Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
tmevent
Beiträge: 11
Registriert: 23 Feb 2013, 16:37

Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense

Beitrag von tmevent »

Hallo,

ich versuche gerade eine IKEv2 Verbindung zwischen einem Lancom 1783WAV und einer gehosteten pfSense Firewall von PSK auf Zertifikate umzustellen.
Leider kenne ich mich mit dem Thema Zertifikate nicht sonderlich gut aus, habe mich aber soweit wie möglich eingelesen.
Als Zertifizierunsstelle dient die pfSense und ich habe die erstellten Client Zertifikate im Lancom über Lanconfig hochgeladen.
Im Lancom ist die CA nicht aktiviert da der 1783 dafür keine Lizenz hat.
Ich habe keine Ahnung wie ich mir nun anzeigen lassen kann och die Zertifikate erfolgreich installiert wurden. Lanmonitor zeigt diese nicht an.

Im Lanmonitor wird folgender Fehler angezeigt :
IKE Schlüssel stimmt nicht überein (Aktiver Verbindungsaufbau, IKE) (0x210A)

Sollte das Zertifikat wirklich im Lancom installiert sein, ist für mich noch nicht ganz schlüssig welchen Namen ich in der Konfiguration unter Authentifizierung angebe (jeweils unter Lokaler- und Entfernter Identität) CN= und hier der Name des Zertifikates (sn (?)) oder der CN Name aus dem Zertifikat, also ein FQDN in meinem Fall

danke schonmal für Hilfe. Einen Trace erstelle ich gerne, dafür müsste ich aber bei den Parametern einen Tipp bekommen was benötigt wird.
tmevent
Beiträge: 11
Registriert: 23 Feb 2013, 16:37

Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense

Beitrag von tmevent »

Einen Schritt weiter bin ich
über die Webschnittstelle kann ich mit SHOW "VPN CA" / "VPN cert" vorhandene Zertifikate auflisten Lassen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense

Beitrag von GrandDixence »

VPN-Tunnel mit IKEv2/IPSec gemäss der entsprechenden Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
einrichten.
tmevent
Beiträge: 11
Registriert: 23 Feb 2013, 16:37

Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense

Beitrag von tmevent »

Das habe ich so gemacht und auch mehrfach überflogen.
Ich habe dabei leider 2 Probleme :
1) Mit PSK bekomme ich es hin, mit Zertifikaten leider nicht, die Zertifikate funktionieren bei der Client Einwahl in pfSense problemlos. Bei der Client Einwahl am Lancom funktioniert es nur wenn die vereinfachte Einwahl mit Zertifikat aktiviert ist. Die Zertifikate wurden unter pfSense erstellt.

2) Aus dem entfernten pfSense Netz kann ich das Lancom Netz nicht erreichen. Die FW ist offen, ich weis nicht wo ich da in pfSense oder dem Lancom noch was einstellen muss.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense

Beitrag von GrandDixence »

Mit IKE-Trace feststellen wo es "hakt":
viewtopic.php?f=31&t=17621&p=99943#p99943

Für die Fehlersuche bei Zertifikats-Problemen siehe:
viewtopic.php?f=14&t=18184&p=103339

Alles andere ist Kaffeesatzlesen...
tmevent
Beiträge: 11
Registriert: 23 Feb 2013, 16:37

Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense

Beitrag von tmevent »

Der Fehler lag in der Authentifizierung. Lokale und entfernte Authentifizierung noch mal geprüft und dann lief es.
Antworten