Advanced VPN Client - einige Fragen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Advanced VPN Client - einige Fragen

Beitrag von firefox_i »

Hallo zusammen,
ich habe mir gestern den AVC von Lancom gekauft und die aktuellste Version des Clients installiert und lizenziert (Rechner ist Windows 10).

Bei der Einrichtung bin ich nach dem hier vorgegangen:
https://support.lancom-systems.com/know ... d=32983599

Einziger Unterschied:
Ich habe bereits Zertifikate mit der aktuellsten Version von XCA erzeugt.

Firmware des Routers 1783VAW: 10.50.0331 RU2

Erster Schwall an Fragezeichen:
Ich habe die mit XCA erzeugte Zertifikatsdatei versucht hinzuzufügen.
Warum erlaubt der Client nicht die Endung pfx als Standard....egal....

Da die Datei einen recht langen Schlüssel hat, dachte ich, ich ändere den mal.
Tja...PIN ändern geht schlichtweg nicht.
Es kommt immer die Meldung "PKI Fehler"..... :?: :?: :?:

Etwas unangenehm.....aber okay.....also Zertifikat nochmal mit einem kürzeren Passwort exportiert....so weit so gut.

Wie gesagt:
Alles eingestellt wie im o.g. Link
Allerdings hat der o.g. Link nicht dargestellt, dass man den Adressbereich noch angeben muss. Aber das hab ich hinbekommen.
Was mir da aufgefallen ist:
Der Dialog im Lanconfig motzte, dass DEFAULT-RSA-PKCS nicht existieren würde.
Okay....stimmt. Ich habe mal vor langer Zeit die Defaulteinträge gelöscht....war wohl ein Fehler.
Aber ich hab dann den Eintrag der funktionierenden Site2Site Verbindung genommen (dort ist allerdings die Methode RSASSA-PSS eingestellt).
2021-11-04 19_48_12-Window.png
Warum erstellt der Wizard nicht einen fehlenden Default-Eintrag ? Das Wird wohl ein Geheimnis von Lancom bleiben.... :I)


Dann mal naiv versucht eine Verbindung aufzubauen.
Also zum einen scheint die automatische Medienauswahl nicht zu funktionieren.

Aber die Verbindung wird schlichtweg nicht aufgebaut.

Hier der Log vom Client (anonymisiert natürlich):

