Wieder mal: IKE2 PAP/CHAP-Fehler Benutzername oder Passwort falsch

[Holger25]

Hallo liebes Forum
ich stehe vor einem Rätsel: Monatelang geht die automatisierte 1-Click-Einwahl von 5 Clients mit dem automatisch erstellten Profil problemlos.
Nun will ich mit einem MAC M1 mit einem neu erstellten Profil rein und ich bekomme obige Fehlermeldung.
IKE1 Einwahl geht problemlos, ist aber sicherheitstechnisch wohl nicht optimal.
Der Tip mit der Umstellung auf ich zitiere "müssen in der Konfiguration auf dem Router unter IKEv2/IPSec sowohl die „Lokale Authenfizifierung“ als auch die „Entfernte Authentifizierung“ von „RSA-Signature“ auf „Digital-Signature“ umgestellt werden."
hat nichts gebracht, im Logfile ist immer:
Ikev2: ConRef=59,Received notify messages -
19.02.22 11:22:32 Ikev2: Notifymsg=<IKEV2_NOTIFY_AUTHENTICATION_FAILED>
19.02.22 11:22:32 Ikev2: ConRef=59,Received notify
19.02.22 11:22:33 ERROR message -
19.02.22 11:22:33 Ikev2: Notifymsg=<IKEV2_NOTIFY_AUTHENTICATION_FAILED>
19.02.22 11:22:33 ERROR - 2110: XAUTH wrong UserId or Password
19.02.22 11:22:33 IPSec: Disconnected from LancomPraxis-MB on channel 1.

Myteriöserweise hatte ich ähnliches auch schon einmal unter Windows, und eben ging es mit einem alten Profil ca. 5x nicht unter Windows mit gleicher Fehlermeldung, dann aber geht dort das alte Profil wieder.
Irgendetwas muss doch da faul sein, in der Vergangenheit ging die 1-Click-Konfiguration problemlos.
Ich habe nun alte, an anderen Rechnern problemlos funktionsfähige Profile probiert - die gehen nach dem Import auch nicht mehr am Mac, immer obige Meldung. Hat sich da irgendwas über die Firmware geändert?
Router ist ein 1790CA-4G, Firmware habe ich die beiden letzten RU5 und RU4 getestet, Client jeweils neueste Version

Bitte keine Vorschläge mit "einfach Zertifikate erstellen", in der gewählten Umgebung ist das nicht leider so nicht umsetzbar.

Vielen Dank für Tipps, ich verzweifle langsam,

Holger

[chriswalg]

ändere Mal die lokale und entferne Identität von VPN@intern in VPN@intern.de

[Holger25]

ändere Mal die lokale und entferne Identität von VPN@intern in VPN@intern.de

Leider erfolglos..

[Holger25]

ändere Mal die lokale und entferne Identität von VPN@intern in VPN@intern.de

Eigentlich verstehe ich nun gar nichts mehr:
Urplötzlich geht 1-Click problemlos, kein Fehler mehr, wie aus heiterem Himmel. Der einzige Unterschied: ich hab einmal eine IKE2-Konfiguration ohne 1-Click angestossen, die auf Anhieb ging. das mag aber auch Zufall sein.
Zwischenzeitlich hatte der Router nur eine neues automatisches Update auf RU5 gemacht - womit es aber vorher auch nicht funktioniert hatte.

Mir sieht das Ganze ziemlich verbuggt aus, mal sehen, wie lange das nun funktioniert...

[Holger25]

Und weiter geht das Spiel:
Nachdem es einige Tage ging, geht der gleiche Zugang seit heute nicht mehr - wieder obiger Fehler.

[thalternate]

Wurde das denn gelöst irgendwie?
Ich habe hier das Problem aktuell genau so, mit LANconfig 10.92.0016-RU3, Firmware 10.92.0167RU2 auf 1906VA.
Versuche mich, mit LANCOM Advanced VPN Client 4.7.3 auf macOS 15.7.1 einzuwählen.

JEGLICHE Verbindungsversuche, selbst mit (über Setup-Wizard) neu eingerichteten, scheitern an "PAP/CHAP-Fehler, Benutzername oder Passwort falsch (VPN)" im Client.

Egal, ob ich im Wizard für Windows, für Mac, mit 1Click etc auswähle, Benutzername und Passwort selbst festlege (und einkopiere) oder es den Wizard machen lasse, IMMER das gleiche Ergebnis.
Weitere, genau so eingerichtete VPN-Verbindungen für weitere Rechner funktionieren bisher Problemlos (bis auf eine, die jetzt einige wenige Male abbrach, daher wollte ich mir das jetzt mal ansehen).

Im Log des Clients erscheint
"13.10.25 13:57:33 ERROR - 2110: XAUTH wrong UserId or Password"
Im Syslog des Routers kann ich keinen Eingangsversuch sehen. Die verwendete DynDNS-Domain ist per Ping normal erreichbar (20 ms).

[Frühstücksdirektor]

Was sagt denn der VPN-Status und VPN-Debug-Trace auf dem Router beim Versuch der Einwahl?

[thalternate]

Wenn ich im VPN-Debug-Trace schaue (Danke für die Idee!), sehe ich zumindest, dass er eine andere ID zu erwarten scheint, als ich jetzt frisch im Wizard eingestellt hatte. Er fragt nach einer ID, die für ein VPN, das besteht und zu einem anderen Lancom zeigt, eingesetzt wurde.

