[gelöst] zu langer PSK funktioniert nicht

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: [gelöst] zu langer PSK funktioniert nicht

Beitrag von mh1 »

Josh hat geschrieben: 16 Sep 2022, 18:23 Kleine Frage am Rande: Ich lese "überall", dass Android kein IKE2 kann. Wenn ich aber in den VPN-Einstellungen meines Handys (Android 11) gucke, gibt es sehr wohl folgende IKE2-Optionen:(...)
Ich zitiere aus der Doku zu den Android Sourcen:
Das IPsec/IKEv2-Bibliotheksmodul ( com.google.android.ipsec ) liegt im APEX -Format vor und ist für Geräte mit Android 11 oder höher verfügbar.
Quelle: https://source.android.com/docs/core/ar ... stem/ipsec
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: [gelöst] zu langer PSK funktioniert nicht

Beitrag von mh1 »

Josh hat geschrieben: 16 Sep 2022, 19:31 Danke für den Link. Kannte ich schon und funktioniert leider nicht. Deshalb habe ich ja recherchiert und bin auf Forenbeiträge gestoßen, bei denen die Inkompatibilität benannt wurde. Deswegen irritiert mich diese Anleitung ein wenig. Müsste also doch funktionieren.

Alternativ zu der im Link beschriebenen manuellen Anleitung habe ich den Assistenten bemüht und eine Konfig erstellt. Danach im Handy die paar Daten eingegeben. Funzt aber nit.

Hat denn schon jemand hier im Forum das so geschafft. Also IKE2 mit PSK und dem Android VPN?
Du solltest mal den VPN Status und/oder Debug Trace am Router anschalten und dann schauen was beim Berbindungsaufbau passiert.
Alles andere ist ja mehr "stochern im Nebel" :wink:
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: [gelöst] zu langer PSK funktioniert nicht

Beitrag von Josh »

mh1 hat geschrieben: 23 Sep 2022, 12:14 Du solltest mal den VPN Status und/oder Debug Trace am Router anschalten und dann schauen was beim Verbindungsaufbau passiert.
Alles andere ist ja mehr "stochern im Nebel" :wink:
Habe mal den VPN-Trace mitlaufen lassen. Es kommt schon mal was an. Das ist ja gut :-)

An der Stelle scheint noch alles in Ordnung zu sein:

Code: Alles auswählen

[VPN-Debug] 2022/09/23 15:24:33,056  Devicetime: 2022/09/23 15:25:01,607
Peer DEFAULT: Constructing an IKE_AUTH-RESPONSE for send
Message encrypted successfully
Message authenticated successfully
Non-ESP-Marker Prepended
+(request, response) pair inserted into retransmission map
Sending an IKE_AUTH-RESPONSE of 80 bytes (responder encrypted)
Gateways: 109.250.100.34:4500-->109.42.170.164:8842, tag 0 (UDP)
SPIs: 0x6CB2D26F06561CFC15673CB8D1AA712A, Message-ID 1
Payloads: ENCR
Aber direkt danach nicht mehr:

Code: Alles auswählen

[VPN-Status] 2022/09/23 15:24:33,056  Devicetime: 2022/09/23 15:25:01,607
Peer DEFAULT: Constructing an IKE_AUTH-RESPONSE for send
NOTIFY(AUTHENTICATION_FAILED)
IKE_SA ('DEFAULT', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0x6CB2D26F06561CFC15673CB8D1AA712A) removed from SADB
Sending an IKE_AUTH-RESPONSE of 80 bytes (responder encrypted)
Gateways: 109.250.100.34:4500-->109.42.170.164:8842, tag 0 (UDP)
SPIs: 0x6CB2D26F06561CFC15673CB8D1AA712A, Message-ID 1

[VPN-Status] 2022/09/23 15:24:33,056  Devicetime: 2022/09/23 15:25:01,608
IKE log: 152501.608106 Default IKE-DISCONNECT-RESPONSE: could not be sent for peer DEFAULT on message free (empty handle)

[VPN-Debug] 2022/09/23 15:24:33,056  Devicetime: 2022/09/23 15:25:01,608
LCVPEI: IKE-R-IKE-key-mismatch
IKE-TRANSPORT freed

[VPN-Status] 2022/09/23 15:24:33,056  Devicetime: 2022/09/23 15:25:01,608
CHILD_SA ('', '' ) removed from SADB
CHILD_SA ('', '' ) freed
IKE_SA ('DEFAULT', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0x6CB2D26F06561CFC15673CB8D1AA712A) freed
Kann jmd die Logs interpretieren? Zuerst gibt noch ein "authenticated successfully". Danach aber ein "AUTHENTICATION_FAILED". Aber warum.
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: [gelöst] zu langer PSK funktioniert nicht

Beitrag von Josh »

Habe es irgendwie hin bekommen. Hier meine Lösung:

1) über den Wizard eine neue VPN-IKEv2 Verbindung erstellen. Dann wird als lokaler und entfernter Identitätstyp FQUN angelegt.
2) Da Android 11 (oder halt nur bei Fairphone) einen FQDN schickt, muss im Router unter der IKEv2-Autentifizierung beides als FQDN definiert werden.
3) als lokale und entfernte Identität habe ich nun meine DYNDNS-Adresse eingetragen. Beide Passwörter gleich wählen.
4) Im Android-VPN dann bei Serveradresse und bei IPSec-ID die DYNDNS-Adresse eintragen. Bei IPSec-Schlüssel das oben angelegte Passwort eingeben.

EDIT:
Der Nachteil dabei ist, dass man nur einen VPN-Tunnel pro DynDNS-Adresse anlegen kann. :-/

EDIT2:
Habe mittlerweile folgende Erkenntnis:
Bei unseren Handys Fairphone 3+ und Fairphone 4 mit jeweils Android 11 funktioniert es nur so, wie oben beschrieben.

Bei folgenden Handy funktioniert es sowohl mit jeder beliebigen FQDN als auch mit einer FQUN (Emailadresse):
- Samsung A5 mit Android 7
- Samsung A6+ mit Android 10
- Samsung A22 mit Android 12

Vielleicht hilft's ja dem ein oder anderen.
Antworten