IPSec Mobile Tunnel fungerer fra iOS, mislykkes fra macOS

Siden jeg byttet ut den bærbare macOS 10.14.6-datamaskinen min med en ny macOS 13.3-maskin, kan jeg ikke lenger koble til IPSec-mobiltunnelen på kontoret (pfsense 2.60). Men min iPhone (16.4) kan koble til. Oppsettet på de to enhetene ser ut til å være identisk, eller så identisk som de kan gis de forskjellige brukergrensesnittene, f.eks. brukernavnautentisering, samme legitimasjon, samme ekstern ID og server-URL, etc.

Jeg er hjemme hos broren min, med begge enhetene på samme WiFi, med et ikke-konfliktende LAN-subnett.

Her er loggen fra den vellykkede iPhone-tilkoblingen:

Kode:

Apr 14 18:24:11 charon 51579 09[NET] <267> received packet: from my.brothers.public.ip[500] to my.office.public.ip[500] (604 bytes)
Apr 14 18:24:11 charon 51579 09[ENC] <267> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Apr 14 18:24:11 charon 51579 09[IKE] <267> my.brothers.public.ip is initiating an IKE_SA. Apr 14 18:24:11 charon 51579 09[CFG] <267> selected proposal: IKE: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048. Apr 14 18:24:11 charon 51579 09[IKE] <267> remote host is behind NAT. Apr 14 18:24:11 charon 51579 09[IKE] <267> sending cert request for "C=US, ST=California, L=Torrance, O=ACME Rocket Cars, [email protected], CN=internal-ca"
Apr 14 18:24:11 charon 51579 09[ENC] <267> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
Apr 14 18:24:11 charon 51579 09[NET] <267> sending packet: from my.office.public.ip[500] to my.brothers.public.ip[500] (481 bytes)
Apr 14 18:24:11 charon 51579 09[NET] <267> received packet: from my.brothers.public.ip[36250] to my.office.public.ip[4500] (528 bytes)
Apr 14 18:24:11 charon 51579 09[ENC] <267> unknown attribute type INTERNAL_DNS_DOMAIN. Apr 14 18:24:11 charon 51579 09[ENC] <267> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR MASK DHCP DNS ADDR6 DHCP6 DNS6 DOMAIN) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr N(MOBIKE_SUP) ]
Apr 14 18:24:11 charon 51579 09[CFG] <267> looking for peer configs matching my.office.public.ip[acmerocketcars.dyndns.org]...my.brothers.public.ip[10.0.1.106]
Apr 14 18:24:11 charon 51579 09[CFG] 
selected peer config 'con-mobile' Apr 14 18:24:11 charon 51579 09[IKE] initiating EAP_IDENTITY method (id 0x00) Apr 14 18:24:11 charon 51579 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding. Apr 14 18:24:11 charon 51579 09[IKE] peer supports MOBIKE. Apr 14 18:24:11 charon 51579 09[IKE] authentication of 'acmerocketcars.dyndns.org' (myself) with RSA signature successful. Apr 14 18:24:11 charon 51579 09[IKE] sending end entity cert "CN=acmerocketcars.dyndns.org, C=US, ST=California, L=Torrance, O=ACME Rocket Cars" Apr 14 18:24:11 charon 51579 09[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ] Apr 14 18:24:11 charon 51579 09[ENC] splitting IKE message (1696 bytes) into 2 fragments. Apr 14 18:24:11 charon 51579 09[ENC] generating IKE_AUTH response 1 [ EF(1/2) ] Apr 14 18:24:11 charon 51579 09[ENC] generating IKE_AUTH response 1 [ EF(2/2) ] Apr 14 18:24:11 charon 51579 09[NET] sending packet: from my.office.public.ip[4500] to my.brothers.public.ip[36250] (1236 bytes) Apr 14 18:24:11 charon 51579 09[NET] sending packet: from my.office.public.ip[4500] to my.brothers.public.ip[36250] (532 bytes) Apr 14 18:24:11 charon 51579 09[NET] received packet: from my.brothers.public.ip[36250] to my.office.public.ip[4500] (112 bytes) Apr 14 18:24:11 charon 51579 09[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ] Apr 14 18:24:11 charon 51579 09[IKE] received EAP identity '[email protected]' Apr 14 18:24:11 charon 51579 09[IKE] initiating EAP_MSCHAPV2 method (id 0x3B) Apr 14 18:24:11 charon 51579 09[ENC] generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ] Apr 14 18:24:11 charon 51579 09[NET] sending packet: from my.office.public.ip[4500] to my.brothers.public.ip[36250] (112 bytes) Apr 14 18:24:11 charon 51579 09[NET] received packet: from my.brothers.public.ip[36250] to my.office.public.ip[4500] (160 bytes) Apr 14 18:24:11 charon 51579 09[ENC] parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ] Apr 14 18:24:11 charon 51579 09[ENC] generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ] Apr 14 18:24:11 charon 51579 09[NET] sending packet: from my.office.public.ip[4500] to my.brothers.public.ip[36250] (144 bytes) Apr 14 18:24:11 charon 51579 09[NET] received packet: from my.brothers.public.ip[36250] to my.office.public.ip[4500] (80 bytes) Apr 14 18:24:11 charon 51579 09[ENC] parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ] Apr 14 18:24:11 charon 51579 09[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established. Apr 14 18:24:11 charon 51579 09[ENC] generating IKE_AUTH response 4 [ EAP/SUCC ] Apr 14 18:24:11 charon 51579 09[NET] sending packet: from my.office.public.ip[4500] to my.brothers.public.ip[36250] (80 bytes) Apr 14 18:24:11 charon 51579 09[NET] received packet: from my.brothers.public.ip[36250] to my.office.public.ip[4500] (112 bytes) Apr 14 18:24:11 charon 51579 09[ENC] parsed IKE_AUTH request 5 [ AUTH ] Apr 14 18:24:11 charon 51579 09[IKE] authentication of '10.0.1.106' with EAP successful. Apr 14 18:24:11 charon 51579 09[IKE] authentication of 'acmerocketcars.dyndns.org' (myself) with EAP. Apr 14 18:24:11 charon 51579 09[IKE] IKE_SA con-mobile[267] established between my.office.public.ip[acmerocketcars.dyndns.org]...my.brothers.public.ip[10.0.1.106] Apr 14 18:24:11 charon 51579 09[IKE] scheduling rekeying in 25471s. Apr 14 18:24:11 charon 51579 09[IKE] maximum IKE_SA lifetime 28351s. Apr 14 18:24:11 charon 51579 09[IKE] peer requested virtual IP %any. Apr 14 18:24:11 charon 51579 09[CFG] reassigning offline lease to '[email protected]' Apr 14 18:24:11 charon 51579 09[IKE] assigning virtual IP 192.168.10.2 to peer '[email protected]' Apr 14 18:24:11 charon 51579 09[IKE] peer requested virtual IP %any6. Apr 14 18:24:11 charon 51579 09[IKE] no virtual IP found for %any6 requested by '[email protected]' Apr 14 18:24:11 charon 51579 09[CFG] selected proposal: ESP: AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ. Apr 14 18:24:11 charon 51579 09[IKE] CHILD_SA con-mobile{1081} established with SPIs cd0c254a_i 0c19fe2f_o and TS 192.168.10.0/24|192.168.0.0/24 192.168.10.2/32|/0. Apr 14 18:24:11 charon 51579 09[ENC] generating IKE_AUTH response 5 [ AUTH CPRP(ADDR SUBNET (27674) (27675) U_BANNER U_PFS) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ] Apr 14 18:24:11 charon 51579 09[NET] sending packet: from my.office.public.ip[4500] to my.brothers.public.ip[36250] (384 bytes)

