Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten

Anleitung Netzwerke

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

09.05.2017, aktualisiert 29.09.2017, 4385 Aufrufe, 10 Kommentare, 13 Danke


Allgemeine Einleitung

Das folgende Tutorial ist eng angelehnt an das hiesige Standort_VPN_Praxis_Tutorial bei Administrator.de und ergänzt dieses um die Anbindung von mobilen IPsec VPN Benutzern unter Windows 10, Mac OS, Linux und iOS basierten Smartphones mit den bordeigenen VPN Clients OHNE zusätzliche Installation von Zusatzsoftware. Dazu später mehr...
Es betrachtet dabei verstärkt die mobile Client VPN Anbindung an die populäre Firewall pfSense, die hier im Forum schon mit diversen Tutorials für verschiedene Einsatzszenarien beschrieben ist.
Die Sammlung der weiterführenden Links am Schluss weist auf weitere Informationen hin und hat auch detaillierte Hinweise zur verwendeten Firewall Hardware.
Ziel ist es bei privaten oder KMU VPN Vernetzungen, ohne großes Probieren, schnell zu einer funktionierenden Anbindung von mobilen Benutzern zu kommen sei es per Laptop oder Smartphone.
Die hier vorgestellten Beispiele und Screenshots können mehr oder minder auch auf andere Hardware übertragen werden. IPsec ist ein weltweiter Standard und benutzt überwiegend gleiche Algorithmen.
Ein klein wenig Basiswissen zum Thema Netzwerke, IP Adressen und IPsec VPNs generell sollte wie immer vorhanden sein ! Es empfiehlt sich ggf. die hiesigen Basis Tutorials zum IPsec Protokoll noch einmal zu lesen. Für die harten Fälle bleibt dann immer das Forum.
Los gehts....


Vorbereiten der pfSense für die Basiskonfiguration:

Zuallererst muss eine CA und ein Server Zertifikat erstellt werden für die späteren Clients, denn im Gegensatz zu IKEv1 erfordert das IKEv2 Verfahren ein entsprechendes Zertifikat.
Das ist schnell erledigt und dazu geht man folgendermaßen vor:

  • Menü: System -> Cert Manager.
 Auf dem “CA” Reiter "Add" klicken für eine neue Authority. “Descriptive Name” ist der Name des Zertifikats was man später den Benutzern gibt. Hier gilt es keine Leer- und Sonderzeichen zu verwenden. Z.B. "vpnca".
  • Method: "Create an internal Certificate Authority"

  • Key length: 2048

  • Digest Algorithm: sha256
  • Lifetime: 3650 days (10 Jahre Gültigkeit).

  • Den Rest füllt man entsprechend seiner Daten aus, Ländercode etc. Der Inhalt ist nicht wichtig für die Funktion
  • "Common Name”: Hier MUSS exakt der Name rein der oben bei "Descriptive Name" verwendet wurde ! (Beispiel hier "vpnca")
  • Save klicken zum Sichern

Server Zertifikat erstellen:

  • Menü: System -> Cert Manager.
  • Auf dem “Certificates” Reiter "Add" klicken für eine neues Server Zertifikat.
  • Method: "Create an internal certificate”.
  • Eine Beschreibung Descriptive Name angeben wie z.B. "IKEv2 VPN".
  • Für die “Certificate Authority” wählt man jetzt die CA aus, die man gerade oben im ersten Schritt eingerichtet hat.
  • Key length, Digest algorithm, und Lifetime belässt man auf dem Default 2048 und sha256. Lifetime wie in Schritt 1 auf 10 Jahren (3650 days) belassen sofern man nicht in einem kürzeren Abstand neue Zertifikate ausgeben will !
  • Certificate Type”: Server Certificate.
  • Die Daten wie Ländercode usw. so belassen wie sie sind und in der CA Konfig vorher eingegeben wurden.
  • Common und Alternative Names: Einige nehmen hier den VPN Server Hostnamen im DNS. Andere nur die WAN IP (geht nur wenn die statisch ist) Wieder andere beides oder einen Namen. Dieser Punkt ist extrem wichtig für den Windows 10 IKEv2 VPN Client, denn dieser püft das Zertifikat darauf. Hat man nur einen Common Name eingegeben und connected mit der IP Adresse verweigert der Windows Client die VPN Verbindung. Mac OS, iOS oder StronSwan ist da erheblich toleranter. Der folgende Konfig Schritt deckt alle 3 Optionen ab so das man hier immer auf Nummer sicher geht das es klappt:
  • “Common Name”: Der Hostname dieser pfSense Firewall wie im General Setup definiert oder im DNS. (ohne Domain Suffix)
setupname - Klicke auf das Bild, um es zu vergrößern
  • Unter Alternative Names jetzt “Add” klicken, “FQDN or Hostname” auswählen und den Hostnamen eingeben 
wie oben ohne Suffix.
  • Nochmals “Add” klicken, “FQDN or Hostname” auswählen und den kompletten FQDN Hostnamen mit Suffix eingeben.
  • Nochmals “Add” klicken, “IP Adress” auswählen und die WAN IP Adresse eingeben sofern eine statische vorhanden. (Entfällt bei wechselnder WAN IP. In einem Kaskaden Setup wie weiter unten beschrieben setzt man hier die statische WAN IP ein.)
zertcomname - Klicke auf das Bild, um es zu vergrößern
  • Ggf. weitere Namen nach diesem Schema eingeben. Eine dieser Alternativen muss immer mit dem Client übereinstimmen. DNS Namen sind gerade für den WIN 10 VPN Client wichtig.
  • Save zum Sichern klicken.

Damit ist die Zertifikatserstellung auf der Firewall abgeschlossen.
Es ist sinnvoll sich auf dem "Dashboard" noch das IPsec Widget zu installieren, damit man die IPsec VPN Verbindungen monitoren kann:
ipsecwidget - Klicke auf das Bild, um es zu vergrößern

Weiter geht es jetzt mit der IPsec Einrichtung für die mobilen Benutzer.

