Ich habe im LANCOM Router das Häkchen bei "CRL"-Check entfernt und hoffte, damit den Zertifikatseintrag beim Verbindungsaufbau entgegenzukommen - ohne Erfolg! ![:D]( "Very Happy")
Wegen folgendem Eintrag muss es an den Authentication Credentials liegen.
Liege ich mit folgender Vermutung richtig?:
1 Da er Daten hin und zurück sendet, sollte die Phase 1 erfolgreich abgeschlossen sein? (ich bin mir eigentlich sicher)
2 Wenn ja, liegt es ausschließlich an den Phase 2 Einstellungen? (bin ich mir eigentlich auch sicher)
Wobei:
A Authentication ist laut der OPNsense Oberfläche eher Phase 1?!
B Vielleicht liegt der Wurm doch irgendwo in der Phase 1?!
Zusatz:
a Ich habe in der OPNsense bei Phase 2 mal alles aktiviert was geht ( AES128, AES182, AES256, aes128gcm16, aes192gcm16, aes256gcm16 ) ( SHA1, SHA256, SHA384, SHA512, AES_XCBC ) ( PFS: 14 - Protokoll: ESP ) (Zielnetz und lokales Netz sind korrekt ) ( Lebenszeit: 3600 ) ( P.S.: Zielnetz auf LANCOM ist auch korrekt - damit meine ich den Routing Eintrag )
b Da er beim Verbindungsaufbau aushandelt, sollte es vorher schon gepasst zu haben: Auf jeden Fall hat dies auch nicht geholfen - ich habe es zurück gestellt ( AES256, aes256gcm16 ) ( SHA256, SHA512 ) (ESP mit PFS 14 wie vorher)
c Da ich bei der OPNsense nicht mehr einstellen kann in Phase 2, liegt es dann entweder am LANCOM Phase 2 oder an der Phase 1 (LANCOM oder OPNsense)
Überlegung:
X Ich hatte schon bei anderen Tunneln das Erlebnis gehabt, dass das Ändern der lokalen / entfernten ID zum erfolgreichen Verbindungsaufbau führte - leider habe ich die Logik dahinter noch nicht ganz verstanden
Y da ich experimentiert hatte mit FQUN oder FDQN oder sogar IP Adresse und es irgendwann mal funktioniert hat
Z liegt es dann vermutlich doch an der Phase 1 Authentifizierung? (obwohl Step 3 von 4 (wobei Step 4 ein Informational Request ist laut dem heise Artikel und eigentlich mehr dafür da ist, aufgebaute Verbindungen zu "handhaben"?) schon am Ende des Verbindungsaufbau sein sollte und evtl dadurch Phase 2?
- oder es ist der letzte Step im Verbindungsaufbau von Phase 1 und somit dann wirklich bei den Authentication Credentials zu suchen?
Die "Endpunkte" sind korrekt eingetragen (DynDNS Adressen - auf beiden Seiten stets automatisch aktualisiert und funktionierend)
Eben konnte ich beide korrekt/erfolgreich auflösen bei einem Ping (wobei die OPNsense nicht auf Pings aus dem Internet reagiert![:D]( "Very Happy")
)
(sowie die "lokalen" und "entfernte" Netze sollten korrekt eingetragen sein wie ich eben erwähnte)
![:D]( "Very Happy")
Schönes Wochenende!
Danke schonmal für Antworten!
Danke für den Artikel GrandDixence (der Heise Artikel ist echt gut!![:D]( "Very Happy")
)
P.S.:![:D]( "Very Happy")
Danke auch für diesen Beitrag! ![:)]( "Smile")
Wegen folgendem Eintrag muss es an den Authentication Credentials liegen.
Code:
2025-04-25T16:45:15Informationalcharon09[IKE] <con7|792> received AUTHENTICATION_FAILED notify error2025-04-25T16:45:15Informationalcharon09[ENC] <con7|792> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]1 Da er Daten hin und zurück sendet, sollte die Phase 1 erfolgreich abgeschlossen sein? (ich bin mir eigentlich sicher)
2 Wenn ja, liegt es ausschließlich an den Phase 2 Einstellungen? (bin ich mir eigentlich auch sicher)
Wobei:
A Authentication ist laut der OPNsense Oberfläche eher Phase 1?!
