IPSec tunnel mit Strongswan und IKEv2 - Abbruch nach response 1

  • Hallo an alle,
    ich versuche gerade mit einem Raspi nach der angefügten Anleitung (Anhang) einen IPsec Tunnel aufzubauen. Im Prinzip hatte das auf Anhieb super funktioniert. Nach erfolgreichem Zugriff auf dem VPN Server mit meiner direkten Provider IP Adresse hatte ich noch diverse Versuche unternommen über meine DYNDNS Adresse auch eine Verbindung aufzubauen. Dazu habe ich unter anderem ein neues Serverzertifikat mit neuer FQDN erzeugt. Danach ging leider gar nichts mehr. D.h. ich habe die Einstellung auf die alten erfolglos zurückgesetzt und sogar ein komplett neues Linux installiert und darin neue Zertifikate generiert.

    Die Einwahl funktioniert noch bis „IKE_AUTH response 1“ und bricht dann ab.
    Als alles noch lief hatte ich mir den Verbindungsaufbau, zur Fehlerdiagnose für die Versuche mit den DYNDNS Adresse, in eine Datei geschrieben.
    Der Verbindungsaufbau ist identisch bis zur Zeile, die ich mit „A“ markiert habe die nun bei der Fehlerhaften Einstellung wie“ B“ zurückgegeben wird. Danach erfolgt der Abbruch.


    (Der Unterschied der cert in A und B liegt natürlich daran das diese komplett neu generiert wurden)


    Hat jemand eine Idee wo der Fehler zu suchen ist?
    Gibt es weitere LOG Möglichkeiten in der mehr Details zu finden sind?
    Kommt das Windows Phone evtl. nicht damit klar, das ich mehrere Zeritfikate installiert habe (kann man die alten löschen?)

    Vielen Dank im Voraus
    Gruß Peter

    Link Anleitung:
    http://tmbl.in/post/925522970…-8-1-vpn-with-a

  • IPSec tunnel mit Strongswan und IKEv2 - Abbruch nach response 1? Schau mal ob du hier fündig wirst!

  • Hallo,
    ich konnte den Fehler die Tage etwas eingrenzen. Es muß irgendwie mit der OPENSSL Zertifikat Generierung und der FQDN zu tun haben. Ich habe alle Zertifikate noch mal neu erstellt wie in der oben angefügten Anleitung => Ergebnis: gleich wie im ersten Beitrag beschrieben. Dann habe ich im Abschnitt der Anleitung

    Zitat


    extendedKeyUsage = serverAuth
    subjectAltName = DNS:**YOUR FQDN**
    authorityKeyIdentifier=keyid

    statt dem Ergebnis von hostname –f --fqdn „VPNserver.fritz.box“ für „FQDN“ meine Provider IP eingetragen und
    mit

    Zitat


    openssl x509 -req -days 1094 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt -extfile settings.conf

    das server.crt Zertifikat neu generiert.

    Und siehe da es funktioniert. Aber das kann ja nicht sinnvoll sein da die Provider IP ja nicht fix ist und eigentlich sollte dieser Eintrag identisch sein zum Eintrag in der ipsec.conf. Also wieder zurückgeändert und wieder neu generiert. Wie erwartet keine Funktion. Wieder in Provider IP geändert und überraschender Weise geht das jetzt auch nicht mehr??:@ Einen Schreibfehler kann ich ausschließen, weil ich ja die Befehle noch im Tastatur Puffer hatte und nicht neu eintippen musste.
    (Dazwischen VPN Dienst gestoppt und wieder gestartet und auch reboot getetstet damit nichts im Speicher/Puffer bleibt.)

    Zum Glück hatte ich alle Zertifikate als es diesmal funktioniert hatte gespeichert, so das der VPN Server aktuell läuft. Wenn sich meine IP ändert stehe allerdings wieder genau an diesem Punkt.

