Moderator: Lancom-Systems Moderatoren
Hier im ShrewSoft Client bitte nur "Mutal RSA" einstellen. "XAuth" beherrscht der Lancom nicht.hoeschler hat geschrieben:Das Clientzertifikat liegt ebenfalls im p12 Format vor. Im ShrewSoft Client habe ich die Authentication Method auf Mutual RSA+XAuth gestellt, die entsprechenden Zeilen in den credentials alle auf den PKCS Container mit dem Clientzertifikat gesetzt (also Server Certificate Authority File, Client certificate File, Client private Key file).
Daher auch gleich die nächste Frage: Wie genau kommt der Handshake zustande? Was für Informationen werden da genau ausgetauscht? Steht in den ersten IKE Paketen nur grundsätzlich was über die zu verwendenden Proposals, oder versucht der Client sofort, den ASN1.Distinguished Name zu übermitteln?
XAUTH wird vom LANCOM nicht unterstützt und stellt genaugenommen eine Sicherheitslücke dar, denn jeder, der den Gruppenkey kennt oder das Gruppenzertifikat besitzt, kann sich anderen gegenüber als Einwahlserver ausweisen und dann munter die Anmeldedaten (Username/Paßwort) und Daten im Klartext mitlesen (man in the middle)...Im ShrewSoft Client habe ich die Authentication Method auf Mutual RSA+XAuth gestellt,
Für eine Clienteinwahl mußt dudie Default IKE-Proposal-Liste für Main-Modeverbindungen passend einstellen - es sei denn der Client hat eine statische IP-Adresse (oder einen dyndns-Namen). Im Default wird dort IKE_RSA_SIG mit IKE-Gruppe 2 verwendet, welche auch die Proposals RSA-AES-MD5 und RSA-AES-SHA enthält...Die Proposals in der Lancom für die VPN Gegenstelle sind auf RSA-AES-SHA und RSA-AES-MD5 gestellt. Daher verstehe ich nicht ganz, was es da nicht zu finden gibt
