IKEv2/IPSec Verbindungsproblem mit Strongswan unter Ubuntu 22.04

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

IKEv2/IPSec Verbindungsproblem mit Strongswan unter Ubuntu 22.04

Beitrag von geppi »

Ich habe auf einem Lancom 1781VA mit Fimware version 10.50.0953RU8 den Zugang per VPN mit IKEv2/IPSec Zertifikaten eingerichtet.
Der Zugang mittels des nativen Windows 10 VPN Client klappt ebenso wie der Zugang mittels Strongswan unter Android 12.

Leider habe ich mit Strongswan unter Ubuntu 22.04 ein Problem das sich im VPN Trace folgendermaßen darstellt:

Code: Alles auswählen

Looking for payload CHILD_SA (33)...Found 1 payload.
  +Config   ENCR  transform(s): AES-GCM-16-256
  +Received ENCR  transform(s): AES-GCM-16-128 AES-GCM-16-192 AES-GCM-16-256
  +Best intersection: AES-GCM-16-256
  +Config   ESN   transform(s): NONE
  +Received ESN   transform(s): 
  +Best intersection: ignored since ENCR-Transform is an authenticated cipher
  -ESN transform is obligatory for ESP-Protocol
  -Skipping proposal 1
  +Config   ENCR  transform(s): AES-GCM-16-256
  +Received ENCR  transform(s): AES-CBC-128 AES-CBC-192 AES-CBC-256
  -No intersection
  +Config   INTEG transform(s): 
  +Received INTEG transform(s): HMAC-SHA-256 HMAC-SHA-384 HMAC-SHA-512 HMAC-SHA1 AES-XCBC-96
  -No intersection
  +Config   ESN   transform(s): NONE
  +Received ESN   transform(s): NONE
  +Best intersection: NONE
  -ENCR transform is obligatory for ESP-Protocol
  -Skipping proposal 2
Ich interpretiere das so, dass das erste Proposal vom Lancom nicht angenommen wird, weil der Strongswan Client scheinbar garnichts zum Thema ESN vorschlägt.
Allerdings würde hier ein "NONE" genügen, was ja nun auch nicht wirklich mehr ist. :wink: Zumindest entnehme ich dies dem Trace der erfolgreichen Verbindung eines Strongswan Client unter Android 12, der an dieser Stelle wie folgt aussieht:

Code: Alles auswählen

Looking for payload CHILD_SA (33)...Found 1 payload.
  +Config   ENCR  transform(s): AES-GCM-16-256
  +Received ENCR  transform(s): AES-GCM-16-256 AES-GCM-16-128 ENCR-CHACHA20-POLY1305
  +Best intersection: AES-GCM-16-256
  +Config   ESN   transform(s): NONE
  +Received ESN   transform(s): NONE
  +Best intersection: NONE
Hat jemand eine Idee wie ich entweder den Lancom dazu bewegen kann das Fehlen eines ESN Proposals als "NONE" zu interpretieren oder was ich an der Strongswan Konfiguration ändern muss um ein "NONE" vorzuschlagen? Ich benutze unter Ubuntu 22.04 übrigens Strongswan mit dem NetworkManager und habe bezüglich Proposals nichts spezielles konfiguriert, sondern nutze dessen Standardkonfiguration.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2/IPSec Verbindungsproblem mit Strongswan unter Ubuntu 22.04

Beitrag von GrandDixence »

Gemäss RFC 7296, Kapitel 3.3.3 muss ESN im Verschlüsselungsvorschlag (Proposal) zwingend definiert sein.
https://www.rfc-editor.org/rfc/rfc7296.html

Somit ist der vom VPN-Client (StrongSwan unter Ubuntu 22.04) versendete erste Vorschlag (Proposal) im IKE-Telegramm IKE_AUTH-Request mangelhaft. IKE_AUTH-Request ist das 3. IKE-Telegramm, welches beim VPN-Tunnelaufbau nach IKEv2 versendet wird.

Mit dem Trace VPN-IKE auf dem LANCOM-Router kontrollieren, ob das 3. IKE-Telegramm im ersten Proposal wirklich keine ESN-Informationen enthält.

Bei Problemen mit einem VPN-Client unter Ubuntu muss man sich an ein Ubuntu-Forum wenden. Allenfalls einen Bugreport für Ubuntu eröffnen.
https://help.ubuntu.com/community/ReportingBugs
Antworten