ComputerBase
Aktuelles

IPSec & Connect Box

/root

/root

Lt. Commander
Registriert
Okt. 2007
Beiträge
1.286
Hallo,

Ich versuche gerade einen VPN Zugriff auf mein Heimnetzwerk zu bauen.
Dafür möchte ich IPSec IKEv2 und eine pfSense Firewall verwenden.
Hab den IPSec Server nach dieser Anleitung konfiguriert.
Der Windows 10 im LAN kann erfolgreich einen IPSec Tunnel auf die Firewall aufbauen, eigentlich möchte ich aber dass es vom Internet aus funktioniert damit man auf die IP Webcam im LAN zugreifen kann: geht aber leider nicht.

Auf der UPC Connect Box (Modem) habe ich die Firewall (192.168.0.74) als DMZ Host eingetragen, also sollte eigentlich alle Pakete auf der FW aufschlagen.
Wenn ich ein Packet Capture mache sehe ich auch dass das Smartphone aus dem Internet mit UDP Port 500 auf der FW aufschlägt, die reden dann kurz miteinander und dann hören sie auf.

18:50:13.916167 IP [SMARTPHONE-IP].19547 > 192.168.0.74.500: UDP, length 604
18:50:13.920063 IP 192.168.0.74.500 > [SMARTPHONE-IP].19547: UDP, length 36
18:50:14.055854 IP [SMARTPHONE-IP].19547 > 192.168.0.74.500: UDP, length 604
18:50:14.060085 IP 192.168.0.74.500 > [SMARTPHONE-IP].19547: UDP, length 36

Ich sehe keine Kommunikation auf UDP Port 4500 wie bei einem erfolgreichen Versuch vom LAN mit dem Notebook aus.

Könnte das Modem das Verbindungsproblem verursachen? Irgendwie gibt es bei IPSec ja "NAT-Traversal" was ich nicht so 100% verstehe.
Oder sollte das Setup so eigentlich funktionieren?

LG
ipsec connect.JPG

Ergänzung ()

da sucht man stundenlang den Fehler und 45min nachdem man einen Thread erstellt hat kommt man drauf :rolleyes:

Die Lösung war aber irgendwie unerwartet, es waren die Crypto Proposals für die PHASE1 die mit iOS nicht kompatibel waren:

  • Set Encryption algorithm to 3DES or, if there are no iOS/OS X devices, AES 256
  • Set Hash algorithm to SHA1, or, if there are no iOS/OS X devices, SHA256
Zum Vergrößern anklicken....
Quelle: https://www.netgate.com/docs/pfsens...mobile-vpn-using-ikev2-with-eap-mschapv2.html

Warum iOS da 3DES haben will kann ich nicht ganz nachvollziehen aber bitte
 
Zuletzt bearbeitet:
@/root Mich würde sehr interessieren, wie du die Connect Box (genau) konfiguriert hast. Ich habe es bisher nicht hinbekommen Sie so zu konfigurieren, dass ein Zugriff von außen möglich ist.

Hast du IPv6 (DS-Light) oder IPv4?
 
Hey sklaes,

Also IPv6 ist auf meiner Connect Box definitiv abgedreht, das hat mal Probleme gemacht und das wurde vom Support deaktiviert.

Zusätzlich ist noch wichtig dass man IPSec am Server mit MOBIKE (RFC 4555) konfiguriert - dann braucht man nämlich nur die UDP Ports 500 und 4500 weiterleiten.
Wenn man IPSEc ohne MOBIKE verwendet, braucht man zusätzlich noch das ESP IP-Protokoll und das kann die Connect Box nicht so ohne weiteres Port Forwarden.
Ich habe also nur die beiden Ports weitergeleitet auf der Connect Box und es funktioniert, siehe Screenshot, die 192.168.0.74 ist meine pfsense FW.

connectbox2.png


PS: ich hab zum konfigurieren des IPSec auf pfsense eigentlich 1:1 diese Anleitung verwendet
https://www.administrator.de/wissen...utzer-pfsense-firewall-einrichten-337198.html

Ich hab dann nur noch zusätzlich 3DES und SHA1 bei den Crypto Proposals hinzugefügt wegen der Kompatibilität mit iOS (scheinbar bevorzugt das OS 3DES wegen Hardwarebeschleunigung)
 
Zuletzt bearbeitet:
Meiner Connect Box (Unitymedia) fehlen diese Optionen komplett - bei welchem Anbieter bist du? UPC.at?

1528544195102.png
 
Wenn du die Möglichkeit hast die Connectbox im Bridgemodus als Modem zu nutzen, würde ich das tun. So kannst du dir das Doppel NAT und DMZ sparen. Momentan agiert die Connectbox bei dir als Router.

Unitymedia Kunden wie ich warten schon seit Jahren auf die Freischaltung des Bridgemodus :(
Deshalb tut es mir im Herzen weh, dass du ihn nutzen kannst und nicht tust...
 
Nurum schrieb:
Unitymedia Kunden wie ich warten schon seit Jahren auf die Freischaltung des Bridgemodus :(
Deshalb tut es mir im Herzen weh, dass du ihn nutzen kannst und nicht tust...
Zum Vergrößern anklicken....

Kann man natürlich machen ... sehe für mich jetzt aber keinen Vorteil.
Doppelt NAT hat ja keine merkbare Auswirkung auf die Anwendung und ist zumindest ein kleines zusätzliches Sicherheitsnetz dafür wenn ich einen Konfigurationsfehler auf meiner FW habe.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Gibt meine Connect Box den Geist auf?
2
Antworten
25
Aufrufe
1.836
norKoeri
N
A
VPN Einrichten mit DS Lite - Fritzbox 7590 an Vodafone Connect Box
Antworten
16
Aufrufe
4.106
hildefeuer
H
T
Samsung UE78JS9590 - Lüfter Fehlermeldung One-Connect-Box
Antworten
4
Aufrufe
924
Thandrasil
T
Donald Duck
Kann unter Lutris Ubisoft Connect nicht installieren
Antworten
5
Aufrufe
597
Kuristina
Kuristina
H
Smart Plugs von Eightree über Vodafone Connect Box einrichten schlägt fehl (Smart Life-App)
Antworten
8
Aufrufe
2.317
Horus676
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz