IKEv2 mit Zertifikaten unter MAC OS 10.12.1

[geforce28]

Hallo zusammen.

Hat es schon jemand geschafft unter der aktuellen Mac OS Sierra (10.12.1) ein IKEv2 VPN zertifikatsbasiert hinzubekommen ???
Ich beiße mir schon einige Stunden daran die Zähne aus und habe jetzt aufgegeben.

Sehr unbefriedigend ist auch, dass der Advanced VPN Client für Mac anscheinen nur IKEv1 beherrscht.

Die IKEv2 Unterstützung des Mac OS nativen VPN-Clients ist allerdings geben und soll auch lt. Apple sehr gut funktionieren...

Gibt es vielleicht jemanden der vor dem selben Problem wie ich steht und es eventuell gelöst hat ?
Ich bin wirklich am verzweifeln.. !

Im Grunde habe ich folgende Anleitung befolgt:
https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument

Nur bei der Authentifizierung habe ich, da ich zertifikatsbasiertes VPN haben möchte folgende Abweichungen vorgenommen:
Lokale Authentifizierung: "RSA Signature"
Lokaler Identitätstyp: "ASN.1-Distinguished-Name"
Lokale Identität: Den Zertifkatnamen vom lokalen Router Zertifikat "CN=...." angegeben
Lokales Passwort: Frei gelassen

Entfernte Authentifizierung: "RSA Signature"
Entfernte Identitätstyp: "ASN.1-Distinguished-Name"
Entfernte Identität: Den Zertifikatnamen für das Clientzertifikat "CN=....."
Entferntes Passwort: Frei gelassen

Ansonsten alles so wie ich der Anleitung... !

Im MAC OS X habe ich dann das Clientzertifikat in den Schlüsselbund importiert.
Dann habe ich im MAC OS X VPN Client eine IKEv2 VPN Verbindung mit den folgenden Werten erstellt:
Serveradresse: externe IP des LC Routers
Entfernte ID: Den Zertifikatnamen "CN=..." des Routers, wie im Router angegeben bei "Lokale Identität".
Lokale ID: Den Zertifikatnamen "CN=...." des Clients, wie im Router bei "Entfernte Identität" angegeben.

Unter Authentifizierungseinstellungen:
Ohne
und das Client-Zertifikat ausgewählt....

Leider kommt keine VPN Verbindung zu stande.
Der MAC-VPN Client gibt nicht mal eine Meldung (Fehlermeldung) aus.

Ich würde mich freuen, wenn sich jemand der Sache annimmt und mir Hilft !

Viele Grüße

[MariusP]

Hi,
Was sagt den der VPN-Statustrace auf dem Lancom wenn du versuchst eine Verbindung aufzubauen?
Gruß

[geforce28]

Anbei mal der zensierte Trace...

Code: Alles auswählen

[VPN-Status] 2016/10/27 18:46:53,802  Devicetime: 2016/10/27 18:47:20,255
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: xxxxxxxxxx:500<—xxxxxxxxxx:62809
SPIs: xxxxxxxxxxx0000000000000000, Message-ID 0
Peer identified: DEFAULT
Received 4 notifications: 
  +REDIRECT_SUPPORTED
  +STATUS_NAT_DETECTION_SOURCE_IP
  +STATUS_NAT_DETECTION_DESTINATION_IP
  +IKEV2_FRAGMENTATION_SUPPORTED
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are behind a NAT => sending periodic keep alives every 20 seconds
+IKE_SA:
  Proposal 1  Protocol IPSEC_IKE
    ENCR : AES_CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: SHA-256
    DH   : 14
+Received KE-DH-Group 14 (2048 bits)



——————

[VPN-Status] 2016/10/27 18:46:53,922  Devicetime: 2016/10/27 18:47:20,474
Peer DEFAULT: Constructing an IKE_SA_INIT-REPLY  for send
IKE_SA:
  Proposal 1  Protocol IPSEC_IKE:
    ENCR : AES_CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: SHA-256
    DH   : 14
+KE-DH-Group 14 (2048 bits)
Sending an IKE_SA_INIT-RESPONSE of 457 bytes
Gateways: xxxxxxxxx:500-->xxxxxxxxxx:62809
SPIs: xxxxxxxxxxxxxxx, Message-ID 0