mer i neste kommentar.. .
tar et stikk på dette... ike auth går ut på port 4500, fordi du står bak en NAT. i arbeidsscenarioet får du svarpakken:

received packet: from my.brothers.public.ip[36250] to my.office.public.ip[4500] (112 bytes)

fordi IP-ene ser ut til å være de samme, virker det som et konfigurasjonsproblem der destinasjonen ikke bekrefter forespørselen. det kan være venstre/høyre identifikatorer du må legge til. siden NAT er i spill, kan det hende at venstre/høyre definisjoner ikke er nok. Det kan hende du må legge til leftid eller rightid til konfigurasjonen for å gjøre rede for NAT. left/right er vanligvis de offentlige IP-ene og leftid/rightid er NAT-adressen (vanligvis RFC1918 adresserom).

Logger fra Console.app (se etter "raccoon") vil være nyttige.

Kentzo sa:

Logger fra Console.app (se etter "raccoon") vil være nyttige.

Klikk for å utvide...
Takk! Det gjorde susen. Det viser seg at verken "vaskbjørn" eller "vaskbjørn" vises i loggene, men søker etter "IKEv2" til slutt avslørte at nessessionmanager er tingen som administrerte tilkoblingene mine på min Mac, og det genererte dette feil:

Kode:

default 16:58:49.388179-0600 nesessionmanager NESMIKEv2VPNSession[Primary Tunnel: PI IKEv2 VPN: B8A13358-252A-41F4-B8CF-32013C76D096:(null)]: status changed to disconnected, last stop reason Authentication failed

Så pfsense sa at alt var bra, men macOS-siden var det ikke. Det førte til at jeg så på sertifikatene, og det ser ut til at sertifikatmyndigheten og sertifikatene jeg hadde opprettet i pfsense og deretter importert til MBP-en min, ikke var klarert. Etter mye fumling og sletting og reimportering og tillit, fikk jeg endelig importert disse sertifikatene, og nå kan jeg koble til begge pfsense-endepunktene mine.

Takk for pekeren; Jeg ville aldri ha funnet ut av det bare ved å se på pfsense-loggene, for når det gjelder pfsense var alt bra.

BTW, Apple, dette ville være et flott sted å kaste opp en meningsfull dialogboks, f.eks. "VPN-tilkoblingen din mislyktes fordi sertifikatet du bruker ikke er klarert."

Jeg fikk det til å fungere fra min Win11ARM VM i Fusion 13 også. Jeg trengte å importere sertifikatene (riktig denne gangen!) og aktivere SHA1 i fase 2.

Jeg la også til:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rasman\Parameters\ DWORD: NegotiateDH2048_AES256 = 1

slik at jeg kunne tvinge DH Group 14, da Win11 foreslo bare DH 2 som standard.

Logger og Event Viewer FTW!

Du har rett, den er ikke logget som "racoon" lenger. På min maskin ble IKEv2 logget via process: NEIKEv2Provider.

Siste blogginnlegg

Hvilke av disse er moralsk akseptable? (Gallup meningsmåling)
October 25, 2023

Shavano sa: Ville det å være ærlig om motivene for Irak-krigen ha gjort det moralsk? Klikk for å utvide...Tom har rett ' sammentrekning for hvem so...

Tråden i Sør-Kinahavet
October 26, 2023

Jeg ser ikke en spesifikk tråd som omhandler Sør-Kinahavet, så jeg starter en tråd om dette emnet. For å friske opp minnet, https://amti.csis.org/...

Perpetual Private Citizen Trump-skandale (Stor OG Mindre) Tråd
October 26, 2023

Er det heller ikke lovbrudd i utgangspunktet? Disse menneskene har ikke vist seg å være veldig flinke.Commie64 sa: Det er null tvil (via videobevis...