Netgate SG-1000 microFirewall

Author Topic: ipsec VPN Einstellungen für Connect mit nm-applet  (Read 79 times)

0 Members and 1 Guest are viewing this topic.

Offline nobanzai

  • Newbie
  • *
  • Posts: 23
  • Karma: +0/-0
    • View Profile
ipsec VPN Einstellungen für Connect mit nm-applet
« on: February 12, 2018, 03:07:18 pm »
Hi *,

trotz stundenlangem Studium der diversen Anleitungen habe ich es bisher nicht hinbekommen, ein ipsec VPN auf meinen pfSensen so zu konfigurieren, dass ein Linux-Client via nm-applet (GNOME NetworkManager Applet unter Plasma 5) eine funktionierende Verbindung darauf konfigurieren und aufbauen kann 8-<
Derselbe Client kann gegen ein ipsec VPN auf einem Linux-Server ohne Probleme connecten - dort hatte ich allerdings "pubkey" eingestellt.
Auf den pfSensen ist momentan "eap-tls" eingestellt, wenn etwas Anderes einfacher/besser ist, ist mir das auch recht. "pubkey" kennen die scheinbar nicht.

Beim Verbinden gegen die pfSensen kommt im Log immer:

constraint check failed: EAP identity '%any' required

Das bedeutet nach meinem Verständnis, dass für den Client keine passende Konfiguration gefunden wird.
Sehe ich das richtig? Und wenn ja, was muss ich wo einstellen, dass der Client zugeordnet werden kann?
Auf dem bisherigen ipsec Server hatte ich das auf den ASN.1 DN gesetzt, aber da finde ich in der pfSense-Konfiguration (zumindest in der GUI) keine passende Stelle ausser für den DN des Servers.

Danke und ciao.
Michael.
« Last Edit: February 12, 2018, 03:25:43 pm by nobanzai »

Offline nobanzai

  • Newbie
  • *
  • Posts: 23
  • Karma: +0/-0
    • View Profile
Re: ipsec VPN Einstellungen für Connect mit nm-applet
« Reply #1 on: February 13, 2018, 07:10:10 am »
Tja, wie es aussieht, passen die möglichen Authentisierungsvarianten einfach nicht zusammen.
Auf dem Linux-Client habe ich im nm-applet nur entweder EAP *oder* Zertifikate als Möglichkeiten - nicht die Kombination. EAP-TLS gibt es da einfach nicht.
Auf Android kann ich auf EAP-TLS umstellen, aber dann werden nur Zertifikate genommen, auch kein Passwort.

Ich habe nirgendwo die Möglichkeit gefunden, die ich auf dem Linux-Server hatte:

  rightauth = pubkey
  rightauth2 = eap-md5

Und auch die Möglichkeit der Client-Identifkation per ASN.1 DNB gitb es bei den pfSensen scheinbar nicht, d.h.

 rightid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn client>"
  leftid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn server>"

klappt nur für den Server, nicht für den Client.