———————

[VPN-Status] 2016/10/27 18:46:53,922  Devicetime: 2016/10/27 18:47:20,543
IKE_SA_INIT [responder] for peer DEFAULT initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: xxxxxxxxxx5, responder cookie: xxxxxxxxxxxE8
SA ISAKMP for peer DEFAULT encryption aes-cbc authentication SHA-256 prf SHA-256
life time soft 10/28/2016 21:47:20 (in 97200 sec) / 0 kb
life time hard 10/29/2016 00:47:20 (in 108000 sec) / 0 kb

———————

[VPN-Status] 2016/10/27 18:46:53,974  Devicetime: 2016/10/27 18:47:20,587
IKE log: 184720.587661 Default x509_DN_XN: d2i_X509_NAME() failed

———————

[VPN-Status] 2016/10/27 18:46:53,974  Devicetime: 2016/10/27 18:47:20,587
IKE log: 184720.587708 Default x509_DN_conf_cmp: x509_DN_XN() failed

—————————

[VPN-Status] 2016/10/27 18:46:53,974  Devicetime: 2016/10/27 18:47:20,590
IKE log: 184720.590222 Default rsa_sig_decode_hash: no CERT subject match the ID

—————————

[VPN-Status] 2016/10/27 18:46:53,974  Devicetime: 2016/10/27 18:47:20,593
Peer DEFAULT: Received an IKE_AUTH-REQUEST of 1920 bytes (encrypted)
Gateways: xxxxx:4500<—xxxxx:62810
SPIs: xxxxxxxxxE8, Message-ID 1
+Received-ID:AUTH CN=xxxxxxxxxx	:USER_FQDN:RSA_SIG matches Expected-ID:AUTH ID_NONE:ID_NONE:RSA_SIG
+Road-warrior identified and accepted (Peer xxxxxxx-VPN302C using RSA_SIG)
+Peer uses AUTH(RSA:SHA1)
+Authentication successful
Received 4 notifications: 
  +STATUS_INITIAL_CONTACT
  +STATUS_MOBIKE_SUPPORTED
  +STATUS_ESP_TFC_PADDING_NOT_SUPPORTED
  +STATUS_NON_FIRST_FRAGMENTS_ALSO
  +INTERNAL_IP4_ADDRESS()
  +INTERNAL_IP4_DHCP()
  +INTERNAL_IP4_DNS()
  +INTERNAL_IP4_NETMASK()
  +INTERNAL_IP6_ADDRESS()
  +INTERNAL_IP6_DHCP()
  +INTERNAL_IP6_DNS()
  -Not configured as Server () or not cert as proposal -> abort

—————————

[VPN-Status] 2016/10/27 18:46:54,089  Devicetime: 2016/10/27 18:47:20,701
VPN: WAN state changed to WanSetup for  (0.0.0.0), called by: 00eaf010

—————————

[VPN-Status] 2016/10/27 18:46:54,089  Devicetime: 2016/10/27 18:47:20,701
VPN: WAN state changed to WanCalled for xxxxxx-VPN302C (0.0.0.0), called by: 00eaed2c

—————————

[VPN-Status] 2016/10/27 18:46:54,089  Devicetime: 2016/10/27 18:47:20,701
vpn-maps[20], remote: xxxxxxx-VPN302C, nego, connected-by-name

—————————

[VPN-Status] 2016/10/27 18:46:54,089  Devicetime: 2016/10/27 18:47:20,701
Peer xxxxxx-VPN302C: Constructing an IKE_AUTH-REPLY  for send
+Local-ID  198.51.100.23:IPV4_ADDR
+I use AUTH(RSA:SHA1)
+Signature of length 256 bytes (2048 bits) computed

IKE_SA_INIT [responder] for peer xxxxx-VPN302C initiator id CN=xxxxxxxxxxxx	, responder id  198.xx.xx.xx
initiator cookie: xxxxxxxxxxx5, responder cookie: xxxxxxxxxxE8
NAT-T enabled. We are  behind a nat, the remote side is not behind a nat
SA ISAKMP for peer xxxxxx-VPN302C encryption aes-cbc authentication SHA-256 prf SHA-256
life time soft 10/28/2016 21:47:20 (in 97200 sec) / 0 kb
life time hard 10/29/2016 00:47:20 (in 108000 sec) / 0 kb

NOTIFY(INTERNAL_ADDRESS_FAILURE)
Sending an IKE_AUTH-RESPONSE of 1360 bytes (encrypted)
Gateways: xxxxxxxx:4500-->xxxxxxxxx:62810
SPIs: xxxxxxxxxE8, Message-ID 1