B Vielleicht liegt der Wurm doch irgendwo in der Phase 1?!
Zusatz:
a Ich habe in der OPNsense bei Phase 2 mal alles aktiviert was geht ( AES128, AES182, AES256, aes128gcm16, aes192gcm16, aes256gcm16 ) ( SHA1, SHA256, SHA384, SHA512, AES_XCBC ) ( PFS: 14 - Protokoll: ESP ) (Zielnetz und lokales Netz sind korrekt ) ( Lebenszeit: 3600 ) ( P.S.: Zielnetz auf LANCOM ist auch korrekt - damit meine ich den Routing Eintrag )
b Da er beim Verbindungsaufbau aushandelt, sollte es vorher schon gepasst zu haben: Auf jeden Fall hat dies auch nicht geholfen - ich habe es zurück gestellt ( AES256, aes256gcm16 ) ( SHA256, SHA512 ) (ESP mit PFS 14 wie vorher)
c Da ich bei der OPNsense nicht mehr einstellen kann in Phase 2, liegt es dann entweder am LANCOM Phase 2 oder an der Phase 1 (LANCOM oder OPNsense)
Überlegung:
X Ich hatte schon bei anderen Tunneln das Erlebnis gehabt, dass das Ändern der lokalen / entfernten ID zum erfolgreichen Verbindungsaufbau führte - leider habe ich die Logik dahinter noch nicht ganz verstanden
Y da ich experimentiert hatte mit FQUN oder FDQN oder sogar IP Adresse und es irgendwann mal funktioniert hat
Z liegt es dann vermutlich doch an der Phase 1 Authentifizierung? (obwohl Step 3 von 4 (wobei Step 4 ein Informational Request ist laut dem heise Artikel und eigentlich mehr dafür da ist, aufgebaute Verbindungen zu "handhaben"?) schon am Ende des Verbindungsaufbau sein sollte und evtl dadurch Phase 2?
- oder es ist der letzte Step im Verbindungsaufbau von Phase 1 und somit dann wirklich bei den Authentication Credentials zu suchen?
Diese Frage verstehe ich nicht ganz!Da ein IKE_AUTH-Request-Telegramm versendet wurde, funktioniert die Zweiwegkommunikation zwischen den beiden VPN-Endpunkte (Initiator + Responder). Die Frage ist nun, ob die korrekten VPN-Endpunkt für diesen VPN-Tunnel verwendet werden?!
Die "Endpunkte" sind korrekt eingetragen (DynDNS Adressen - auf beiden Seiten stets automatisch aktualisiert und funktionierend)
Eben konnte ich beide korrekt/erfolgreich auflösen bei einem Ping (wobei die OPNsense nicht auf Pings aus dem Internet reagiert
)(sowie die "lokalen" und "entfernte" Netze sollten korrekt eingetragen sein wie ich eben erwähnte)
Ich hoffe durch den LANCOM Trace und die Bordmittel der OPNsense brauch ich nicht Wireshark/etc. zu installieren auf einem Gerät mit zwei NICs und zwischen Gerät <-> WAN hängen?Mit Wireshark und "Packet Capture" die IKE-Telegramme einfangen und untersuchen:
https://community.f5.com/kb/technicalar ... ark/281164
Schönes Wochenende!
Danke schonmal für Antworten!
Danke für den Artikel GrandDixence (der Heise Artikel ist echt gut!
)P.S.:
Werde ich auch noch austesten!Wenn der LanMonitor abgehender Ruf für die OPNsense-VPN-Verbindung anzeigt, siehst du zu 99,999999% diesen Versuch auch im Trace.
Danke auch für diesen Beitrag! 
Statistik: Verfasst von BestFred — Heute, 17:07
