IPSsec für Roadwarrior/ Mobile konfigurieren

tiermutter

Well-known member
Moin zusammen,

sch**** freundlich wie ich bin, will ich ja mal ein bissl mit IPsec rumtesten und Geschwindigkeiten messen...
Leider kriege aber keine Verbindung zustande und versuche den Server und die Clients (Windows und Android) eher mittels try and error aufzusetzen.
Ich hoffe jemand von euch kann mich etwas unterstützen. Ziel ist es Windows und Android als Client zu verbinden, da stellt sich auch schon die Frage nach dem Verfahren für die Anmeldung.

Zuletzt habe ich es mit IKEv2 und Mutual PSK versucht. Der Verbindungsaufbau erfolgt, im Log des Server bekomme ich die Meldungen
Code:
14[ENC] <4> generating INFORMATIONAL_V1 request 1902871317 [ N(NO_PROP) ]
2022-08-10T20:43:35    Informational    charon    14[IKE] <4> no IKE config found for XXX...YYY, sending NO_PROPOSAL_CHOSEN     
2022-08-10T20:43:35    Informational    charon    14[ENC] <4> parsed ID_PROT request 0 [ SA V V V V V V ]     
2022-08-10T20:43:35    Informational    charon    14[NET] <4> received packet: from YYY[500] to XXX[500] (368 bytes)     
2022-08-10T20:43:32    Informational    charon    05[NET] <3> sending packet: from XXX[500] to YYY[500] (40 bytes)     
2022-08-10T20:43:32    Informational    charon    05[ENC] <3> generating INFORMATIONAL_V1 request 1591153218 [ N(NO_PROP) ]     
2022-08-10T20:43:32    Informational    charon    05[IKE] <3> no IKE config found for XXX..YYY, sending NO_PROPOSAL_CHOSEN
Wobei XXX die WAN IPv6 des Servers und YYY die des Clients ist. Ich habe keine Ahnung was mir "no proposal chosen" sagen soll...

Hier Screenshots der Config...
Phase 1:
1660157788425.png
Hier habe ich schon mit "My Identifier" rumgespielt, aktuell steht dort mit "Test" der Identifier des PSK, s. nachfolgender Screenshot:
1660157878415.png
Diesen PSK gebe ich zB bei Windows als PSK an.

Und hier Phase 2:
1660157930085.png

Mit den Algorythmen musste ich auch rumspielen, letztlich habe ich alle ausgewählt, da der Windows Client nur so überhaupt nen Meter voran kommt und nach einigen Sekunden das meldet:
1660158052298.png

Mit Android komme ich nichtmal beim Server an, aber zunächst will ich erstmal Windows laufen haben :D
 

tiermutter

Well-known member
Ja... beim ersten Link ist noch von IKEv1 die Rede, damit geht bei WIndows ja nichts mehr.
Das mit dem Zertifikat funktioniert so nicht (mehr), das habe ich gar nicht hinbekommen, daher wollte ich das nun ohne Zertifikate machen.
Tja, was soll ich zur MS Seite sagen... das Serverlog sagt mir da schon mehr, aber hilft auch irgendwie nicht :ROFLMAO:

Das Log sagte mir einst (mittlerweile sagt es dazu nichts mehr):
2022-08-10T21:30:14 Informational charon 09[IKE] <14> received proposals unacceptable

2022-08-10T21:30:14 Informational charon 09[CFG] <14> configured proposals:
IKE:AES_CBC_128/AES_XCBC_96/PRF_AES128_XCBC/MODP_2048,
IKE:AES_CBC_128/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048,
IKE:AES_CBC_128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048,
IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048,
IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,
IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048

2022-08-10T21:30:14 Informational charon 09[CFG] <14> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_192/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_GCM_16_128/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_GCM_16_128/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_GCM_16_256/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_GCM_16_256/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_1024
Daraufhin habe ich DH von 2048 auf 1024 gestellt (wahrscheinlich gibt es die Meldung daher nicht mehr) und habe alles ausprobiert was mir der WinClient hier so angeboten hat. Klappt aber nicht. Pluspunkt für OVPN... selbst WG bekommt hier sogar noch einen Punkt, trotz seiner verwirrenden Konfig :D
 

blurrrr

Well-known member
Kleine Anmerkung am Rande: Erstmal "langsam" rantasten, nicht direkt alles volle Kanne hochschrauben, sondern erstmal "gemach"... DH2, AES256 und SHA1 sollte eigentlich von jedem Gerät unterstützt werden.
Das Log sagte mir einst..
Genau das wäre Dein Ansatzpunkt gewesen... Es wird Dir gesagt: Da passt nix zusammen!!!

Ich "kann"...x...y...z
Ich habe "bekommen"...abcdefghijklmnopqrstuvw -> Will ich nicht!

