IPsec R884VA <-> pfSense

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
El Muchacho
Beiträge: 1
Registriert: 16 Jan 2023, 10:27

IPsec R884VA <-> pfSense

Beitrag von El Muchacho »

Aloha zusammen ...

... kurz zum Hintergrund:
Wir haben hier an einem Standort einen LANCOM R884VA stehen, der neben dem Internet-Zugang für den Standort auch für das SIP trunking der TK-Anlage verantwortlich ist und einen IPsec Tunnel zu einer pfSense bei HETZNER aufbaut.
All dies läuft auch einwandfrei.

Nun versuche ich gerade aus der Konfiguration des LANCOM R884VA schlau zu werden, da wir einen zweiten Tunnel zu einer weiteren pfSense herstellen müssen.

Da ich hinsichtlich LANCOM absoluter Neuling bin, habe ich erst einmal LANconfig installiert und den Assistenten für die Verbindung zweier Netzwerke durchlaufen lassen. Der einzige Punkt, der mir nicht klar ist, wofür das erste Kennwort sein soll.
lancom-ipsec-assistent.png
Danach habe ich die Einstellungen der pfSense mit denen des LANCOM abgeglichen, aber im LANmonitor sehe ich immer nur "Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) (0x1106)".
In der WebUI steht als Fehler bei den Verbindungsinformationen "IFC-I-Connection-timeout-IKE-IPSEC".

Selbst wenn ich den Tunnel so einstelle, wie auch der erste Tunnel zur anderen pfSense konfiguriert ist, lande ich beim gleichen Fehler.

Ich habe in den IPv4 Regeln auch schon eine neue Regel erstellt und statt des "WIZ-ANY-TO-ANY" versucht.

Die Infos zum Tracing habe ich auch schon versucht abzuarbeiten, aber ich habe keine Idee, welche Zugangsdaten hier gefragt sind. Die, mit denen ich mich am LANCOM anmelde passen jedenfalls augenscheinlich nicht.

Innerhalb der pfSense werden ja zwei Phasen zum Verbindungsaufbau verwendet.

Hier mal die Angaben, die in beiden Geräten hinterlegt sind.

IKE-Proposals:
AES-CBC
256bit
SHA-256
PSK
28.800sek

IPSec-Proposals:
AES-CBC
256 bit
HMAC-SHA-256
3.600sek

PFS-Gruppe / IKE-Gruppe : 14

PSK ist eingetragen


Ich hoffe, meine Frage ist nicht zu Laienhaft formuliert und jmd. hat einen "kräftigen Wink mit der Raketenstütze" für mich, warum der Tunnel nicht aufgebaut werden kann.

greetz

Der Rico
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von El Muchacho am 16 Jan 2023, 12:36, insgesamt 1-mal geändert.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IPsec R884VA <-> pfSense

Beitrag von Dr.Einstein »

El Muchacho hat geschrieben: 16 Jan 2023, 11:22 Der einzige Punkt, der mir nicht klar ist, wofür das erste Kennwort sein soll.
Das Passwort stammt aus uralten Lancom Zeiten. IKEv1 hatte nur funktioniert, wenn beide Seiten anhand einer festen IP-Adresse oder/und mittels Zertifikat identifizierbar sind. War dies nicht der Fall, musste auf den unsicheren Agressive Mode gewechselt werden. Lancom hatte ein eigenes Verfahren implementiert, dass für genau diesen Fall sich die Router untereinander Hallo sagen, damit dann trotzdem der Mainmode aufgebaut werden kann. Bei IKEv2 und Anbindung eines Fremdherstellers unter IKEv1 völlig irrelevant.

Du kannst den erzeugten Punkt unter Kommunikation / Protokolle / PPP-Liste bedenkenlos löschen.

Gruß Dr.Einstein
vinet
Beiträge: 23
Registriert: 10 Jan 2022, 23:41

Re: IPsec R884VA <-> pfSense

Beitrag von vinet »

mit pfsense hatte ich mehr probleme bei IPsec VPN Tunnel, daher nutze ich jetzt OPNSense.
Leider auch aktuell wieder ein Problem mit weiteren Netzen die propagiert werden sollen.
viewtopic.php?p=112536#p112536
Antworten