Forumdelen sponsras av

Trädvy Permalänk
Medlem
Plats
localhost
Registrerad
Okt 2004

IPsec ikev2 med radius autentisering

Hej,

har lite problem att få igång detta på min pfsense

detta är vad jag hittar i loggen:

Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received cert request for unknown ca with keyid 11:11:11:11:11:11:1 Nov 12 09:30:01 charon 12[IKE] <47> received 52 cert requests for an unknown ca Nov 12 09:30:01 charon 12[CFG] <47> looking for peer configs matching XX.XX.XX.XX[%any]...XX.XX.XX.XX[XX.XX.XX.XX] Nov 12 09:30:01 charon 12[CFG] <47> candidate "con-mobile", match: 1/1/1052 (me/other/ike) Nov 12 09:30:01 charon 12[CFG] <con-mobile|47> selected peer config 'con-mobile' Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> initiating EAP_IDENTITY method (id 0x00) Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> processing INTERNAL_IP4_ADDRESS attribute Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> processing INTERNAL_IP4_DNS attribute Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> processing INTERNAL_IP4_NBNS attribute Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> processing INTERNAL_IP4_SERVER attribute Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> processing INTERNAL_IP6_ADDRESS attribute Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> processing INTERNAL_IP6_DNS attribute Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> processing INTERNAL_IP6_SERVER attribute Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> peer supports MOBIKE Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> authentication of 'vpn.domain.com' (myself) with RSA signature successful Nov 12 09:30:01 charon 12[IKE] <con-mobile|47> sending end entity cert "CN=vpn.domain.com, C=SE, ST=XXXXX, L=XXX, O=XXXXXXX" Nov 12 09:30:01 charon 12[ENC] <con-mobile|47> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ] Nov 12 09:30:01 charon 12[ENC] <con-mobile|47> splitting IKE message (1664 bytes) into 2 fragments Nov 12 09:30:01 charon 12[ENC] <con-mobile|47> generating IKE_AUTH response 1 [ EF(1/2) ] Nov 12 09:30:01 charon 12[ENC] <con-mobile|47> generating IKE_AUTH response 1 [ EF(2/2) ] Nov 12 09:30:01 charon 12[NET] <con-mobile|47> sending packet: from XX.XX.XX.XX[4500] to XX.XX.XX.XX[3141] (1236 bytes) Nov 12 09:30:01 charon 12[NET] <con-mobile|47> sending packet: from XX.XX.XX.XX[4500] to XX.XX.XX.XX[3141] (500 bytes) Nov 12 09:30:31 charon 12[JOB] <con-mobile|47> deleting half open IKE_SA with XX.XX.XX.XX after timeout Nov 12 09:30:31 charon 12[IKE] <con-mobile|47> IKE_SA con-mobile[47] state change: CONNECTING => DESTROYING

Settings:

stage2:

Förslag på vad jag missar?
på datorn får jag: IKE authentication credentials are unacceptable felmeddelandet

Citera om du vill ha svar :)

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005
Skrivet av Pelle:

Förslag på vad jag missar?
på datorn får jag: IKE authentication credentials are unacceptable felmeddelandet

Du berättar inte vad du försöker göra eller få till för slags funtionalitet i din pfsense. Då blir det lite enklare att hjälpa till.

Du har läst och förstått infon @ https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configur... ?

Trädvy Permalänk
Medlem
Plats
localhost
Registrerad
Okt 2004
Skrivet av hasenfrasen:

Du berättar inte vad du försöker göra eller få till för slags funtionalitet i din pfsense. Då blir det lite enklare att hjälpa till.

Du har läst och förstått infon @ https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configur... ?

Remote access. Det är mest i labbsyfte just nu då jag har en fungerande openvpn.
Det konstiga är att jag får igång tunneln på min pc när jag bockar i "automatically use my windows log-on name and password (and domain if any)

men får ej igång det på min arbetsdator då den är i en annan domän.

Citera om du vill ha svar :)

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005
Skrivet av Pelle:

men får ej igång det på min arbetsdator då den är i en annan domän.

I all välmening, var försiktig med att mecka med den dator som arbetsgivaren tillhandahåller. Hur ser företagets IT-policy ut?

Eftersom du förmodligen inte har kontroll över eller insikt i detalj hur företagets nätverk är uppsatt är det inte ens lönt att diskutera eventuella kreativa lösningar eller genvägar runt eventuella problem. Det kan vara grund för uppsägning att mecka sånt som strider mot eventuell IT-policy.

Ett gammalt exempel - 90-talet, en metallare anställd på ett av sveriges top 10 största företag "lånade" ip-adressen från en vax/vms server för att kunna surfa på internet. Att vms-kärrans tjänster slutade fungera och stoppade leveranser för 32 miljoner per dygn hade han ingen aning om. Denne blev uppsagd och fick gå hem samma dag med lön i 30 dagar.

Trädvy Permalänk
Medlem
Plats
localhost
Registrerad
Okt 2004
Skrivet av hasenfrasen:

I all välmening, var försiktig med att mecka med den dator som arbetsgivaren tillhandahåller. Hur ser företagets IT-policy ut?

Eftersom du förmodligen inte har kontroll över eller insikt i detalj hur företagets nätverk är uppsatt är det inte ens lönt att diskutera eventuella kreativa lösningar eller genvägar runt eventuella problem. Det kan vara grund för uppsägning att mecka sånt som strider mot eventuell IT-policy.

Ett gammalt exempel - 90-talet, en metallare anställd på ett av sveriges top 10 största företag "lånade" ip-adressen från en vax/vms server för att kunna surfa på internet. Att vms-kärrans tjänster slutade fungera och stoppade leveranser för 32 miljoner per dygn hade han ingen aning om. Denne blev uppsagd och fick gå hem samma dag med lön i 30 dagar.

Jag har full kontroll över företagets infrastruktur så det är inga problem
Det är inte på företagets nätverk jag håller på att labba, att jag installerar vpn klient/anslutning på datorn är inga problem.
Min pc är domän ansluten till min domän medans jobbdatorn är ansluten till företagets.

Citera om du vill ha svar :)

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

Du glömmer fortfarande berätta på vilket/vilka nät datorerna finns på. Samma/olika? Utrustning i respektiven ände. Hur hade du tänkt lösa CA't, köpt eller egen-signerat?