Also solltest Du ihm schon was vor die Nase halten, was auch unterstützt wird (und es wird Dir auch noch gesagt, das ist auch nicht immer so!) 😁

2022-08-10T21:30:14 Informational charon 09[CFG] <14> configured proposals:
IKE:AES_CBC_128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048,
IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048,
IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,
vs
2022-08-10T21:30:14 Informational charon 09[CFG] <14> received proposals:
IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,

DH2 (MODP_1024) vs DH14 (MODP_2048)... Knapp daneben ist bei IPsec halt auch "dran vorbei", muss schon passen ☺️
 

tiermutter

Well-known member
DH2 (MODP_1024) vs DH14 (MODP_2048)... Knapp daneben ist bei IPsec halt auch "dran vorbei", muss schon passen
Ja deswegen sagte ich ja dass ich DH auf 1024 angepasst habe (mir blieb ja nichts übrig als es ausm Log zu erfahren).
Nun bekommt er ja die Verschlüsselung die er kann... ohne Erfolg.
1660163247495.png
Da sollte was dabei sein... aber auch DES und AES habe ich schon erfolglos versucht, Log entspricht immer dem im ersten Post.
 

blurrrr

Well-known member
Also irgendwie hab ich den Eindruck, dass es grade so läuft: Ich mal überall Haken, wo es nur geht, schmeiss alles rein, irgendwas wird schon stimmen, Windows fragt mich sowieso nach nix und dann wird das schon irgendwie passen 😁

Da sollte was dabei sein...
Meep, falsche Antwort, von "sollte" hat sich noch keiner was kaufen können 😜

Nimm einfach mal "eins" und lass alles andere aussen vor und dann arbeite Dich step-by-step durch. Eigentlich fährt man immer ganz gut mit DH2, AES256 und SHA1, mir ist jedenfalls seit geraumer Zeit nix untergekommen, was das nicht könnte.
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Einfach, simpel, schlicht. Was hinterher noch so "geht" (und was nicht), das kannste dann noch immer ausprobieren.

Btw ich weiss nicht, wie es bei der OPNsense so läuft, aber wäre vllt nicht verkehrt, nach Änderungen strongswan einmal komplett neuzustarten (über die Buttons oben). Die Effekte sind ja auch immer ganz nett, wenn es mit einem Reload nicht getan ist, man aber davon ausgeht, dass die getätigten Änderungen durch sind ☺️

EDIT: Mitunter hilft es auch der Übersicht, wenn Du temporär mal zum Shrewsoft VPN Client greifst, da Du dort Authentifzierung, Phase1 und Phase2 gezielt konfigurieren kannst (halt anders als bei Windows...). Den nutze ich auch noch (primär für Fritzbox-VPN, aber auch anderweitige Verbindungen, welche eine speziellere Config brauchen).
 

tiermutter

Well-known member
Nimm einfach mal "eins" und lass alles andere aussen vor und dann arbeite Dich step-by-step durch.
So hatte ich einst angefangen :D
Habe nochmal das alte Tutorial abgearbeitet, da war vorhin wohl was verkehrt, jedenfalls kommt es nun schonmal soweit, dass die Authentifizierung fehlschlägt, womit ein neues Problem beginnt. :( Keine Ahnung warum:
2022-08-10T23:11:30 Informational charon 07[ENC] <1> generating INFORMATIONAL_V1 request 2381904021 [ HASH N(AUTH_FAILED) ]
2022-08-10T23:11:30 Informational charon 07[IKE] <1> found 1 matching config, but none allows pre-shared key authentication using Main Mode
Main Mode ist nicht aktiv, sondern aggressive. Main Mode bringt auch keine Änderung. Das scheint auch irgendwie buggy zu sein, denn in der Configdatei ist aggressive Mode deaktiv. Manuell anpassen hilft aber auch nicht und wenn ich den Server neustarte wird die Änderung verworfen.
Btw ich weiss nicht, wie es bei der OPNsense so läuft, aber wäre vllt nicht verkehrt, nach Änderungen strongswan einmal komplett neuzustarten
Ja macht auch bei Sense oftmals Sinn :D Mache ich auch ständig.
Mitunter hilft es auch der Übersicht, wenn Du temporär mal zum Shrewsoft VPN Client greifst,
Oh man. Daran habe ich auch schon gedacht. Das alter der App passt aber wenigstens zum Tutorial :D
Nicht mehr heute.
 

blurrrr

Well-known member
Also hier funktioniert's...

1660167510805.png

Vielleicht schmeisst Du die ganze Config einfach nochmal komplett weg, startest den Dienst neu und fängst nochmal sauber von vorne an (mit minimaler, sauberer Config) :)

EDIT: Shrewsoft halt primär zum "gucken" (da ist es so schön in die einzelnen Abschnitte aufgeteilt, dachte, das hilft ggf. noch etwas beim Verständnis) , ist ja auch nicht ganz so trivial mit IPSec 🙃
 

tiermutter

Well-known member
So, dann lege ich gleich mal los und fang von vorn an. Da ist aber in jedem Fall etwas buggy, deshalb hatte es anfangs auch gar nicht geklappt:
Wird bei den Phasen in der Auswahl "alle anzeigen" gewählt, wird gar keine Konfig mehr angezeigt. Dadurch hatte ich die angelegte Phase 2 nie gesehen, was mich richtig verwirrt hatte und zur Verzweiflung getrieben hat:

1660190881633.png

1660190975993.png

Die zweite Phase habe ich erst gestern abend gesehen als ich daheim war, hier auf Arbeit ist die Ansicht auf alle gestellt gewesen...
 

tiermutter

Well-known member
Neu aufgesetzt, selbes Ergebnis.
Nochmal neu aufgesetzt mit Zertifikat, selbes Ergebnis.
Ich hab erstmal genug.
 

blurrrr

Well-known member
Anzeige-Bugs... na super, sowas kann man ja mal definitiv gebrauchen, wenn man sich grade mit was neuem beschäftigt 😁 Kannst auch einfach nur ein BSD + Strongswan nehmen und alles via Shell machen, soll ja nicht langweilig werden 😜

So... Upgrade auf 22.7.1, mal schauen, was nun alles hinüber ist... Fand das eh schon merkwürdig, dass bei Dir die 2. Phase da so alleine in der Gegend rumstand...

Naja, das mit dem Anzeigebug kann ich jetzt so nicht unterschreiben.... Früher stand Phase2 immer direkt unter dem Eintrag der Phase1 (also "direkt" darunter, 1 Zeile drunter). Bei pfSense konnte man immer einfach ausklappen... Jetzt mit Stand 22.7.1 sieht das hier so aus:
1660212164848.png
Das markierte ist eindeutig Phase "2" und nicht "1" (weiter rechts steht unten beim markierten auch "Phase2 Proposal"....). Also: Lass Dich nicht irre machen... 😁

Früher auf der pfSense sah es z.B. so aus, fand ich deutlich angenehmer:
1660214697048.png
 
Zuletzt bearbeitet:

tiermutter

Well-known member
Wenn Du eine fertige Test-Config auf OPNsense laufen hast, magst Du mir die einfach mal zukommen lassen? 😇
 

blurrrr

Well-known member
Sorry, ich hab es nicht so mit den *sense-Dingern, maximal Site2Site (wenn es denn sein muss). Im konkreten o.g. Fall hab ich auch nur eine OPNsense vor einer anderen Firewall laufen (für den gröbsten Mist), VPN geht da komplett durch und terminiert auf der Firewall dahinter. Hatte da also nur kurzzeitig was für die Screenshots angelegt (wobei IPSec da auch nie aktiviert war) 😇 Der Screenshot von der pfSense zeigt übrigens eine Site2Site-Verbindung, das hilft Dir in Deinem konkreten Fall auch nicht weiter.
 

tiermutter

Well-known member
Danke! Dann zieht das Argument an andere Stelle, IPsec würde hier auch OS-buildin funktionieren, aber nicht so wirklich... Jedenfalls funktioniert das mit IKEv1 ja nicht so wirklich klasse, oder gibt es bei IKEv1 noch eine Methode die ausreichend sicher ist?
 

blurrrr

Well-known member
Niemand hat behauptet, dass IKEv1 "unsicher" wäre... Die Verschlüsselung spielt eine Rolle, ebenso wie der aggresive-Mode.

Guckste erstmal hier: https://de.wikipedia.org/wiki/IPsec#Unterschied_zwischen_IKEv1_und_IKEv2 und hier: https://www.security-insider.de/was-ist-ikev2-a-781374/

Das Wörtchen "sicherer" ...."naja"...., ggf. neue Cipher, was aber nicht heisst, dass die älteren Cipher deswegen automatisch "unsicherer" wären. IKEv2 ist auch etwas schneller beim Verbindungsaufbau (reduzierte Anzahl von Paketen), ist also insgesamt etwas geschmeidiger, sicherlich, aber heisst nicht, dass man jetzt panisch im Kreis rennen soll und sofort alles - was IKEv1 betrifft - wegschmeissen muss. Es hat definitiv seine Vorteile, keine Frage, grade bei Mobilgeräten merkt man das schon recht deutlich, aber "zwingend" ist das bei weitem auch nicht (schöner schon zugegebenermaßen).

Zum analogen Vergleich: Du hast eine 10m dicke Steinwand um Dein Haus gezogen... jetzt gibt es eine 1m dicke Stahlwand, die noch mehr ab kann als die 10m-Steinwand.... Direkt die Steinwand abreissen und durch die Stahlwand ersetzen? "Schneller" ist man natürlich auch durch sein Tor gelaufen, man muss ja auch direkt mal 9m weiter weit laufen bis man durch ist... 😁 Falls es von Interesse ist: Ich hab noch genügend IKEv1-Tunnel laufen (teilweise auch, weil es garnicht anders geht), dazu kommt auch, dass die primär eingesetzte Firewall-Lösung bis heute keinen IKEv2-Support hat (ist aber halt auch nicht der neuste hippe Kram) 😇
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
968
Beiträge
14.035
Mitglieder
499
Neuestes Mitglied
John58
Oben