Mobiles Client IPsec auf der pfSense einrichten:

Jetzt wird der eigentliche IPsec Tunnel für die mobilen Benutzer eingerichtet. Dazu sind folgende Schritte der Reihe nach zu machen:

  • Menü: VPN > IPsec -> Mobile Clients.
  • “IKE Extensions”: Haken setzen bei “Enable IPsec Mobile Client Support” 

  • “User Authentication”: Local Database anwählen (Blau markieren !) 

  • “Group Authentication”: None. 

  • “Virtual Address Pool”: Haken setzen bei “Provide a virtual IP address to clients”. ACHTUNG: Hier muss ein IP Netzwerk gewählt werden was komplett unbenutzt ist und NIRGENDWO im gesamten Netzwerk auftaucht.
 (Beispiel hier 10.98.1.0 /24)
ipsec1b - Klicke auf das Bild, um es zu vergrößern
  • Haken setzen bei: “Provide a list of accessible networks to clients". 

  • Der Rest bleibt ohne Haken (Default). Wer möchte kann die Banner Option anhaken und eine kurze Begrüßungsmessage angeben ala "Willkommen im VPN von xyz".

  • Save und dann Apply klicken

IPsec Phase 1 Konfiguration:

Nun erscheint automatisch der “Create Phase 1” Knopf den man klickt um die IPsec Phase 1 zu definieren. Wenn nicht geht man auf den Reiter "Tunnels" und klickt dort “Add P1”.
Dort dann folgende Eingaben machen:

  • “Key Exchange version”: auf IKEv2.
  • “Description”: "Mobiluser Phase 1" (was immer man will hier, ist nur kosmetisch).
  • “Authentication method” auf “EAP-MSChapv2
  • “My Identifier”: ‘Distinguished name’, und hier jetzt den zuvor konfigurierten Common Name oder die (statische) WAN IP angeben. ACHTUNG: Der Name MUSS zwingend mit dem "Common Name" aus dem ersten Schritt oben zur Erstellung des Server Zertfikats übereinstimmen !!
  • “Peer Identifier”: any.
  • “My Certificate”: Hier das Server Zertifikat aus dem ersten Schritt auswählen.
  • “Encryption algorithm”: “AES” und “256
  • “Hash algorithm”: SHA256
  • DH key group auf: 14 (2048 bit)
  • Lifetime auf 28800 setzen
  • MOBIKE auf enable
  • Haken entfernen: Disable Rekey
  • Haken entfernen: Disable Reauth
  • Haken setzen bei: Enable DPD, hier 10 seconds und 5 retries auswählen (Default)
  • Save und Apply klicken
ips2 - Klicke auf das Bild, um es zu vergrößern

Im Überblick sieht das dann so aus:
ips1 - Klicke auf das Bild, um es zu vergrößern

IPsec Phase 2 Konfiguration:

Jetzt springt man in der pfSense Konfig zurück auf den "Tunnels" Reiter und sieht dort den Eintrag für “Mobile Client” den man gerade eingerichtet hat und klickt darunter den “Show Phase 2 Entries” Knopf und dann “Add P2” um die Phase 2 zu konfigurieren:

  • “Mode”: Tunnel IPv4
  • Das Local Network setzt man jetzt wie gewünscht. Normal ist immer “LAN subnet”, also das lokale LAN an der pfSense. Sollen weitere lokale Netzwerke in den Tunnel geroutet werden sie hier eingetragen.
  • ACHTUNG: Wer den gesamten Client Traffic in den Tunnel routen will setzt “Local Network” auf “Network”, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein.
  • “NAT/BINAT”: None.
  • "Description”: "Mobiluser Phase 2".
  • “Protocol”: ESP
  • “Encryption Algorithms”: Hier nur “AES" und "256 bits” wählen !
  • “Hash Algorithms”: SHA256, SHA384, SHA512 anhaken.
  • “PFS Key Group”: off
  • “Lifetime”: 3600
  • “Automatically ping host”: leer lassen.
  • Save und dann Apply klicken
ikephase2 - Klicke auf das Bild, um es zu vergrößern

Passwörter für die Benutzer einrichten

  • Menü: VPN > IPsec -> Pre-Shared Keys Reiter hier “Add” klicken um einen neuen User einzurichten
  • “Identifier” ist der Benutzername fürs Login z.B. testuser
  • “Secret type”: EAP
  • “Pre-Shared Key”: Ist das Passwort für den Benutzer z.B. Geheim123. ACHTUNG: die pfSense mag auch hier keine Sonderzeichen. Also nur Ziffern und Groß- Kleinschreibung nutzen !
  • Save klicken zum sichern und ggf. für weitere User wiederholen
  • Dann “Save” und“Apply” klicken.

Firewall Regeln für IPsec einrichten

  • Menü: Firewall > Rules -> IPsec Reiter
  • Ist dort eine "allow all" Regel vorhanden ist nichts zu tun. Falls nicht...
  • “Add” klicken für eine neue Regel auf dem IPsec Interface
  • “Action”: Pass
  • “Interface”: IPsec
  • “Address Family”: IPv4
  • “Protocol”: any
  • “Source”: any
  • “Destination”: any
  • Save und Apply klicken.
ACHTUNG: Das ist erstmal eine Scheunentor Regel für den Test. Die sollte man nachher etwas dichter ziehen auf die IP Adressen des Client und Zielnetzes und ggf. der Anwendungen (TCP/UDP Protokollports) sofern hier eine höhere Sicherheit gewünscht ist.
Die IPsec WAN Port Regeln (ESP, UDP 500 und 4500 auf die WAN IP der pfSense passieren lassen) sollte die pfSense schon automatisch eingerichtet haben aber eine Kontrolle kann nicht schaden !

Zum Schluss muss noch das CA Zertifikat für die Clients exportiert werden :
  • Menü: System > Cert Manager und dort den "CAs" Reiter klicken.
  • Hier das blaue "Siegel Icon" rechts in der Ecke klicken das aussieht wie eine kleine Sonne. Bei Mouseover zeigt der Hilfetext "Export CA" ! Es wird eine Datei <commonname>.crt exportiert die auf die Clients kopiert werden muss.

Damit ist die Konfiguration der pfSense Firewall abgeschlossen und man kann mit der Einrichtung der VPN Clients auf den Endgeräten beginnen.


VPN Client mit Windows 10:

Die gute Nachricht ist, wie bereits Eingangs bemerkt, das KEIN dedizierter Software Client wie Shrew oder Greenbow usw. mehr benötigt wird um eine VPN Verbindung mit der pfSense zu etablieren !
Alles kann man mit Windows Bordmitteln und ohne jegliche zusätzliche Software erledigen und das stellt einen erheblichen Vorteil dar gegenüber der FritzBox und anderen VPN Servern die mit Windows VPN Clients, immer noch eine separate extra IPsec Clientsoftware erzwingt.
Die Installation klappt auch mit Versionen ab Windows 7 und 8, allerdings muss dort mit regedit eine Anpassungen in der Registry gemacht werden sofern man Windows und Apple iOS oder Mac OS Endgeräte gleichermaßen mit dem IPsec VPN bedienen möchte. (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters erfordert ein zusätzliches DWORD NegotiateDH2048_AES256 mit dem Wert 1)
Weiter gehts...

Zertifikat in Windows 10 importieren:

  • Die .crt Datei die man oben von der pfSense exportiert hat auf den Windows PC kopieren. Smartphones usw. sendet man es z.B. einfach per Email Attachment.
  • Auf dem Windows 10 PC die oben exportierte Zertifikats Datei <name>.crt doppelklicken.
  • "Zertifikat installieren" klicken.
  • Dann "Lokale Computer" und "Weiter" auswählen und Security Abfrage abnicken.
  • Jetzt "Alle Zertifikate in folgendem Speicher speichern" auswählen und "Durchsuchen" klicken
  • Hier "Vertrauenswürdige Stammzertifizierungsstellen" auswählen und mit "OK" bestätigen.
  • Dann "Weiter" klicken und Beenden mit OK.
Im Windows certmgr sieht das so aus:
winzert - Klicke auf das Bild, um es zu vergrößern

VPN Verbindung unter Windows 10 anlegen:

Für die Einrichtung der eigentlichen VPN Verbindung kann man sich in Windows 10 das Leben sehr erleichtern und die bordeigene Powershell dafür nutzen.
Das erspart endloses Geklicke im VPN Adapter Setup.
Dazu öffnet man einfach die Powershell mit Administratorrechten (Rechtsklick) und gibt folgende 3 Befehle ein die man hier einfach per Cut and Paste aus der Vorlage nimmt.
ACHTUNG: Bevor man das macht sollte man das Kommando natürlich VORHER editieren ! und auf seine IP Belange anpassen !
01.
Add-VpnConnection -Name "pfSense" -ServerAddress "88.1.2.3" -TunnelType IKEv2 -EncryptionLevel Required -AuthenticationMethod EAP -SplitTunneling -AllUserConnection
Den Parameter "-Name" kann man frei wählen und ist der Name der VPN Verbindung. Dieser Name MUSS bei den folgenden 2 Kommandos absolut identisch sein !
"-ServerAddress" bestimmt die WAN IP Adresse der pfSense, sprich das VPN Server Ziel.
Hier kann man statt der IP Adresse natürlich auch einen Domainnamen verwenden wie z.B. meinepfsense.dyndns.org wenn man mit DynDNS arbeitet oder man einen festen DNS Hostnamen hat.
(Betreibt man die Firewall in einer Kaskade mit einem Router davor und Port Forwarding, ist natürlich die dortige Router WAN IP (oder Hostname) das Ziel !)

Das nächste Powershell Kommando setzt die IPsec Parameter:
01.
Set-VpnConnectionIPsecConfiguration -ConnectionName "pfSense" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -DHGroup Group14 -PfsGroup None -PassThru
und das VPN Routing noch aktivieren mit:
01.
Add-VpnConnectionRoute -ConnectionName "pfSense" -DestinationPrefix 192.168.1.0/24 -PassThru
ACHTUNG: Der Parameter "-ConnectionName" MUSS bei allen 2 Kommandos IMMER absolut identisch sein zum oben gewählten Namen der VPN Verbindung !
"-DestinationPrefix 192.168.1.0/24" gibt das lokale LAN Netzwerk der pfSense an. Ggf. an eigene IP Adress Nutzung anpassen.
Hier kann man mit der Subnetzmaske spielen sofern man mehrere IP Netze oder einen ganzen Bereich in den Tunnel routen will.
Z.B. routet "-DestinationPrefix 192.168.0.0/16" alle 192.168er Netze in den Tunnel und "-DestinationPrefix 10.0.0.0/8" alle 10er Netze usw.
Bei unterschiedlichen Netzen die sich nicht über die Maske zusammenfassen lassen wiederholt man das Add-VpnConnectionRoute Kommando für diese Netze.
Wer den gesamten Client Traffic von remote in den Tunnel routen will um z.B. in einem öffentlichen Hotspot gesichert über seinen Heimanschluss zu surfen etc. lässt einfach den Parameter -SplitTunneling im Add-VpnConnection Kommando oben weg. Der Default Gateway Redirect ist dann Default.
Man muss dann allerdings auch in der pfSense Phase 2 IPsec Konfiguration unter Local network dann "Network" wählen und eine Wildcard mit 0.0.0.0 /0 dort eintragen.

Natürlich kann man sich das alles auch langwierig im Windows Netzwerk- und Freigabecenter zusammenklicken wer die Powershell fürchtet:
ipsecw10a - Klicke auf das Bild, um es zu vergrößern


VPN Client mit Apple MacOS:

Ebenso wie bei Windows ist zuerst die oben von der Firewall exportierte CA Zertifikatsdatei in den Schlüsselbund zu importieren und als vertrauenswürdig zu markieren:
  • Dazu die .crt Datei doppelklicken zum Importieren
  • In der Schlüsselbundverwaltung das Zertifikat doppel- oder rechtsklicken und "Information" wählen.
  • Hier jetzt unter Vertrauen das Aufklappmenü öffnen und "Bei Verwendung dieses Zertifikats" die Einstellung auf Immer vertrauen setzen.
vpnmac1 - Klicke auf das Bild, um es zu vergrößern
  • Schlüsselbundverwaltung schliessen
  • Unter Apfel -> Systemeinstellungen -> Netzwerk und + das VPN mit der Funktion "IKEv2" hinzufügen:
vpnmac4 - Klicke auf das Bild, um es zu vergrößern
..und die VPN Parameter eintragen:
vpnmac3 - Klicke auf das Bild, um es zu vergrößern
Die "Entfernte ID" entspricht wieder dem Common Name des Server Zertifikats.
Die Installation des Mac OS Clients ist damit abgeschlossen.


