IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Client?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
Chaosphere64
Beiträge: 103
Registriert: 16 Jul 2014, 10:55

IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Client?

Beitrag von Chaosphere64 »

Hallo zusammen,

mit der Firmware 9.20 wird LCOS ja IKEv2 Support bekommen. Das sollte doch auch dazu führen, dass man mit Windows 7(+) ohne dedizierten VPN-Client IPSec-Verbindungen zu LANCOM Devices wird aufbauen können, oder?

Beste Grüße
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von MariusP »

Hi,
Es gibt zwar keinen Knowledge Database Eintrag zu Win 7 vs Lancom.
Aber wenn Win 7 IKEv2 gemäß dem Standart RFC 7296 implementiert sollte es, sofern Win 7 richtig konfiguriert wurde, funktionieren.
Ich selber habe noch keinen Test dazu durchgeführt.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Chaosphere64
Beiträge: 103
Registriert: 16 Jul 2014, 10:55

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von Chaosphere64 »

Gut, dann habe ich zumindest keinen Denkfehler gemacht, das wollte ich wissen.

Beste Grüße
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von MariusP »

Hi,
Ich wollte noch anmerken, das es ja schon Release Canidates gibt mit denen du es gerne ausprobieren kannst.
Bei Fehlern kann man sicher zusammen eine Lösung finden.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Chaosphere64
Beiträge: 103
Registriert: 16 Jul 2014, 10:55

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von Chaosphere64 »

Vielen Dank für das Angebot! Allerdings läuft der in Rede stehende Router im Produktivbetrieb, so dass ich davon absehen möchte dort RCs einzuspielen oder zu testen. Mein Name ist (Angst-)Hase. :-)

Sobald die 9.20 final und von den early adopters als unkritisch eingestuft ist werde ich das angehen und ggf. Feedback geben. Du bist wahrscheinlich schneller. ;-)
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von backslash »

Hi Chaosphere64,

ich wage zu bezweifeln, daß daraus was wird, denn Windows macht nicht einfach IKEv2... Das macht IKEv2 im Transport-Mode mit einem darüber geschalteten L2TP.

Das LANCOM wird auch bei IKEv2 erstmal nur den Tunnel-Mode unterstützen...

Gruß
Backslash
NKS14806
Beiträge: 3
Registriert: 27 Mai 2016, 11:34

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von NKS14806 »

Hallo zusammen.
Ich arbeite derzeit auch an diesem Problem und bin sehr an einer Lösung interessiert.
Die 9.20 habe ich auf einen Testrouter gespielt und versucht einen Tunnel mit Windows Client einzurichten leider bisher noch ohne erfolg. Lancom Support sagt wenn es geht dann nur unter Verwendung von Zertifikat.
Wenn jemand eine Lösung findet bitte unbedingt teilen. Wenn jemand bei den Einstellungen helfen kann bitte anschreiben.

gruß Daniel
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von MariusP »

Hi,
Hast du denn Erfahrung mit dem Erstellen von Zertifikaten?
Oder scheitert es beim Hochladen der Zertifikate auf das Lancom?
Oder scheitert es beim Einrichten der Zertifikate auf dem Windows?
Bitte gib etwas mehr Details.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
NKS14806
Beiträge: 3
Registriert: 27 Mai 2016, 11:34

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von NKS14806 »

Hi,
"Hast du denn Erfahrung mit dem Erstellen von Zertifikaten?" NEIN

Im Lancom 1781A gibt es leider nicht die Möglichkeit der Zertifikatserstellung.
Also fehlt schon die Erstellung an sich. Ist es mit der XCA Software (https://www.lancom-systems.de/certificate-generation/) Möglich ein Zertifikat zu erstellen und dieses in jeden Lancom einzuspielen oder ist der Ansatz schon Falsch. Gibt es eine andere Möglichkeit der Zertifikatserstellung.
Die Lösung mit Zertifikat verfolge ich nur weil Lancom Support mir gesagt hat es ist nur mit Zertifikat möglich den Windows VPN Client zu nutzen. Schöner wäre eine einfachere Lösung.

Stand jetzt. 1781A mit 9.20 LCOS und ALLIP Option. Zu diesem soll mit Windows VPN Client ein Tunnelaufbau möglich werden. (was ja mit der 9.20 laut Lancom funktionieren sollte)

Mir fehlt also
Erstellung Zertifikat
Import in den 1781
Einstellung und Nutzung Zertifikat im VPN WIN Client

Danke für die Unterstützung
Testsystem ist frei Nutz und Testbar vorhanden.