Looking for payload IDI (35)...Found 1 payload.
Compare: -Received-ID VPN_TH_MAC@intern:USER_FQDN != Expected-ID mail@adresse.de:USER_FQDN
recv: received remote ID other than expected (8712)

"mail@adresse.de" ist, was für eine Router<->Router-VPN-Einstellung verwendet wurde.

Was ich partout nicht verstehe:
Wenn ich über den Wizard eine Verbindung einrichte, und die .INI-Datei im Client einlese, ist eigentlich alles schon funktionabel. Warum das hier nicht klappt, erschließt sich mir überhaupt nicht.

[Frühstücksdirektor]

Kann es sein, dass Du einen Standort hast, wo sowohl Router als auch VPN-Client aufbauen wollen?
Ich glaube, dann durfte man die IP-Adresse nicht als Gateway fest eintragen, dass der Responder diese IP-Adresse erwartet...
Ist aber nur ein Schuss in Blaue, da der Rest des Traces fehlt...

[thalternate]

Hmmm, ja.
Also es ist EIN Router, auf den sowohl andere Router (mehrere) VPNs connecten wollen, also auch mehrere Einwahl-Clients.
Allerdings frage ich mich, wieso die anderen beiden Clients, die ich genau so über den Wizard eingerichtet habe, dies nicht auch so als Problem haben.

Wo meinst du, dürfte die IP-Adresse nicht als Gateway eingetragen sein?

Nachtrag:
Ich sehe gerade unter "VPN / IKEv2/IPSec / Verbindungsliste" die Gateways.
Hier sind nur bei den LAN <–> LAN-VPNs DynDNS-Adressen eingetragen, die Einwahlzugänge haben alle 0.0.0.0

[Frühstücksdirektor]

Nein, das meinte ich nicht. Das ist kein Problem, dass auf einem Router sowohl VPN-Clients als auch Router ankommen.

Interessant ist die andere Seite, von wo der VPN-Client kommt. Kommt da parallel VON der WAN-IP-Adresse auch eine Router-Verbindung?

Macht es einen Unterschied, wenn der VPN-Client über seine eigene WWAN-Verbindung raus geht?

[thalternate]

Ja, jetzt zum Testen hatte ich erstmal die bestehende (schon über die Router per VPN verbundene) Verbindung genutzt.
Was normalerweise mir auch keine Probleme bereitet hatte.

Zum Testen habe ich das jetzt mal über den Hotspot am Handy versucht.
Und siehe da: die neu eingerichtete Verbindung geht jetzt (die noch daneben liegende alte weiterhin: nicht).

Jetzt habe ich noch das Split Tunneling eingerichtet, was ich zum Testen erstmal weggelassen hatte, und das geht jetzt auch.
Also gut, ich sehe (und verstehe so halb), dass das aus einem eh schon verbundenen Netzwerk nicht geht, wie es bei mir konfiguriert ist.
Ich wüsste es nicht zu lösen, aber muss ich ja auch nicht, weil ich den VPN-Zugang ja nur von außerhalb benötige, und da scheint er jetzt zu funktionieren.

Unbefriedigend ist jetzt nur, dass ich nicht weiß, warum es jetzt wieder geht, wo ich im Wizard ja eh schon nicht so viele Einstellmöglichkeiten habe, und ich jetzt auch nichts anders gemacht habe als das letzte Jahr, so lange mache ich jetzt schon damit rum.

Ich wäre jetzt noch daran interessiert, wenn es jemand weiß, wieso warum warum – aber erstmal geht es jetzt wieder für mich.
Vielen Dank für die Unterstützung!

[Frühstücksdirektor]

Also ohne vollständige VPN-Traces kann ich jedenfalls nur raten...
Vielleicht kann ja jemand anderes das auch ohne...

[thalternate]

In den Traces sind ja etliche IP-Adressen, Benutzernamen und andere wichtige Infos enthalten, die einem potentiellen Angreifer schonmal etliche Rahmendaten liefern. Daher bin ich nicht so sicher, ob ich die wirklich rausgeben wollte.
Gibt es da eine einfache Möglichkeit, die mit geänderten Daten zu sammeln, so dass mit Platzhaltern gearbeitet wird, und ich mir das nur zurückübersetzen muss, oder ginge das nur über Handarbeit?

[backslash]

Hi thalternate

In den Traces sind ja etliche IP-Adressen, Benutzernamen und andere wichtige Infos enthalten, die einem potentiellen Angreifer schonmal etliche Rahmendaten liefern

das kann man aber anonymisieren - jeder Editor kennt search/replace all...

wobei: IP-Adressen sind eigentlich egal - zumindest solange es private Adressen sind. Da kann keiner was herauslesen, denn Netze der Form 192.186.x.y/24 hat vermutlich jeder...
Und Gegenstellennamen sind meist auch irrelevant, da sie beliebig vergeben werden können. Es sei denn du hättest deinen Firmennamen darin verewigt - dann hilft search/replace all...

Gibt es da eine einfache Möglichkeit, die mit geänderten Daten zu sammeln, so dass mit Platzhaltern gearbeitet wird, und ich mir das nur zurückübersetzen muss, oder ginge das nur über Handarbeit?

das müßtest du schon in Handarbeit machen

Gruß
Backslash