VPN Client auf iPhone und iPad (iOS) einrichten:

Das Einrichten des VPN Clients ist eigentlich ein Selbstgänger der Menü geführt fast keiner Erklärung mehr bedarf.
Zuallererst muß hier auch zuerst wieder das obige Client Zertifikat importiert werden !
Das erledigt man ganz einfach indem man sich die Zertifikats Datei als Email Attachment (Anhang) sendet. Entweder direkt oder über einen Email Account auf den man mit dem Browser zugreifen kann. Als iChat Anhang geht es ebenso wie mit Airdrop.
Man klickt dann auf die Zertifikattsdatei und importiert und installiert sie damit.
In der Profilansicht unter Allgemein -> Profile kann man das kontrollieren das es da auch gelandet ist:
ioscert - Klicke auf das Bild, um es zu vergrößern
Der Rest ist dann schnell erledigt:
Auf iPhone oder iPad geht man ins Setup (Zahnrad) und wählt dort das Menü Allgemein --> VPN und fügt einen VPN Account vom Typ IKEv2 hinzu genau so wie es oben schon bei Mac OS und Windows beschrieben würde.
Identisch dazu trägt man die Entfernte ID ein die dem Common Name entspricht (hier im Beispiel pfsense) und setzt die Benutzer Authentisierung auf Benutzername und Passwort mit den in der pfSense definierten Userdaten unter IPsec -> Pre Shared Keys.

ios1 - Klicke auf das Bild, um es zu vergrößern

Aktiviert man jetzt das VPN ist es sofort verbunden:
ios2 - Klicke auf das Bild, um es zu vergrößern



VPN Client auf Android Smartphones einrichten:

Die Verfügbarkeit von IKEv2 in Android-Versionen ist leider abhängig vom Hersteller des mobilen Endgerätes. So bietet z.B. Samsung IKEv2 in vielen Android-Distributionen seiner Endgeräte an, andere Hersteller verzichten darauf und dann muss man dort doch wieder einen extra Client verwenden. Das ist der Preis den man leider bei der Android Vielfalt zahlen muss.
Sollte also kein IKEv2 verfügbar sein muss eine entsprechende App verwendet werden. Hier bietet sich der kostenlose StrongSwan Client aus dem Play Store an:
https://play.google.com/store/apps/details?id=org.strongswan.android& ...
Da auch das pfSense VPN auf StrongSwan basiert klappt die Installation problemlos und auf Anhieb.
Nach der Installation der StrongSwan App muss man zuerst üblicherweise wie oben wieder die erforderliche Zertifikatsdatei installieren.
Dazu sendet man sich am einfachsten die .crt Zertifikatsdatei als Email Attachment aufs Telefon wie es schon beim iPhone/iPad oben beschrieben ist.
Ein simpler Doppelklick reicht dann zur Installation.
Oder alternativ kopiert man sie auf die SD Karte oder den internen Speicher und installiert das Zertifikat von dort. Einige Androiden geben die SD Karte als USB Stick frei oder haben eine Download App mit FTP Server oder können von Windows Freigaben (CIFS Share) kopieren. Alles geht, Hauptsache die Datei kommt irgendwie aufs Telefon oder Tablet.
Im Setup dient dann der Menüpunkt Sicherheit --> Zertifikate von SD Karte installieren zur Installation.
Hat man es erfolgreich importiert kann man das unter Sicherheit -->Vertrauenswürdige Anmeldedaten (Zertifikate ansehen) bei den Nutzer Zertifikaten kontrollieren.

andr1 - Klicke auf das Bild, um es zu vergrößern

Android VPN Client konfigurieren:

Der Einrichtung des VPNs ist dann identisch wie oben bei den anderen Clients und im Setup der StrongSwan App schnell erledigt. Ein Screenshot zeigt die Einstellungen:

andr2 - Klicke auf das Bild, um es zu vergrößern

Wer es etwas strikter haben will weist das Zertifikat fest zu statt der automatischen Auswahl:
andr5 - Klicke auf das Bild, um es zu vergrößern

Nach dem Einrichten kommt auch hier die VPN Verbindung sofort zustande:
andr6 - Klicke auf das Bild, um es zu vergrößern

(Wird fortgesetzt mit Linux Strongswan Konfig...)

Firewall hinter einem NAT Router betreiben (sog. "Router Kaskade"):

Wie im unten zitierten pfSense_Tutorial schon beschrieben, ist die technisch beste Lösung die Firewall mit dem Internet Port immer direkt mit einem "Nur" Modem an einem xDSL, TV-Kabel oder Glasfaseranschluß zu betreiben. "Nur" Modem bedeute hier KEINEN Router sondern nur ein nacktes Modem also ein reines Layer2 Gerät was NICHT am Layer 3 (IP) Forwardimng aktiv beteiligt ist wie ein vollständiger Router mit integriertem Modem. Letzterer wird leider hier in Threads sehr oft fälschlicherweise als "Modem" bezeichnet was er technisch gar nicht ist !
Die Verwendcung eines reinen Modems verhindert aufwändige Konfiguration mit Port Forwarding und ist aus Performance Sicht vorzuziehen wenn immer das umsetzbar ist.
In einigen Situationen ist es allerdings nicht immer möglich das zu realisieren. Z.B. Kunden von sog. Provider "Zwangsroutern" bleibt meist nichts anderes übrig als in den sauren Apfel einer Router Kaskade zu beissen wenn man auf erhöhte Sicherheit und Schutz seines eigenen Netzes wert legt... Bei Firmenkunden ist es obligatorisch will man verantwortungsvoll handeln.
Generell gesehen ist die oben im Tutorial beschreibene VPN Client Funktion zum Zugriff auf ein lokales Heim- oder Firmennetz mit einer Kaskade natürlich auch möglich wenn man mit den o.g. Nachteilen leben kann oder auch muß.
Ein Kaskaden Design erfordert deshalb ein klein wenig mehr Konfigurations Aufwand.

