0.0.1[500]<=>10.0.0.2[500]
May 7 14:49:30 racoon: INFO: no policy found, try to generate the policy : 10.0.0.2/32[1701] 10.0.0.1/32[1701] proto=udp dir=in
May 7 14:49:30 racoon: [Self]: INFO: IPsec-SA established: ESP 10.0.0.1[500]->10.0.0.2[500] spi=40995158(0x2718956)
May 7 14:49:30 racoon: [Self]: INFO: IPsec-SA established: ESP 10.0.0.1[500]->10.0.0.2[500] spi=1304828139(0x4dc618eb)
Bitte warten ..
Mitglied: aqui
07.05.2012 um 16:56 Uhr
Sollte das Standard Gateway nicht 192.168.1.1 bzw. eigentlich 192.168.10.1 sein?
Ja natürlich. Das kannst du in den L2TP Einstellungen im pfSense eingeben wie auch den DNS Server wenn du da einen anderen haben willst !
Achte zudem darauf das im Windows Client der Haken in den Erweiterten Eigenschaften des IP4 Protokolls bei "Standardgateway für das Remotenetzwerk..." entfernt ist sofern du mit aktivem VPN Client auch noch im lokalen LAN arbeiten willst.
Ansonsten wird bei aktivem VPN Client ALLES in den Tunnel geroutet.
Zudem musst du auf dem nun angezeigten L2TP Interface im pfSense eine FW Regel erstellen. Default ist das alles geblockt wird. Hier musst du "any any" einstellen oder L2TP Clients nach any oder je nachdem was du steuern willst. Ansonsten wird dort auch alles geblockt ! Ist halt ne Firewall.... da ist alles verboten was nicht ausdrücklich erlaubt ist !
Bitte warten ..
Mitglied: TrueBlack
07.05.2012 um 17:15 Uhr
Ja natürlich. Das kannst du in den L2TP Einstellungen im pfSense eingeben wie auch den DNS Server wenn du da einen anderen haben willst !

Ich habe bei VPN -> L2TP nur WINS, DNS, und Radius. Und das ist ja alles nicht das Standard Gateway ^^ vlt. bin ich nach 5 Std. VPN auch Blind geworden

Das hatte ich noch Vergessen mit aufzuschreiben, es soll alles über die VPN laufen Ein Bein im Firmennetzwerk und eins im Lokalem finde ich Persönlich auch ein wenig Riskant

Die Firewall hab ich jetzt wie folgt eingestellt:
Firewall -> Rules -> L2TP VPN
Interface: L2TP VPN
Protocol: any
Source: any
Destination: any
Destination port range: any to any

Ansonsten wird dort auch alles geblockt ! Ist halt ne Firewall.... da ist alles verboten was nicht ausdrücklich erlaubt ist !
Den Spruch merk ich mir
Bitte warten ..
Mitglied: TrueBlack
13.05.2012 um 13:59 Uhr
Problem gelöst

Der Post von aqui mit seinen Einstellungen ist des Rätsels lösung ;)

Hier gehts zu meinem neuen Problem
http://www.administrator.de/Pfsense_Zertifikate_VPN.html
Bitte warten ..
Mitglied: Huhjukel
13.05.2012 um 22:04 Uhr
Hallo TrueBlack und aqui,

ich habs das auch mal auf meiner Pfsense probiert um damit eine Verbindung zu einem Iphone herzustellen.

Mein erster großer Fehler war, dass ich mit dem Iphone eine Verbindung nutzte zum Wlan das an der Pfsense Firewall eingestöpselt ist, mit diesem Aufbau konnte ich zwar laut dem Iphone einen Tunnel aufbauen, aber ich konnte mit Safari keine Seite aufrufen

Nach dem ich dann Wifi deaktiviert hatte, sah es dann besser aus. Surfen mit Safarie war möglich. Um zu testen ob das nun auch wirklich über meine Firewall läuft , hab ich bei Youtube ein paar Clips angeschaut und und im Pfsense unter Status > RRD Graph die Graphen für das Ipsec Interface und das WAN Interface angesehen. Hat alles OK ausgesehen. Was mich dann aber etwas verwundert hat, dass mir das Ipsec Widgets im Dashboard, 0 Active Tunnels und 1 Inactive Tunnel angezeigt wird. Auch bei Status Ipsec wird in der Spalte "Status" ein gelb-organgens umrahmtes Kreuz angezeigt

Es geht wird, aber nicht angezeigt....
Wie muss man den die Einstellungen ändern, dass man mit dem Tunnel vom Wlan per VPN ins LAN Netz kommt.

öömmm, kann mir mal einer die Tomaten von den Augen nehmen und mir zeigen wo der Bilder hochladen Button ist, damit ich ein Bild vom Ipsec Log hochladen kann?

Grüße, Huhjukel
Bitte warten ..
Mitglied: aqui
14.05.2012, aktualisiert 18.10.2012
@Huhjukel
Vergiss L2TP auf dem iPhone und nimmt PPTP als VPN Protokoll. Ist genauso sicher wenn du ein starkes Passwort verwendest (12 Stellen minimum) und lässt sich erheblich leichter einrichten und verwalten auf der pfSense !
Die Frickelei mit L2TP muss man sich nicht antun !!
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
und
http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
Bitte warten ..
Mitglied: Huhjukel
15.05.2012 um 18:30 Uhr
Hallo aqui,

danke für die Links, die sind echt super erklärt, damit bekomme es auch ich hin

Trotzdem hab ich noch zwei Fragen.

1. Wie lange darf das Passwort maximal sein?
2. Was bringt bei dem Vorhaben von TrueBlack, die Verschachtelung von IpSec und L2TP, auser dass er auf der Windowsseite nur mit Boardmitteln arbeiten kann. (Was mir übrigends sehr zusagt).

Gruß Huhjukel

P.S. Werde jetzt aber zuerst mal schauen wie ich VPN on Demand auf meinen Iphone einrichten muss, die ständige aktiviererei vom Tunnel nervt.
Bitte warten ..
Mitglied: aqui
16.05.2012 um 10:10 Uhr
1.) So lang wie du möchstest. Sicher und wasserdicht sind PPTP Passwörter mit 12 Stellen und mehr.
2.) Die Frage ist unverständlich ?? L2TP ist immer eine Kombination mit IPsec. L2TP nutzt IPsec immer als Transport. Wo genau ist dein Punkt ??
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Netzwerke
Sophos L2TP over IPSec Nutzer

Frage von Dome1988 zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...