Client VPN zwischen Android und pfSense mit IKEv2

Kurze Zusammenfassung der Einstellungen für pfSense und Android.

VPN –> IPsec –> Mobile Clients

  • Mobile Client Support aktivieren
  • User Authentication: Local Database
  • Group Authentication: None
  • Virtual Address Pool: beliebigen, nicht verwendeten Pool benutzen
  • Virtual IPv6 Address Pool: ebenfalls beliebigen, nicht verwendeten Pool verwenden (bei Bedarf)
pfSense unterstützt derzeit nicht das Vermischen von IPv4 und IPv6 im VPN Tunnel. D.h., dass zu einer IPv4 Gegenstelle auch nur IPv4 Traffic getunnelt werden kann und analog bei einer IPv6 Gegenstelle nur IPv6 getunnelt werden kann.

Alle anderen Einstellungen nach Bedarf.


System –> Cert. Manager –> Certificates

Hier ein eigenes, internes Zertifikat erstellen, nennen wir es z.B. “IKEv2 Server”. Wichtig ist, dass als Common Name der FQDN eingetragen wird, der später auch im VPN Client des Smartphones benutzt wird. Sonst funktioniert später die Authentifizierung nicht.


VPN –> IPsec –> Phase 1

  • Key Exchange Version: IKEv2
  • Internet Protocol: IPv4 (IPv6 bei Bedarf, Hinweis s. oben)
  • Interface: (vermutlich) WAN
  • Authentication Method: EAP-MSChapv2
  • My Identifier: Distinguished Name – Hostname (FQDN) der Firewall eintragen
  • Peer Identifier: Any
  • My Certificate: für den VPN Server erzeugtes Zertifikat auswählen (“IKEv2 Server”)
  • Encryption Algorithm: AES 256 bits
  • Hash Algorithm: SHA256
  • DH Group: 2
  • Lifetime: 28800s

Alles weitere nach Bedarf, ich habe noch DPD aktiviert.


VPN –> IPsec –> Phase 2

  • Mode: Tunnel IPv4
  • Local Network: Network 0.0.0.0/0 (um jeglichen Traffic ins VPN zu tunneln)
  • Protocol: ESP
  • Encryption Algorithm: AES Auto
  • Hash Algorithm: SHA1
  • PFS key group: off
  • Lifetime: 3600s

VPN –> IPsec –> Pre-Shared Keys

Pro User einen Identifier (=Username) und Pre-Shared Key (Typ: EAP) vergeben


Als VPN Client für Android eignet sich sehr gut die App “strongswan”. Das Zertifikat des Servers muss in den Client importiert werden. Einstellungen für strongswan:

  • Server: FQDN der pfSense (=gleich Common Name des erstellten Zertifikats)
  • VPN-Typ: IKEv2 EAP (Benutzername/Passwort)
  • Benutzername: Identifier aus den Pre-Shared Key Einstellungen
  • Passwort: der zum Identifier passende Pre Shared Key
  • CA-Zertifikat: das importierte Zertifikat der pfSense (oder automatisch wählen)
  • Profilname: Anzeigename innerhalb von strongswan, daher beliebig

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close