Ein vor der Firewall kaskadierter NAT (IP Adress Translation) Router verhindert ja durch das NAT per se erstmal den direkten Zugang der mobilen Internet VPN Clients auf die dahinterliegende Firewall. Diese agiert ja als VPN Server.
Der Grund ist das der NAT Prozess diese am Internet Port eingehenden IP Pakete dort im Router blockiert.
Die IP Adresse der Firewall im Koppelnetz oder ein DynDNS Name der darauf verweist, kann man im mobilen VPN Client nicht angeben. Im Koppelnetz verwendet man in der Regel ebenfalls private_IP_Adressen nach RFC 1918 die im Internet nicht geroutet werden. Fürs Erste bleibt so die VPN Firewall also unerreichbar von außen ohne eine entsprechende Konfiguration.
Die Lösung ist aber kinderleicht...
Man muss lediglich nur dafür sorgen das der davor kaskadierte Router die entsprechenden, eingehenden VPN Pakete einfach 1:1 an die VPN Firewall weiterreicht.
Das erreicht man mit der Port Forwarding oder auch Port Freigabe oder auch Port Weiterleitungs Funktion im Router, die heutzutage jeder handelsübliche Router an Bord hat.
Diese Funktion "sagt" dem Router mit einer statischen Anweisung im Setup das bestimmte, aus dem Internet eingehende Pakete mit entsprechenden TCP oder UDP Ports oder anderen Protokollkomponenten, einfach an eine im dahinter liegenden lokalen LAN erreichbare IP Adresse weitergeleitet werden. Diese IP Adrfesse ist dann die des dahinter kaskadierten Systems.
Damit ist dann die fehlerfreie VPN Funktion trotz Router davor wieder gegeben.
Im VPN Client selber muss natürlich dann die WAN / Internet IP Adresse des davorliegenden Routers als VPN Gateway Zieladresse angegeben werden oder ggf. dort ein DynDNS Client aktiviert werden wenn ein Hostname verwendet wird bei wechselnder Internet IP Adresse.
Hat man alles richtig gemacht sieht ein entsprechendes Kaskaden Design so aus:

pfsense-kaskade - Klicke auf das Bild, um es zu vergrößern

Die entsprechenden Port Forwarding bzw. Weiterleitungs Einstellungen für IPsec VPN sieht man hier am Beispiel einer FritzBox:
fbipsec - Klicke auf das Bild, um es zu vergrößern

An der pfSense sollte man am WAN Port noch den Haken entfernen bei "Block private networks" denn in einem Kaskaden Design befindet sich der WAN Port ja in der Regel in einem privaten IP Adressbereich:

pfsensewan - Klicke auf das Bild, um es zu vergrößern
ACHTUNG !: Das gilt ausschliesslich nur für ein Kaskaden Design !
Arbeitet die pfSense mit einem "Nur" Modem direkt im Internet muss dieser Haken unbedingt gesetzt sein !


Diese Port Forwarding ToDos gelten ganz generell auch für andere VPN Protokolle wie OpenVPN (UDP 1194), L2TP, PPTP usw. in solchen Router Kaskaden Konfigurationen.
Generell sollte man dem WAN Port eines so kaskadieren Systems eine feste statische IP Adresse geben die außerhalb des DHCP Bereichs des davor liegenden Routers liegt.
Praktisch ginge auch die automatische Vergabe per DHCP allerdings kann es dann durch die Dynamik von DHCP möglich sein das Port Forwardings dann irgendwann mal ins Leere laufen wenn diese IP sich einmal ändern sollte. Auch beim Server Zertifikat oben mit Angabe der IP ist eine statische IP dann immer die bessere Lösung als DHCP.


Weiterführende Links:

Aufbau einer pfSense Firewall mit PCengines APU Minimainboard:
http://www.administrator.de/contentid/149915
Dobby's Hardware Tips:
https://www.administrator.de/wissen/pfsense-supermicro-intel-xeon-d-15x8 ...
https://www.administrator.de/link/pfsense-arm-marvell-armada-385-2nd-edi ...

IPsec Praxis Tutorial: Standort Vernetzung:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...

IPsec VPNs unterschiedlicher Hersteller:
http://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...

Windows 10 VPN Powershell Syntax:
https://technet.microsoft.com/de-de/library/dn262642(v=wps.630).aspx

Windows 10: Schneller VPN Aufbau per einfachem Mausklick:
https://www.heise.de/ct/ausgabe/2017-19-VPN-und-Remote-Desktop-Verbindun ...

Aktuelle IKEv2 VPN Konfig für iPhone, Mac OS und IPsec native Clients:
https://forum.pfsense.org/index.php?topic=106433.0

pfSense Firewall auf Watchguard Hardware:
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox

IPsec Grundlagen und Aufbau:
https://www.administrator.de/contentid/73117
Mitglied: the-buccaneer
05.09.2017 um 00:33 Uhr
Danke! Habs jetzt erst gesehen
Sollte mit Win8.1 natürlich genauso gehen. Da ich mich von der PfSense 2.2x nicht trennen kann, bleibt das für mich Zukunftsmusik...
LG
Buc
Bitte warten ..
Mitglied: Spitzbube
20.09.2017 um 20:26 Uhr
Erst mal vielen Dank für diese tolle Anleitung. Alles sehr gut und übersichtlich erklärt, aber was ist für den Fall, wenn ich hinter einem NAT Router wie der Fritzbox sitze. Muss da die Option NAT/BINAT translation nicht konfiguriert werden?
Bitte warten ..
Mitglied: aqui
21.09.2017, aktualisiert 29.09.2017
Das ist auch kein Problem !
Du musst ja nur dafür sorgen das die dann an der FritzBox eingehenden IPsec Pakete auf der IP Adresse der dahinter kaskadierten pfSense Firewall an deren WAN Port landen.
Sprich in der FritzBox muss dann wie immer bei solchen Kaskaden ein Port Forwarding für das verwendete VPN Protokoll, was hier die IPsec Protokollkomponenten sind, eingerichtet werden als da sind:
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP Protokoll mit der IP Nummer 50 (Achtung kein UDP oder TCP 50, ESP ist ein eigenes IP Protokoll!)
Dann funktioniert das auch in einer Kaskade fehlerlos.
Oder....man terminiert das IPsec nicht auf der Firewall sondern auf der FritzBox davor selber.
Ich nehme das mal als Anregung das Tutorial zu erweitern für so ein Kaskadendesign
<edit>Ist erledigt...</edit>
Bitte warten ..
Mitglied: Spitzbube
21.09.2017 um 11:57 Uhr
Das Tutorial zu erweitern für so ein Kaskadendesign wäre eine Spitzensache. Zumal ich das nicht nur hier sondern auch in anderen Foren immer häufiger lese.

Was ich nicht verstehe ist IP Nummer 50:

ESP Protokoll mit der IP Nummer 50 (Achtung kein UDP oder TCP 50, ESP ist ein eigenes IP Protokoll!)

-> Bei der Fritzbox hab ich halt die Möglichkeit, die Portfreigabe direkt im Heimnetzgerät (Pfsense) einzutragen oder über die Freigabe dem Netzwerkgerät das Protokoll zu zuordnen. Mehr kann ich hier nicht einstellen.
Bitte warten ..
Mitglied: aqui
21.09.2017, aktualisiert um 15:27 Uhr
Das Tutorial zu erweitern für so ein Kaskadendesign wäre eine Spitzensache.
Schon erledigt !
Was ich nicht verstehe ist IP Nummer 50:
Guckst du hier:
https://de.wikipedia.org/wiki/IPsec#Encapsulating_Security_Payload_.28ES ...
Wie alle Protokolle im IP Stack hat ESP auch eine dedizierte Protokoll Nummer, eben die 50.
Nummer 80 ist z.B. das IP Protokoll selber und 84 TCP.
Nimm einen Wireshark Sniffer und sie es dir selber schwarz auf weiß an !
Mehr kann ich hier nicht einstellen.
Das stimmt wenigstens für die FritzBox de facto nicht !
Du kannst es am obigen Screenshot im Tutorial sehen.

Hier auch nochmal am Beispiel eines PPTP VPN Protokoll dessen Protokollkomponenten in der FB ebenfalls dediziert einstellbar sind. PPTP besteht aus:
GRE IP Protokoll Nummer 47
TCP 1723

fbvpn - Klicke auf das Bild, um es zu vergrößern
Entweder redest du von was anderem oder suchst an der falschen Stelle im FB Setup ?!
Bitte warten ..
Mitglied: Spitzbube
21.09.2017 um 16:09 Uhr
Achso, das meinst du! Ja klar ESP IP Nummer 50. Nee alles gut. So hab ich das auch. Was ich nicht so habe wie bei dir in der Grafik, ist die Adressierung. Bei der Fritzbox wird mir die Pfsense als XX.XX.XX.42 angezeigt, da ich wie in anderen Beiträgen geschrieben einen Business Vertrag von Unity Media habe. Zu diesem gehören 5 feste IP Adressen. Die erste IP also XX.XX.XX.41 hat die Fritzbox automatisch vom Provider bekommen und die XX.XX.XX.42 Pfsense. Am WAN Interface der Pfsense habe ich die XX.XX.XX.42 statisch und das Upstream GW auch statisch auf XX.XX.XX.41 zugewiesen. Internet hab ich.

Werde das aber mal um konfigurieren, dann hat halt die Pfsense die 192.168.178.254 und die Fritzbox 192.168.178.1. So spare ich mir die eine statische Adresse.

Diese Aussage fand ich auch noch sehr interessant:

Im VPN Client selber muss natürlich dann die WAN / Internet IP Adresse des davorliegenden Routers als VPN Gateway Zieladresse angegeben werden oder ggf. dort ein DynDNS Client aktiviert werden wenn ein Hostname verwendet wird bei wechselnder Internet IP Adresse.

Da dachte ich immer, muss ich die IP der Pfsense eingeben und nicht die der Fritzbox.

Frage: Mit welchem Tool machst du deine Grafiken?

Werde das heute Abend mal so konfigurieren und dann nochmals berichten.