    Hat jemand eine Idee was ich falsch mache? :helpnew:

    Danke im voraus
    Peter

  • Hallo
    So nun nach weiteren Stunden suchen habe ich meinen Fehler gefunden. Evtl. hilft es noch jemand anderem weiter.

    Mein Fehler: ich bin immer davon ausgegangen, das die FQDN in allen Einstellungen der Anleitung gleich ist. Dh. In der “ipsec.conf“, in der „settings.conf“ und bei er Zertifikatserstellung "server.csr". Ich hatte die FQDN an allen 3 Positionen immer gleich. Z.B. „VPNserver.fritz.box“ oder als Variante die „Provider IP“ oder als weitere Variante meine DynDNS Adresse xyz.goip.de

    Funktioniert hat es bei mir nur richtig nach der angefügten Anleitung, wenn ich in der „ipsec.conf“ „VPNserver.fritz.box“ (ermittelt durch hostname –f –fqdn) eingetragen habe und an den anderen beiden Stellen die Provider-Ip oder meinen DynDNS Namen verwendet habe.

    Damit funktioniert es ;)
    Gruß Peter

    (Der eine Fall als es funktioniert hatte hatte ich sicher beim Ändern der Dateien einen Eintrag vergessen nachzuziehen)
    Meine Konfiguration: DynDNS Adresse(ProviderIP) --- fritzbox --- Raspi VPNserver

  • Hallo zusammen!

    Wie habt ihr es geschafft dasZertifikat richtig im Windowsphone zu installieren? Ich kann es zwar installieren (umbenannt als ca.cer), bekomme auch eine Bestätigung vom Phone, das es installiert wurde. Letztendlich ist es aber bei IKEV2 nicht auswählbar. Es erscheint weiter: "Auf dem Handy wurden keine Zertifikate gefunden. Installieren Sie ein Zertifkat...."
    Wenn ich den "Haken" bei Serverzertifikatsüberprüfung setzte, erscheint es dort...

    Irgendwelche Tipps für mich?

    Vielen Dank im Voraus!
    Bernd

  • Hallo Bernd,
    So war das bei mir auch. Ich habe das Zertifikat umbenannt und installiert. Bei "Verbinden über" im WP habe ich dann jedoch nicht Zertifikat ausgewählt sondern "Benutzername und Kennwort". Beides muss in der IPSec.secret enthalten sein. Vor dem Benutzernamen kommt noch meine ich der Name das Windows phone vorne dran. Wie der genau auszusehen hat, kannst du am besten rausfinden, in dem du einmal nur versuchst dich mit dem Benutzernamen zu verbinden. Wenn Du die log Ausgabe anschaust, steht da dann genau drin, mit welchem Namen Dein WP erfolglos versucht hat zu verbinden. Genau diesen trägst Du dann in die IPSec.secret ein. Zur Ausgabe der Informationen einmal den Dienst stoppen mit "IPSec stop" und Neustarten mit "IPSec Start --nofork" .

    Damit sollte es möglich sein den Tunnel aufzubauen. Ob es evtl. ohne die Installation des Zertifikates auf dem Wp funktioniert hätte kann ich nicht sagen, weil ich es zuvor gleich wie du erst über das Zertifikat probiert habe. (Eine Option zum löschen eines Zertifikates auf dem WP habe ich nicht gefunden) Ich war froh als nach etlichen Abenden endlich die VPN Verbindung stand und hab es dann mit dem Buntzernamen und Kennwort belassen.

    Falls Du es doch nocht mit dem Zertifikat hinbekommst kannst Du uns ja berichten. Dann würde ich es denke ich auch noch mal ändern.

    Evtl. Hilft dir die Info weiter.

    Gruß Peter

  • Hallo Peter!

    VIELEN DANK! :thumbs1:

    Die VPN Verbindung funktioniert jetzt endlich auch bei mir mit Windowsphone. Auch wenn das Zertifikat im Handy nicht angezeigt wird...

    Gruß
    Bernd

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!