Code: Alles auswählen

04.11.2021 18:23:10 - System: DNSHandling=0
04.11.2021 18:23:10 - IPSec: Start building connection
04.11.2021 18:23:10 - IPSec: DNSREQ: resolving GW=<DYNADDR> over lan:
04.11.2021 18:23:10 - IPSec: DNSREQ resolved vpn ipadr=<IPADDR>,ipadr6=0.0.0.0
04.11.2021 18:23:10 - ipsdial: resolved at least one remote tunnel endpoint.
04.11.2021 18:23:10 - IpsDial: connection time interface choice,LocIpa=172.20.10.3,AdapterIndex=202
04.11.2021 18:23:10 - Ikev2: Opening connection in PATHFINDER mode : VPN_XXX
04.11.2021 18:23:10 - Ikev2: Outgoing connect request IKEv2 mode - gateway=<IPADDR> : VPN_XXX
04.11.2021 18:23:10 - Ikev2: ConRef=21, XMIT_MSG1_INIT, name=VPN_XXX, vpngw=<IPADDR>:500
04.11.2021 18:23:10 - Ikev2: ConRef=21, RECV_MSG2_INIT, adapterindex=202,name=VPN_XXX, remote ip:port=<IPADDR>:500,local ip:port=172.20.10.3:10952
04.11.2021 18:23:10 - Ikev2: ConRef=21,Received notify messages - 
04.11.2021 18:23:10 - Ikev2: Notifymsg=<IKEV2_NOTIFY_NAT_DETECTION_SOURCE_IP>
04.11.2021 18:23:10 - Ikev2: Notifymsg=<IKEV2_NOTIFY_NAT_DETECTION_DESTINATION_IP>
04.11.2021 18:23:10 - Ikev2: Notifymsg=<IKEV2_FRAGMENTATION_SUPPORTED>
04.11.2021 18:23:10 - Ikev2: Turning on NATD mode - VPN_XXX - 1
04.11.2021 18:23:10 - IPSec: Final Tunnel EndPoint is=<IPADDR>
04.11.2021 18:23:10 - Ike: Turning on IKE fragment mode - VPN_XXX
04.11.2021 18:23:10 - Ikev2: RECV_MSG2_INIT - ConRef=21, Remote supports IKEv2 fragmentation
04.11.2021 18:23:10 - IKESA2_INIT: - ConRef=21, protection suite:
04.11.2021 18:23:10 - PID=1,#ENCR=12,KEYLEN=256,INTEG=12,PRF=5,DHGRP=14,AUTHM=0,CERTON=1
04.11.2021 18:23:10 - INSPIL=0,INSPI=00000000,OUTSPIL=0,OUTSPI=00000000,LifeType=1,LifeSec=28800,LifeKb=50000
04.11.2021 18:23:10 - Ike: ConRef=21, XMIT_MSG1_AUTH, name=VPN_XXX, vpngw=<IPADDR>:4500
04.11.2021 18:23:10 - IPSec: Phase1 is Ready,AdapterIndex=202,IkeIndex=21,LocTepIpAdr=172.20.10.3,AltRekey=1
04.11.2021 18:23:10 - Auth: ConRef=21, PKI response with errorcode=0.
04.11.2021 18:23:10 - Ike: ConRef=21,  XMIT_MSG1_AUTH_RESUME0, name=VPN_XXX, vpngw=<IPADDR>:4500
04.11.2021 18:23:10 - Ikev2:send idi payload:ID_DER_ASN1_DN:pid=0,port=0,3046310b30090603
04.11.2021 18:23:10 - Auth: ConRef=21, PKI response with errorcode=0.
04.11.2021 18:23:10 - Ike: ConRef=21,  XMIT_MSG1_AUTH_RESUME1, name=VPN_XXX, vpngw=<IPADDR>:4500
04.11.2021 18:23:10 - Auth: ConRef=21,Local is authenticating with=1,RSA
04.11.2021 18:23:10 - Ikev2 Child: ConRef=21,send request TSI=0.0.0.0-255.255.255.255
04.11.2021 18:23:10 - Ikev2 Child: ConRef=21,send request TSR=0.0.0.0-255.255.255.255
04.11.2021 18:23:10 - Isakmp: ConRef=21,Sending RFC7383 fragment with length=1000,sequence=1,total fragments=2
04.11.2021 18:23:10 - Isakmp: ConRef=21,Sending RFC7383 fragment with length=486,sequence=2,total fragments=2
04.11.2021 18:23:10 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=1048, sequence=1, total fragments=2
04.11.2021 18:23:10 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=248, sequence=2, total fragments=2
04.11.2021 18:23:10 - Ike: ConRef=21,  RECV_MSG2_AUTH, name=VPN_XXX, vpngw=<IPADDR>:4500
04.11.2021 18:23:10 - Ikev2: ConRef=21,Received notify messages - 
04.11.2021 18:23:10 - Ikev2: Notifymsg=<IKEV2_NOTIFY_INTERNAL_ADDRESS_FAILURE>
04.11.2021 18:23:10 - Ikev2: ConRef=21,Received notify ERROR message - 
04.11.2021 18:23:10 - Ikev2: Notifymsg=<IKEV2_NOTIFY_INTERNAL_ADDRESS_FAILURE>
04.11.2021 18:23:10 - ERROR - 2110: XAUTH wrong UserId or Password
04.11.2021 18:23:10 - IPSec: Disconnected from VPN_XXX on channel 1.
Ich hab dann den VPN Eintrag im Router kopiert (Adressen die zugewiesen werden entsprechend angepasst) und auf PSK umgestellt --> TUT

Somit also ein Thema mit dem Zertifikat.
Ich hab dann lang rumprobiert (auch auf RSA SIgnature...) aber nichts hat geholfen.

In meiner Verzweiflung bin ich dann zurück auf die 10.42.0740RU6 und da dann umgestellt auf RSA-Signature und sieheda....Tunnel steht.


Kann mir das einer erklären?
Ich werde morgen nochmal versuchen, das Default-Signaturprofil zu rekonstruieren (hab noch nen zweiten 1783VA-4G und da ist es noch da) und dann mal auf Digital Signature umstellen...mal schauen was dann passiert....
Und auch nochmal die FW 10.50.0331 RU2

Bin echt gespannt....
Wäre auf jeden Fall dankbar für jeden Hinweis was da die Ursache war...und ob die Punkte
- p12 vs. pfx
- PIN ändern geht nicht
- fehlende Defaulteinträge werden vom Wizard nicht erstellt

wirklich so gewollt sind....


S.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Antworten