Gruß Daniel
Icarusweb
Moderator
Moderator
Beiträge: 3
Registriert: 17 Mär 2016, 16:08

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von Icarusweb »

Es geht mit Windows tatsächlich nur mit Zertifikaten, da Windows keinen Preshared Key unterstützt. Und auch mit Zertifikaten gibt es einige Hürden, da Windows hier sehr spezielle Vorgaben hätte, die das Zertifikat des Gateways erfüllen soll. In den Dokus von Strongswan wird auch schonmal beschrieben, das Windows hier etwas eigen ist, welche Zertifikate akzeptiert werden und wie man sie erzeugen muss. Windwos ist an der Stelle recht eingeschränkt, kompliziert und gibt wenig Hilfestellungen. Die Arbeit kann man sich definitiv erleichtern.

Prinzipell solltest du mit jeder Software mit der du eine eigene CA hast/erstellst, ein Zertifikat Päarchen erzeugen kannst und im PKCS#12 speichern kannst (damit der Lancom Router die speichern kann) die passenden Zertifikate erstellen können. Auch die Lancominterne CA kann das, sofern selbige vorhanden/freigeschaltet ist (VPN25 Option). XCA habe ich bisher noch nicht verwendet. Wichtig ist hierbei folgendes:
1) Der Server muss unter einer Domain erreichbar sein. Diese Domain muss im Zertifikat, welches der Router erhält sowohl als CN als auch im Subject Alternative Name eingetragen werden. Wenn diese Adresse nicht immer gleich ist, bricht der Windows Client die Verhandlung ab.
2) Das Zertifikat für den Router muss als Extended Key Usage den Zweck 'ServerAuth' eingetragen haben (auch schonmal TLS Server oder so benannt)
Das so erzeugte Zertifikat im Lancom Router verwenden, in einem der 9 VPN Slots.

Beim Zertifikat für Windows muss man was die Eintragungen angeht nichts beachten.

Ich hoffe, dass hilft mit den Zertifikaten schonmal etwas.
NKS14806
Beiträge: 3
Registriert: 27 Mai 2016, 11:34

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von NKS14806 »

Hallo,

Zertifikate sind erstellt mit xca. Zertifikat in den Lancom hochgeladen (nur sehen kann ich das hochgeladene nicht im Lancom).
Zertifikat ist auch im Windows im Zertifikatsspeicher importiert. Nur leider bekomme ich keine VPN Verbindung aufgebaut.
Hier kommt der Fehler "Ein unbekannter Fehler ist aufgetraten". Nun liegt es eventuell am Speicherort für das Zertifikat oder am Zertifikat selbst. Zertifikate sind nach folgender Anleitung erstellt. http://help.mobilfunkrouter.de/index.ph ... -VERWALTEN und exportiert worden.

PKCS12 Container für den Lancom und PEM für Windows. Im Windows ist das Zertifikat automatisch gespeichert worden.

Warum muss das bei Lancom so kompliziert sein :x

Gruß Daniel
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von MariusP »

Hi,
Hier kommt der Fehler "Ein unbekannter Fehler ist aufgetraten"
Hast du mehr Ausgabe als unbekannter Fehler?
In welchem Trace hast du es aufgezeichnet?
Was sagt das Syslog?
Und was ist "Hier"?
Warum muss das bei Lancom so kompliziert sein
Auf welchen Aspekt beziehst du dich genau?

Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von Jirka »

Hi,
NKS14806 hat geschrieben:Zertifikat in den Lancom hochgeladen
das alleine reicht aber nicht. Du hast hoffentlich auch eine VPN-Verbindung konfiguriert, die auf das Zertifikat eingestellt ist.
NKS14806 hat geschrieben:(nur sehen kann ich das hochgeladene nicht im Lancom).
Mit 'show vpn cert' kannst es Dir anschauen auf der Konsole.

Viele Grüße,
Jirka
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von GrandDixence »

Chaosphere64 hat geschrieben:Das sollte doch auch dazu führen, dass man mit Windows 7(+) ohne dedizierten VPN-Client IPSec-Verbindungen zu LANCOM Devices wird aufbauen können, oder?
Ja, ab LCOS v9.20 können Windows Desktop-Rechner (Windows 7 oder neuer) einen VPN-Tunnel mit IKEv2/IPSec zu einem LANCOM-Router aufbauen.

Aus Sicherheitsgründen wird auf Windows-Geräten der Einsatz eines VPN-Client von einem Drittanbieter empfohlen!

Details und Anleitung siehe bitte:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
JanItor
Beiträge: 73
Registriert: 20 Dez 2010, 11:32

Re: IKEv2 - IPSec-Verbindungen mit Windows 7(+) ohne VPN-Cli

Beitrag von JanItor »

Hat das mal jemand mit Windows 10 probiert?
Antworten