Vielen Dank für deine Mühe
Bitte warten ..
Mitglied: aqui
21.09.2017 um 17:48 Uhr
Bei der Fritzbox wird mir die Pfsense als XX.XX.XX.42 angezeigt
Wie es angezeigt wird ist erstmal völlig egal das ist kosmetisch.
Einzig wichtig ist in den Einstellungen an der FB das das Port Forwarding auf die WAN IP der pfSense zeigt die dort kaskadiert ist !
In der Kaskadenkonfig muss dann am pfSense WAN Port der Haken "Block private networks) entfernt werden.
Achtung !: Nur in einer Kaskaden Konfig NIEMALS mit einem "Nur" Modem am öffentlichen Internet.
Am WAN Interface der Pfsense habe ich die XX.XX.XX.42 statisch
OK, dann hast du ein eigenes öffentliches Subnetz. Dann kannst du den ganz Kram in einer Kaskaden Konfig natürlich vergessen. Dann hast du ja kein NAT Router davor und die öffentliche IP direkt an der pfSense.
Damit ist das ganze Kaskaden Kram für dich ja vollkommen überflüssig !
dann hat halt die Pfsense die 192.168.178.25
Häää ??? Ja was denn nun ?? Oben schreibst du die pfSense hat die öffentliche IP XX.XX.XX.42 am WAN Port ?!?
Bahnhof, ? Ägypten ?
Da dachte ich immer, muss ich die IP der Pfsense eingeben und nicht die der Fritzbox.
Nicht denken sondern mal nachdenken !!
Wie sollte das denn bitte gehen wenn die pfSense in so einer Kaskade arbeitet mit einem privaten IP Netz und somit auch privaten IP Adresse die im Internet NICHT geroutet werden ?!
Nicht nur das der VPN Client diese IP Adressen niemals im Leben erreichen könnte (...da nicht geroutet) zusätzlich könnte er auch niemals die dvorliegende NAT Firewall des Routers überwinden ohne Port Freigabe.
Doppelter grund also warum es nicht geht !
In so einem Kaskaden Design ist doch immer der davorliegende Router und dess IP Adresse der einzige Zugang zum Internet ! Logisch ! ...denn er hält ja die öffentliche IP Adresse des Providers ! Die pfSense dahinter ist ja im lokalen LAN, sprich Koppelnetz mit einer privaten nicht gerouteten RFC 1918 IP Adresse.
Folglich kann man aus dem Internet ja einzig und allein die pfSense nur über den davorliegenden Router und logischerweise dessen IP am WAN Port erreichen.
Wie sollte das deiner Meinung denn sonst anders gehen ???
Fazit: Einfach mal logisch nachdenken
Und kläre mal das Mysterium deiner unterschiedlichen WAN IP Adressierung, das versteht keiner hier...
Bitte warten ..
Mitglied: Spitzbube
21.09.2017, aktualisiert um 21:50 Uhr
Jetzt mal langsam mit der Braut

Und kläre mal das Mysterium deiner unterschiedlichen WAN IP Adressierung, das versteht keiner hier...

Hab ja nix umgestellt. Das war nur von mir falsch verstanden! Dachte, das ist bei mir kaskatiert. Aber wie du ja schreibst ist das ein eigenes öffentliches Subnetz und nicht kaskatiert!

OK, dann hast du ein eigenes öffentliches Subnetz. Dann kannst du den ganz Kram in einer Kaskaden Konfig natürlich vergessen. Dann hast du ja kein NAT Router davor und die öffentliche IP direkt an der pfSense.
Damit ist das ganze Kaskaden Kram für dich ja vollkommen überflüssig !


Aber warum sagt das IPSec Log dann: 14[IKE] <5> remote host is behind NAT? Das verstehe ich nicht!

Hab dir mal meine Settings als Anhang hochgeladen:

aktuelle Portfreigaben der Fritzbox

fritzbox_ohne - Klicke auf das Bild, um es zu vergrößern

Vorbereiten der pfSense für die Basiskonfiguration:

cas - Klicke auf das Bild, um es zu vergrößern

Server Zertifikat erstellen:

certificates - Klicke auf das Bild, um es zu vergrößern

Mobiles Client IPsec auf der pfSense einrichten:

mobile clients - Klicke auf das Bild, um es zu vergrößern

IPsec Phase 1 Konfiguration:

phase1 - Klicke auf das Bild, um es zu vergrößern

IPsec Phase 2 Konfiguration:

phase2 - Klicke auf das Bild, um es zu vergrößern

VPN Einstellungen:

tunnels - Klicke auf das Bild, um es zu vergrößern

Pre Shared Key:

pre-shared keys - Klicke auf das Bild, um es zu vergrößern


Firewall Rules:

firewall rules - Klicke auf das Bild, um es zu vergrößern

VPN Log:

01.
Sep 21 21:01:27 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes) 
02.
Sep 21 21:01:27 	charon 		14[IKE] <6> received retransmit of request with ID 0, retransmitting response 
03.
Sep 21 21:01:27 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] 
04.
Sep 21 21:01:27 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes) 
05.
Sep 21 21:01:24 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes) 
06.
Sep 21 21:01:24 	charon 		14[IKE] <6> received retransmit of request with ID 0, retransmitting response 
07.
Sep 21 21:01:24 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] 
08.
Sep 21 21:01:24 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes) 
09.
Sep 21 21:01:21 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes) 
10.
Sep 21 21:01:21 	charon 		14[IKE] <6> received retransmit of request with ID 0, retransmitting response 
11.
Sep 21 21:01:21 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] 
12.
Sep 21 21:01:21 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes) 
13.
Sep 21 21:01:18 	charon 		14[NET] <6> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes) 
14.
Sep 21 21:01:18 	charon 		14[ENC] <6> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ] 
15.
Sep 21 21:01:18 	charon 		14[IKE] <6> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=user@gmail.com, CN=vpnca, OU=Home" 
16.
Sep 21 21:01:18 	charon 		14[IKE] <6> remote host is behind NAT 
17.
Sep 21 21:01:18 	charon 		14[IKE] <6> 80.187.115.140 (IP der des iPhones T-Mobile LTE) is initiating an IKE_SA 
18.
Sep 21 21:01:18 	charon 		14[ENC] <6> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] 
19.
Sep 21 21:01:18 	charon 		14[NET] <6> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes) 
20.
Sep 21 21:01:14 	charon 		14[NET] <bypasslan|5> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[4500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[17675] (80 bytes) 
21.
Sep 21 21:01:14 	charon 		14[ENC] <bypasslan|5> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ] 
22.
Sep 21 21:01:14 	charon 		14[IKE] <bypasslan|5> peer supports MOBIKE 
23.
Sep 21 21:01:14 	charon 		14[IKE] <bypasslan|5> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding 
24.
Sep 21 21:01:14 	charon 		14[CFG] <bypasslan|5> no alternative config found 
25.
Sep 21 21:01:14 	charon 		14[IKE] <bypasslan|5> peer requested EAP, config inacceptable 
26.
Sep 21 21:01:14 	charon 		14[CFG] <bypasslan|5> selected peer config 'bypasslan' 
27.
Sep 21 21:01:14 	charon 		14[CFG] <5> looking for peer configs matching XX.XX.XXX.42 (IP der Pfsense)[pfsense]...80.187.115.140 (IP der des iPhones T-Mobile LTE)[10.25.123.172] 
28.
Sep 21 21:01:14 	charon 		14[ENC] <5> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ] 
29.
Sep 21 21:01:14 	charon 		14[ENC] <5> unknown attribute type (25) 
30.
Sep 21 21:01:14 	charon 		14[NET] <5> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[17675] to XX.XX.XXX.42 (IP der Pfsense)[4500] (496 bytes) 
31.
Sep 21 21:01:14 	charon 		14[NET] <5> sending packet: from XX.XX.XXX.42 (IP der Pfsense)[500] to 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] (473 bytes) 
32.
Sep 21 21:01:14 	charon 		14[ENC] <5> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ] 
33.
Sep 21 21:01:14 	charon 		14[IKE] <5> sending cert request for "C=DE, ST=BW, L=GP, O=Home, E=user@gmail.com, CN=vpnca, OU=Home" 
34.
Sep 21 21:01:14 	charon 		14[IKE] <5> remote host is behind NAT 
35.
Sep 21 21:01:14 	charon 		14[IKE] <5> 80.187.115.140 (IP der des iPhones T-Mobile LTE) is initiating an IKE_SA 
36.
Sep 21 21:01:14 	charon 		14[ENC] <5> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] 
37.
Sep 21 21:01:14 	charon 		14[NET] <5> received packet: from 80.187.115.140 (IP der des iPhones T-Mobile LTE)[500] to XX.XX.XXX.42 (IP der Pfsense)[500] (604 bytes) 
Hoffe, es ist alles soweot ersichtlich.

