Hallo,
ich versuche gerade eine IKEv2 Verbindung zwischen einem Lancom 1783WAV und einer gehosteten pfSense Firewall von PSK auf Zertifikate umzustellen.
Leider kenne ich mich mit dem Thema Zertifikate nicht sonderlich gut aus, habe mich aber soweit wie möglich eingelesen.
Als Zertifizierunsstelle dient die pfSense und ich habe die erstellten Client Zertifikate im Lancom über Lanconfig hochgeladen.
Im Lancom ist die CA nicht aktiviert da der 1783 dafür keine Lizenz hat.
Ich habe keine Ahnung wie ich mir nun anzeigen lassen kann och die Zertifikate erfolgreich installiert wurden. Lanmonitor zeigt diese nicht an.
Im Lanmonitor wird folgender Fehler angezeigt :
IKE Schlüssel stimmt nicht überein (Aktiver Verbindungsaufbau, IKE) (0x210A)
Sollte das Zertifikat wirklich im Lancom installiert sein, ist für mich noch nicht ganz schlüssig welchen Namen ich in der Konfiguration unter Authentifizierung angebe (jeweils unter Lokaler- und Entfernter Identität) CN= und hier der Name des Zertifikates (sn (?)) oder der CN Name aus dem Zertifikat, also ein FQDN in meinem Fall
danke schonmal für Hilfe. Einen Trace erstelle ich gerne, dafür müsste ich aber bei den Parametern einen Tipp bekommen was benötigt wird.
Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense
Moderator: Lancom-Systems Moderatoren
Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense
Einen Schritt weiter bin ich
über die Webschnittstelle kann ich mit SHOW "VPN CA" / "VPN cert" vorhandene Zertifikate auflisten Lassen.
über die Webschnittstelle kann ich mit SHOW "VPN CA" / "VPN cert" vorhandene Zertifikate auflisten Lassen.
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense
VPN-Tunnel mit IKEv2/IPSec gemäss der entsprechenden Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
einrichten.
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
einrichten.
Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense
Das habe ich so gemacht und auch mehrfach überflogen.
Ich habe dabei leider 2 Probleme :
1) Mit PSK bekomme ich es hin, mit Zertifikaten leider nicht, die Zertifikate funktionieren bei der Client Einwahl in pfSense problemlos. Bei der Client Einwahl am Lancom funktioniert es nur wenn die vereinfachte Einwahl mit Zertifikat aktiviert ist. Die Zertifikate wurden unter pfSense erstellt.
2) Aus dem entfernten pfSense Netz kann ich das Lancom Netz nicht erreichen. Die FW ist offen, ich weis nicht wo ich da in pfSense oder dem Lancom noch was einstellen muss.
Ich habe dabei leider 2 Probleme :
1) Mit PSK bekomme ich es hin, mit Zertifikaten leider nicht, die Zertifikate funktionieren bei der Client Einwahl in pfSense problemlos. Bei der Client Einwahl am Lancom funktioniert es nur wenn die vereinfachte Einwahl mit Zertifikat aktiviert ist. Die Zertifikate wurden unter pfSense erstellt.
2) Aus dem entfernten pfSense Netz kann ich das Lancom Netz nicht erreichen. Die FW ist offen, ich weis nicht wo ich da in pfSense oder dem Lancom noch was einstellen muss.
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense
Mit IKE-Trace feststellen wo es "hakt":
viewtopic.php?f=31&t=17621&p=99943#p99943
Für die Fehlersuche bei Zertifikats-Problemen siehe:
viewtopic.php?f=14&t=18184&p=103339
Alles andere ist Kaffeesatzlesen...
viewtopic.php?f=31&t=17621&p=99943#p99943
Für die Fehlersuche bei Zertifikats-Problemen siehe:
viewtopic.php?f=14&t=18184&p=103339
Alles andere ist Kaffeesatzlesen...
Re: Zertifikatbasierte site-to-site Verbindung Lancom mit pfSense
Der Fehler lag in der Authentifizierung. Lokale und entfernte Authentifizierung noch mal geprüft und dann lief es.