VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Hallo zusammen,

ich habe sowohl in der LANcom Knowledgebase und auch mit diversen Suchbegriffen nichts gefunden.
Gibt einige Anleitungen für die alte Digibox - aber alles IPsec V1.
DIe aktuelle Digitalisierungsbox macht nur noch IPsec V2 (was ja sinnvoll ist).

Hat jemand das schon erfolgreich konfiguriert?

LG
Andreas
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von Dr.Einstein »

Hi,

der Beitrag https://telekomhilft.telekom.de/t5/Gera ... ue#M544695 klingt für mich sehr lesenswert. Alle wichtigen Einstellungen sind beschrieben, sollte einfach sein, im Lancom abzubilden. Falls du dich schwer tust mit Lancom VPNs einzurichten, nutze den Setup Assistenten für Site-to-Site VPN, und editier danach die Konfiguration manuell. Wichtig sind dabei die Einstellungen unter VPN / IKev2 / Authentifizierung. Hier sind die ganzen lokalen und entfernten Identitäten / Typen. Zu beachten, alle Angaben sind über Kreuz zu legen zwischen beiden Geräten. Was bei einem Lokal/Local ist, ist beim anderen Entfernt/Remote.

DigiBox Smart "1" ist dabei dein Lancom Router.

Viel Erfolg.
afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Hi,

merci - aber - ich habe gerade gefunden - die kann man auch auf IKE V1 umstellen. Und da ich faul bin, nehme ich mir da mal die schöne Schritt-für-Schritt-Anleitung aus der Knowledgebase. :-)

LG
Andreas
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von tstimper »

afassl hat geschrieben: 14 Apr 2023, 12:15 Hi,

merci - aber - ich habe gerade gefunden - die kann man auch auf IKE V1 umstellen. Und da ich faul bin, nehme ich mir da mal die schöne Schritt-für-Schritt-Anleitung aus der Knowledgebase. :-)

LG
Andreas
Hi Andreas,
nimm kein IKEv1 mehr, siehe auch den Beitrag von Backslash hier bei einem anderen Thread:
fragen-zum-thema-vpn-f14/in-2022-ikev1- ... ml#p109718

Viele Güße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Hallo,

ok - habe das jetzt doch mit IKE V2 aufgebaut. Hänge aber jetzt fest. Da die Digibox unbedingt MODP_1536 haben will, musste ich diese als Initiator einichten. Die Logs jeweils angehängt.
Mir ist leider nicht klar, welche Authentication hier fehlschlägt. Die Shared-Secrets habe ich noch überprüft.
Ansonsten eigentlich alles als Standard konfiguriert.
Hat jemand eine Idee?

LG
Andreas

1) die Digitalisierungsbox sagt dies:
Apr 18 09:00:05 digi daemon.info syslog: 06[NET] received packet: from [500] to [500] (512 bytes)
Apr 18 09:00:05 digi daemon.info syslog: 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) V V N(ME_MED) ]
Apr 18 09:00:05 digi daemon.info syslog: 06[IKE] received FRAGMENTATION vendor ID
Apr 18 09:00:05 digi daemon.info syslog: 06[ENC] received unknown vendor ID: 81:75:2e:b5:91:4d:73:5c:df:cd:c8:58:c3:a8:ed:7c:1c:66:d1:42
Apr 18 09:00:05 digi daemon.info syslog: 06[IKE] s initiating an IKE_SA
Apr 18 09:00:05 digi authpriv.info syslog: 06[IKE] is initiating an IKE_SA
Apr 18 09:00:05 digi daemon.info syslog: 06[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536
Apr 18 09:00:06 digi daemon.info syslog: 06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
Apr 18 09:00:06 digi daemon.info syslog: 06[NET] sending packet: from 2[500] to 2[500] (392 bytes)
Apr 18 09:00:06 digi daemon.info syslog: 16[NET] received packet: from 2[500] to [500] (240 bytes)
Apr 18 09:00:06 digi daemon.info syslog: 16[ENC] parsed IKE_AUTH request 1 [ SA IDi AUTH TSi TSr N(INIT_CONTACT) ]
Apr 18 09:00:06 digi daemon.info syslog: 16[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Apr 18 09:00:06 digi daemon.info syslog: 16[NET] sending packet: from 2[500] to [500] (80 bytes)
Apr 18 09:00:06 digi user.notice vpnd[2272]: info:ViciHdl eventIKEUpdownCB:890

2) Trace vom WLC sagt dies:
Received Connection-Request for-DSP7 (ikev2)
transport: [id: 11156461, UDP (17) {outgoing}, dst: 87., tag 0 (U), src: 46.252.141.162, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (9), next hop: 46.], local port: 500, remote port: 500
Establishing connection(s): IPSEC-0--DSP7-PR0-L0-R0
IKE_SA ('', '' IPSEC_IKE SPIs 0x616E4D89600A1FE20000000000000000) entered to SADB
Peer COWOKI-DSP7: Constructing an IKE_SA_INIT-REQUEST for send
Starting an IKEv2 negotiation
+IKE-SA:
IKE-Proposal-1 (9 transforms)
ENCR : AES-CBC-256 AES-CBC-128
PRF : PRF-HMAC-SHA-256 PRF-HMAC-SHA1
INTEG: HMAC-SHA-256 HMAC-SHA1
DH : 14 5 2
+KE-DH-Group 14 (2048 bits)
Message scheduled for retransmission (1) in 8.324445 seconds
Sending an IKE_SA_INIT-REQUEST of 576 bytes (initiator)
Gateways: :500, tag 0 (UDP)
SPIs: 0x616E4D89600A1FE20000000000000000, Message-ID 0

[VPN-Status] 2023/04/18 09:03:25,634
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 38 bytes
Gateways: :500
SPIs: 0x616E4D89600A1FE20000000000000000, Message-ID 0
Received 1 notification:
+INVALID_KE_PAYLOAD(0x0005) (ERROR) -> current request fails
Received INVALID_KE_PAYLOAD(5)
+Renegotiating DH-Group 5...
IKE_SA ('', '' IPSEC_IKE SPIs 0x616E4D89600A1FE20000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x616E4D89600A1FE20000000000000000) freed

[VPN-Status] 2023/04/18 09:03:25,667
Peer-DSP7: Renegotiating DH-Group 5
Establishing connection(s): IPSEC-0--DSP7-PR0-L0-R0
IKE_SA ('', '' IPSEC_IKE SPIs 0x0E268EFD04AE39A70000000000000000) entered to SADB
Peer-DSP7: Constructing an IKE_SA_INIT-REQUEST for send
Starting an IKEv2 negotiation
+IKE-SA:
IKE-Proposal-1 (9 transforms)
ENCR : AES-CBC-256 AES-CBC-128
PRF : PRF-HMAC-SHA-256 PRF-HMAC-SHA1
INTEG: HMAC-SHA-256 HMAC-SHA1
DH : 14 5 2
+KE-DH-Group 5 (1536 bits)
Message scheduled for retransmission (1) in 4.258320 seconds
Sending an IKE_SA_INIT-REQUEST of 512 bytes (initiator)
Gateways: 40, tag 0 (UDP)
SPIs: 0x0E268EFD04AE39A70000000000000000, Message-ID 0

[VPN-Status] 2023/04/18 09:03:26,019
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 392 bytes
Gateways: 1.2:500
SPIs: 0x0E268EFD04AE39A7B8CC39C888BF00DE, Message-ID 0
IKE_SA ('', '' IPSEC_IKE SPIs 0x0E268EFD04AE39A70000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x0E268EFD04AE39A7B8CC39C888BF00DE) entered to SADB
Received 5 notifications:
+NAT_DETECTION_SOURCE_IP(0xDA5658F72C0105683D922B819B4D3D227D9B34BA) (STATUS)
+NAT_DETECTION_DESTINATION_IP(0x7227E38927E8F27BF1B0902810A1DC08E150B2BF) (STATUS)
+IKEV2_FRAGMENTATION_SUPPORTED (STATUS)
+CHILDLESS_IKEV2_SUPPORTED (STATUS)
+MULTIPLE_AUTH_SUPPORTED (STATUS)
Peer (responder) is not behind a NAT. NAT-T is disabled
We (initiator) are not behind a NAT. NAT-T is disabled
+IKE-SA:
IKE-Proposal-1 (4 transforms)
ENCR : AES-CBC-256
PRF : PRF-HMAC-SHA-256
INTEG: HMAC-SHA-256
DH : 5
+Received KE-DH-Group 5 (1536 bits)
IKE_SA_INIT [initiator] for peer SP7 initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: 0x0E268EFD04AE39A7, responder cookie: 0xB8CC39C888BF00DE
SA ISAKMP for peer I-DSP7 Encryption AES-CBC-256 Integrity AUTH-HMAC-SHA-256 IKE-DH-Group 5 PRF-HMAC-SHA-256
life time soft 04/19/2023 09:03:26 (in 86400 sec) / 0 kb
life time hard 04/19/2023 15:03:26 (in 108000 sec) / 0 kb
DPD: NONE
Negotiated: IKEV2_FRAGMENTATION

[VPN-Status] 2023/04/18 09:03:26,024
Establishing IKE_AUTH exchange for IPSEC-0--DSP7-PR0-L0-R0 (COWOKI-DSP7)
CHILD_SA ('', '' ) entered to SADB
Peer-DSP7: Constructing an IKE_AUTH-REQUEST for send
Starting a CHILD_SA negotiation for IPSEC-0--DSP7-PR0-L0-R0
+CHILD-SA:
ESP-Proposal-1 My-SPI: 0xA21E0615 (4 transforms)
ENCR : AES-CBC-256
INTEG: HMAC-SHA-256 HMAC-SHA1
ESN : NONE
+Local-ID proGIS-VPN:KEY_ID
+I use AUTH(PSK)
+TSi 0: ( 0, 0-65535, 0.0.0.0-255.255.255.255)
+TSr 0: ( 0, 0-65535, 0.0.0.0-255.255.255.255)
Message scheduled for retransmission (1) in 6.498000 seconds
Sending an IKE_AUTH-REQUEST of 240 bytes (initiator encrypted)
Gateways: 500, tag 0 (UDP)
SPIs: 0x0E268EFD04AE39A7B8CC39C888BF00DE, Message-ID 1

[VPN-Status] 2023/04/18 09:03:26,056
Peer-DSP7 [initiator]: Received an IKE_AUTH-RESPONSE of 80 bytes (encrypted)
Gateways: :500
SPIs: 0x0E268EFD04AE39A7B8CC39C888BF00DE, Message-ID 1
Received 1 notification:
+AUTHENTICATION_FAILED (ERROR) -> current request fails
-Received notificaion error(s): NOTIFY(AUTHENTICATION_FAILED) (comchan 20)
IKE_SA ('-DSP7', 'ISAKMP-PEER--DSP7' IPSEC_IKE SPIs 0x0E268EFD04AE39A7B8CC39C888BF00DE) removed from SADB
IKE_SA ('-DSP7', 'ISAKMP-PEER--DSP7' IPSEC_IKE SPIs 0x0E268EFD04AE39A7B8CC39C888BF00DE) freed
CHILD_SA ('', '' ) removed from SADB
CHILD_SA ('', '' ) freed
afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Bin jetzt weiter - Tunnel wird aufgebaut.

Werde später mal eine Doku schreiben, wie man das macht. Das ist ja immer so eine Fummelei, die VPNs zwischen unterschiedlichen Herstellern :-)
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von Dr.Einstein »

afassl hat geschrieben: 18 Apr 2023, 10:03 Das ist ja immer so eine Fummelei, die VPNs zwischen unterschiedlichen Herstellern :-)
Ach was, das ist genau das, wo der Spaß anfängt. Alles ein Hersteller und überall funktioniert sofort immer alles wegen Assistenten ist doch auch langweilig. Willst doch auch noch einen Job haben oder? ;)

Ich tippe ja auf ein Problem mit der Local ID aus Sicht der Digibox und/oder unterschiedliche DH-Gruppen P1/P2, bin aber gespannt, was du berichten wirst.
afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Hallo,

zu früh gefreut - das ist furios.
Der Tunnel wird aufgebaut, aber nur, wenn die Digibox der Initiator ist.
Dann sieht es wie folgt aus:

Code: Alles auswählen

[VPN-Status] 2023/06/15 17:14:42,727
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 544 bytes (encrypted)
Gateways: xxx:500<—xxx:500
SPIs: 0x6081A8F2FD85BFA15BA891E00A9BE973, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Received 3 notifications: 
  +INITIAL_CONTACT (STATUS)
  +EAP_ONLY_AUTHENTICATION (STATUS)
  +MESSAGE_ID_SYNC_SUPPORTED (STATUS)
+Received-ID cxx.net:FQDN matches the Expected-ID xx.net:FQDN
+Peer identified: COWOKI-DSP2-NEO
+Peer uses AUTH(PSK)
+Authentication successful
IKE_SA ('CxP2-NEO', 'ISAKMP-PEER-Cx-NEO' IPSEC_IKE SPIs 0x6081A8F2FD85BFA15BA891E00A9BE973) removed from SADB
IKE_SA ('CxP2-NEO', 'ISAKMP-PEER-Cx-NEO' IPSEC_IKE SPIs 0x6081A8F2FD85BFA15BA891E00A9BE973) entered to SADB
TSi: (  0,     0-65535,     192.168.8.0-192.168.8.255  )
TSr: (  0,     0-65535,     192.168.0.0-192.168.0.255  )
+CHILD-SA:
  ESP-Proposal-1 Peer-SPI: 0xCE570438 (13 transforms)
    ENCR : ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-12 ENCR-AES-CCM-12 ENCR-AES-CCM-12 AES-GCM-16-128 AES-GCM-16-192 AES-GCM-16-256 AES-GCM-12 AES-GCM-12 AES-GCM-12
    ESN  : NONE
  ESP-Proposal-2 Peer-SPI: 0xCE570438 (11 transforms)
    ENCR : AES-CBC-128 AES-CBC-192 AES-CBC-256 AES-128-CTR AES-128-CTR AES-128-CTR
    INTEG: HMAC-SHA-256 HMAC-SHA-384 HMAC-SHA-512 AES-XCBC-96
    ESN  : NONE

[VPN-Status] 2023/06/15 17:14:42,730
Peer Cx-NEO: Constructing an IKE_AUTH-RESPONSE for send
+Local-ID vxet:FQDN
+I use AUTH(PSK)

IKE_SA_INIT [responder] for peer CxNEO initiator id cx.net, responder id vpx.net
initiator cookie: 0x6081A8F2FD85BFA1, responder cookie: 0x5BA891E00A9BE973
SA ISAKMP for peer Cx-NEO
 Encryption                    : AES-CBC-256
 Integrity                     : AUTH-HMAC-SHA-256
 IKE-DH-Group                  : 14
 PRF                           : PRF-HMAC-SHA-256
life time soft 06/16/2023 20:14:42 (in 97200 sec) / 0 kb
life time hard 06/16/2023 23:14:42 (in 108000 sec) / 0 kb
DPD: 31 sec
Negotiated: IKEV2_FRAGMENTATION

+TSi 0: (  0,     0-65535,     192.168.8.0-192.168.8.255  )
+TSr 0: (  0,     0-65535,     192.168.0.0-192.168.0.255  )
+CHILD-SA:
  ESP-Proposal-2 My-SPI: 0x44D06A4E (3 transforms)
    ENCR : AES-CBC-256
    INTEG: HMAC-SHA-256
    ESN  : NONE

CHILD_SA [responder] done with 2 SAS for peer COWOKI-DSP2-NEO rule IPSEC-0-COWOKI-DSP2-NEO-PR0-L0-R0
4xx.162:500-->80.xx4:500, Routing tag 0, Com-channel 12, IPsec-Offset 77
rule: ipsec 192.168.0.0/24 <-> 192.168.8.0/24
outgoing SA ESP [0xCE570438]
  Encryption                    : AES-CBC-256
  Integrity                     : AUTH-HMAC-SHA-256
  PFS-DH-Group                  : None
  ESN                           : None
incoming SA ESP [0x44D06A4E]
  Encryption                    : AES-CBC-256
  Integrity                     : AUTH-HMAC-SHA-256
  PFS-DH-Group                  : None
  ESN                           : None
life time soft 06/16/2023 00:26:42 (in 25920 sec) / 1800000 kb
life time hard 06/16/2023 01:14:42 (in 28800 sec) / 2000000 kb
tunnel between src: 4xx1.162 dst: 80x64.4

Sending an IKE_AUTH-RESPONSE of 240 bytes (responder encrypted)
Gateways: 46x62:500-->80.x4.4:500, tag 0 (UDP)
SPIs: 0x6081A8F2FD85BFA15BA891E00A9BE973, Message-ID 1

[VPN-Status] 2023/06/15 17:14:42,731
set_ip_transport for COWx-NEO: [id: 1508865, UDP (17) {incoming unicast, fixed source address}, dst: 80x4.4, tag 0 (U), src: 46.xx41.162, hop limit: 64, pmtu: 1500, iface: INTERNET (9), mac address: 2c:91:ab:89:3d:3c, port 0] (vpn-mtu=1280 vpn-mtu-offset=77)

[VPN-Status] 2023/06/15 17:14:42,731
VPN: WAN state changed to WanCalled for COx2-NEO (80.152.164.4) IKEv2[BT] 022a6f5c 022a8948 02295ba0 02890628 03b078f4 02894dc0

[VPN-Status] 2023/06/15 17:14:42,731
vpn-maps[12], remote: COWx-NEO, nego, dns-name, static-name, connected-by-name

in die andere Richtung schlägt der Aufbau fehl:

Code: Alles auswählen

Received Connection-Request for COWOKI-DSP7 (ikev2)
transport: [id: 2664534, UDP (17) {outgoing}, dst: 8x71.2, tag 0 (U), src: 46x.162, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (9), next hop: 46.252.141.161], local port: 500, remote port: 500
Establishing connection(s): IPSEC-0-CxPR0-L0-R0
IKE_SA ('', '' IPSEC_IKE SPIs 0xE7C64A91FCD6D3CB0000000000000000) entered to SADB
Peer COxP7: Constructing an IKE_SA_INIT-REQUEST for send
Starting an IKEv2 negotiation
+IKE-SA:
  IKE-Proposal-1  (8 transforms)
    ENCR : AES-GCM-16-192 AES-CBC-256 AES-CBC-128
    PRF  : PRF-HMAC-SHA-512 PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-512 HMAC-SHA-256
    DH   : 14
+KE-DH-Group 14 (2048 bits)
Message scheduled for retransmission (1) in 6.023802 seconds
Sending an IKE_SA_INIT-REQUEST of 572 bytes (initiator)
Gateways: 46x62:500-->87x.2:500, tag 0 (UDP)
SPIs: 0xE7C64A91FCD6D3CB0000000000000000, Message-ID 0

[VPN-Status] 2023/06/16 15:05:01,331
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: 46x2:500<--87.x1.2:500
SPIs: 0xE7C64A91FCD6D3CB20E347C2697FBB0A, Message-ID 0
IKE_SA ('', '' IPSEC_IKE SPIs 0xE7C64A91FCD6D3CB0000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0xE7C64A91FCD6D3CB20E347C2697FBB0A) entered to SADB
Received 1 notification: 
  +NO_PROPOSAL_CHOSEN (ERROR) -> current request fails
-Required payload IKE_SA (33) not received
-Received notificaion error(s): NOTIFY(NO_PROPOSAL_CHOSEN[IKE_SA])
IKE_SA ('', '' IPSEC_IKE SPIs 0xE7C64A91FCD6D3CB20E347C2697FBB0A) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0xE7C64A91FCD6D3CB20E347C2697FBB0A) freed

[VPN-Status] 2023/06/16 15:05:01,331
VPN: policy manager error indication: COxSP7 (87x71.2), cause: 8703

[VPN-Status] 2023/06/16 15:05:01,331
VPN: Error: IKE-I-General-failure (0x21ff) for CxSP7 (8x71.2) IKEv2
  
(es sind zwei Tunnel), beide liefen. Plötzlich beide nicht mehr. Und mit ständigem Restart habe ich dann den einen wieder aktiv bekommen.

Ich habe mal die Ikev2-Parameter so gesetzt, wie es eigentlich für den laufenden dann geht. Aber erfolglos.

Zusätzliche Frage - wie kann man den LANcom-Router in "Responder" setzen? Habe da nur den Hinweis gefunden, "Haltezeit auf 0", aber dann darf kein Ping o.ä. kommen. Und das macht unser Monitoring die ganze Zeit.

Irgend eine Idee, woran das liegt?

LG und schönes sonniges WE
Andreas
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von GrandDixence »

Die Verschlüsselung des Steuerkanals (IKE) sollte auf beiden VPN-Endpunkte genau gleich konfiguriert sein.

- Digibox
ENCR : AES-CBC-256
PRF : PRF-HMAC-SHA-256
INTEG: HMAC-SHA-256
DH : 5
+Received KE-DH-Group 5 (1536 bits)


- LANCOM-Router
ENCR : AES-GCM-16-192 AES-CBC-256 AES-CBC-128
PRF : PRF-HMAC-SHA-512 PRF-HMAC-SHA-256
INTEG: HMAC-SHA-512 HMAC-SHA-256
DH : 14
+KE-DH-Group 14 (2048 bits)


Offenbar unterstützt die Digibox nur eine unsicheres Schlüsselmaterialaushandlung (Diffie-Hellman) mit 1536 Bit. Somit ist dieser VPN-Tunnel unsicher und sollte aus Sicherhitsgründen durch eine andere VPN-Lösung ersetzt werden! Siehe BSI TR-02102-3, Kapitel 3.2.4:
https://www.bsi.bund.de/DE/Themen/Unter ... _node.html

Und bitte in Zukunft die Verschlüsselung vom Steuerkanal (IKE) von der Verschlüsselung des Datenkanals (ESP/IPSEC) differenzieren. Beide Verschlüsselungen sind im LANCOM-Router unter:

LCOS-Menübaum > Status > VPN

ersichtlich.
Zuletzt geändert von GrandDixence am 16 Jun 2023, 16:02, insgesamt 1-mal geändert.
afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Hi,

vielen Dank für die schnelle Antwort. Hat auch nicht geholfen.
Über den VPN-Tunnel geht nichts wichtiges, ist nur für die Überwachung eines Hotspots.

Code: Alles auswählen

Received Connection-Request for COxxP7 (ikev2)
transport: [id: 2715231, UDP (17) {outgoing}, dst: 87.x.2, tag 0 (U), src: 46x.162, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (9), next hop: 4x1.161], local port: 500, remote port: 500
Establishing connection(s): IPSEC-0-CxP7-PR0-L0-R0
IKE_SA ('', '' IPSEC_IKE SPIs 0x754DC091EE3B28790000000000000000) entered to SADB
Peer COxSP7: Constructing an IKE_SA_INIT-REQUEST for send
Starting an IKEv2 negotiation
+IKE-SA:
  IKE-Proposal-1  (5 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 14 5
+KE-DH-Group 14 (2048 bits)
Message scheduled for retransmission (1) in 8.568135 seconds
Sending an IKE_SA_INIT-REQUEST of 540 bytes (initiator)
Gateways: 46.x.162:500-->87.x2:500, tag 0 (UDP)
SPIs: 0x754DC091EE3B28790000000000000000, Message-ID 0

[VPN-Status] 2023/06/16 15:57:38,613
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 36 bytes
Gateways: 4x1.162:500<--87.x.2:500
SPIs: 0x754DC091EE3B28796F3714A68426C8ED, Message-ID 0
IKE_SA ('', '' IPSEC_IKE SPIs 0x754DC091EE3B28790000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x754DC091EE3B28796F3714A68426C8ED) entered to SADB
Received 1 notification: 
  +NO_PROPOSAL_CHOSEN (ERROR) -> current request fails
-Required payload IKE_SA (33) not received
-Received notificaion error(s): NOTIFY(NO_PROPOSAL_CHOSEN[IKE_SA])
IKE_SA ('', '' IPSEC_IKE SPIs 0x754DC091EE3B28796F3714A68426C8ED) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x754DC091EE3B28796F3714A68426C8ED) freed

[VPN-Status] 2023/06/16 15:57:38,613
VPN: policy manager error indication: Cx7 (87.140.71.2), cause: 8703

[VPN-Status] 2023/06/16 15:57:38,613
VPN: Error: IKE-I-General-failure (0x21ff) for xDSP7 (87.140.71.2) IKEv2
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von GrandDixence »

LANCOM-Konfiguration gemäss der VPN-Anleitung "Anleitung für VPN-Tunnel zwischen zweier LANCOM-Geräte" unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
durchführen.

Vielleicht stört sich die Digibox am PFS (Perfect forward security). IKE-Telegramme beim VPN-Verbindungsaufbau mit Wireshark untersuchen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von GrandDixence »

Ein Lösungsweg ist auch der Einsatz eines Raspberry Pi mit Strongswan. Siehe dazu:
fragen-zum-thema-vpn-f14/windows-7-vpn- ... ml#p109612
afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Danke für den Raspi-Vorschlag, aber das muss ja mit Bordmitteln gehen.

Somit die Frage - wie stellt man den Lancom so ein, das er nur Responder ist, und nicht Initiator.
afassl
Beiträge: 25
Registriert: 15 Jun 2021, 18:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von afassl »

Die Digibox ist ja nichts anderes als die gute alte Bintec-Kiste (wer kennt die noch? :-) ). und mit denen hatte ich schon immer Freude.
Mir ist echt ein Rätsel, warum die nicht zusammen finden.
Zum Thema "Kann nur DH5, daher unsicher und mit RASPI-OpenVPN arbeiten".
Die kann eigentlich deutlich mehr als LANcom.
Selbst wenn ich alles aktiviere, will die Lancom Box nicht (habe die Digibox auf Responder gestellt). Immer das gleiche - no-proposal-chosen.
digibox.png
digibox2.png
Nun denn, dann probiere ich mal weiter. Freue mich aber über jeden sachdienlichen Hinweis :-)

Vielleicht aktiviere ich mal auch auf der LANCom Seite alles.

LG und schönes WE
Andreas
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

Beitrag von GrandDixence »

Vielleicht aktiviere ich mal auch auf der LANCom Seite alles.
Alle unterstützten Verschlüsselungsoptionen einzuschalten ist eine dumme Idee. Die Anzahl Verschlüsselungsmethodenvorschlage (proposal) in den IKE-Telegrammen ist begrenzt, je mehr Verschlüsselungsoptionen aktiv geschaltet sind, desto häufiger finden die beiden VPN-Endpunkte keine gemeinsame "Schnittmenge" der Verschlüsselungsmethoden (NO_PROPOSAL_CHOSEN). Hier und generell bei VPN-Tunneln muss mit Hilfe der BSI TR die möglichst sicherste Verschlüsselungsvariante herausgesucht werden, welche beide VPN-Endpunkte unterstützen. Und nur diese sicherste Verschlüsselungsvariante ist in beiden VPN-Endpunkten zu aktivieren.

Alles mit 3DES, MD5, SHA-1 gehört aus Sicherheitsgründen ausgeschaltet. Diffie-Hellman-Gruppen. die nicht im BSI TR-02102-3, Kapitel 3.2.4 aufgeführt werden, sind aus Sicherheitsgründen auszuschalten. Den Schalter "Verschlüsselungsalgorithmen benötigen einen separaten Integritätsalgorithmus" würde ich ausschalten, damit AES-GCM zum Einsatz kommt. Siehe dazu:
fragen-zum-thema-vpn-f14/ikev2-verbindu ... ml#p111614
> Somit die Frage - wie stellt man den Lancom so ein, das er nur Responder ist, und nicht Initiator.
In dem man das dämliche Monitoring abschaltet. Für die Überwachung eines VPN-Tunnels gibt es DPD (dead peer detection), aber diese wurde ja wegen Fehlkonfiguration abgeschaltet.
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“