Grüße
Spitzbube
Bitte warten ..
Mitglied: aqui
22.09.2017 um 10:39 Uhr
Aber wie du ja schreibst ist das ein eigenes öffentliches Subnetz und nicht kaskatiert!
Warum schreibst du dann das du eine Kaskade benutzt
Zitieren tut man übrigens immer mit einer spitzen Klammer vor dem Zitat und nicht mit Doppelsternchen. Dann wird es nur fett...
Aber warum sagt das IPSec Log dann: 14[IKE] <5> remote host is behind NAT? Das verstehe ich nicht!
Mal nachdenken.... Der VPN Client nutzt NAT Traversal (UDP 4500). Dadurch erkennt der Server das NAT im Spiel ist auch wenn es das nicht ist. Kann ja aber mal sein das der Client hinter einem NAT Router ist wie im Hotel, Hotspot usw. oder einen Provider nutzt der Carrier Grade NAT macht. Das machen meist die Billig Provider mit einfachen nur Surf Accounts weil sie keine freien IPv4 Adressen mehr haben....
aktuelle Portfreigaben der Fritzbox
Wäre ja wenn du NICHT in einer Kaskade arbeitest absolut sinnfrei und auch kontraproduktiv !
Erschwerend kommt dazu das die FB selber VPN Router ist und "denkt" das eingehende IPsec ist für sie selber. Hier muss man also in der FB IPsec deaktivieren bzw. es darf keinerlei VPN Konfig vorhanden sein. Ansonsten forwardet die FB die IPsec Frames nicht und blockt sie !
Das bekommst du übrigens ganz einfach raus indem du mal einen Laptop statt der pfSense anschliesst am gleichen Port. Laptop mit gleicher IP wie die pfSense und pfSense abgezogen.
Dann startest du einen Wireshark Sniffer auf dem Laptop
Jetzt aktivierst du den VPN Client und checkst ob dort eingehende IPsec Pakete (IKE, ESP) ankommen !
Ist das der Fall klappt das Forwarding. Kommen sie nicht blockt die FB.
Ohne Wioreshark geht das auch sehr einfach mit der Paket Sniffer Funktion direkt in der pfSense unter "Diagnostics" !!
Wie gesagt...eigentlich alles sinnfrei denn du arbeitest ja eben NICHT in einer NAT Kaskade wie du selber sagst. Folglich ist dann auch Port Forwarding im Router davor sinnlos. Deine FB arbeizet dann vermutlich nur als reines Modem.
Vorbereiten der pfSense für die Basiskonfiguration:
Was ist das für ein merkwürdiges GUI ?? Farben sind nicht pfSense Default ?
Die Email Adresse ist fehlerhaft ! Aber wohl gewollt anonymisiert ?!
Sonst sieht das soweit gut aus wenn du dich explizit ans o.a. Tutorial gehalten hast.

Wenn das ein längerer "Akt" hier wird solltest du einen separaten Thread aufmachen mit einem hiesigen Verweis darauf um das Tutorial hier nicht unnötig aufzublähen.
Bitte warten ..
Mitglied: Spitzbube
24.09.2017, aktualisiert um 08:27 Uhr
Moin hab das mal in diesem Thema (Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense)neu zusammen gepackt.

Was ist das für ein merkwürdiges GUI ?? Farben sind nicht pfSense Default ? Nein, dass ist ein mitgeliefertes anderes Theme angenehmer für meine Augen.

Die Email Adresse ist fehlerhaft ! Aber wohl gewollt anonymisiert ?! Ja, anonymisiert!
Bitte warten ..
Ähnliche Inhalte
Netzwerke
gelöst Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense (37)

Frage von Spitzbube zum Thema Netzwerke ...

Router & Routing
PfSense Firewall mit Multi-WAN: Konflikt zwischen VoIP und IPsec-VPN (14)

Frage von LarsIP zum Thema Router & Routing ...

Firewall
IPSec VPN zwischen pfSense und Zyxel USG (13)

Frage von tr00p3r zum Thema Firewall ...

Netzwerkgrundlagen
IPSEC VPN mit pfSense und Lancom - keine verbindung wenn Client offline (9)

Frage von DanyCode zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Router & Routing
Freigabe aus anderem Netz nicht erreichbar (21)

Frage von McLion zum Thema Router & Routing ...

Windows Server
Kennwort vergessen bei Hyper vserver 2012r (20)

Frage von jensgebken zum Thema Windows Server ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Festplatten, SSD, Raid
Raidcontroller funktioniert nur, wenn unter Legacy-Boot gestartet wird (13)

Frage von DerWoWusste zum Thema Festplatten, SSD, Raid ...