——————————

[VPN-Status] 2016/10/27 18:46:54,089  Devicetime: 2016/10/27 18:47:20,702
IKE info: CHILD_SA removed: peer xxxxxx-VPN302C rule ISAKMP-PEER-DEFAULT removed

——————————

[VPN-Status] 2016/10/27 18:46:54,139  Devicetime: 2016/10/27 18:47:20,751
Peer xxxxxxx-VPN302C: Received an INFORMATIONAL-REQUEST of 80 bytes (encrypted)
Gateways: xxxxxxx:4500<—xxxxxxx:62810
SPIs: xxxxxxxxxxE8, Message-ID 2

——————————

[VPN-Status] 2016/10/27 18:46:54,139  Devicetime: 2016/10/27 18:47:20,752
Peer xxxxxxxx-VPN302C: Constructing an INFORMATIONAL-REPLY  for send
Sending an INFORMATIONAL-RESPONSE of 80 bytes (encrypted)
Gateways: xxxxxxxx:4500-->xxxxxxxx:62810
SPIs: xxxxxxxxxxE8, Message-ID 2

[GrandDixence]

Gemäss dem VPN-Trace gibt es ein oder mehrere Probleme mit den Zertifikaten. Bitte viele Nerven, viel Zeit und viel Geduld für die Fehlersuche bereit halten und die Informationen unter:

https://wiki.strongswan.org/projects/st ... pleClients

https://wiki.strongswan.org/projects/st ... Ev2Profile

https://wiki.strongswan.org/projects/st ... ientsIKEv1

http://www.lancom-forum.de/fragen-zum-t ... 15356.html

beachten!

[geforce28]

Hm,

danke für die Links, aber das hilft mir ehrlich gesagt nicht wirklich weiter....

[MariusP]

Hi,
Auch wenn diese Antwort etwas technisch ist:
https://tools.ietf.org/html/rfc7296#section-3.15.4
Hier steht genau beschrieben, wenn der Standart vorsieht welchen Notify zu geben.
Dies ist interessant, da es für die allermeisten (man ist ja theoretisch nicht verpflichtet sich dran zu halten) Implementierungen des IKEv2 gelten sollten.

-Not configured as Server () or not cert as proposal -> abort

Scheint den Notify auszulösen. Daher bitte ich dich die Buildnummer/Version zu nennen. Um auszuschließen ob die vor dir verwendete Version vor oder nach einen Bugfix war.
Daher auch die zusätzliche Bitte die aktuellste 9.20 einzuspielen und es damit nochmal zu probieren.
Gruß

[geforce28]

Hallo und danke für den Ansatz.

Mein Lancom hat Version 9.24.0075RU1(06.10.2016) eingespielt...

[MariusP]

Hi,
Ich hab für dich den Bug rausgesucht:
Fix Build: 9.20.0712 Fw, 9.24.0115 Fw, 10.00.0016 Fw
Die entsprechenden neueren Builds findest du unter:
ftp://ftp.lancom.de/LANCOM-Beta/LCOS/

Sollte es damit noch nicht funktionieren, könnte es an daran legen, das die Fragmentierung im IKEv2 bei MacOS anders läuft als bei Lancom. Dort wird dann noch nachgebessert. Bis dorthin probiere bitte um es mit 1024bit funktioniert, sofern du 2048bit oder größer verwendet hast.
Gruß

[geforce28]

So bin nun endlich dazu gekommen mal die Beta FW einzuspielen...

Leider hat es nichts genutzt, selben Fehlermeldungen im Trace.

Hat noch jemand eine Idee ??

[MariusP]

Hi,

Sollte es damit noch nicht funktionieren, könnte es an daran legen, das die Fragmentierung im IKEv2 bei MacOS anders läuft als bei Lancom. Dort wird dann noch nachgebessert. Bis dorthin probiere bitte um es mit 1024bit funktioniert, sofern du 2048bit oder größer verwendet hast.

Hast du mit der Bitgröße gelesen?
Gruß

[geforce28]

Wo kann ich das mit der Bitgröße denn einstellen ?

Habe keinen entsprechenden Punkt gefunden...

Danke für eure Hilfe !

[MariusP]

Hi,
Das hängt davon ab mit welchem "Programm" du deine Zertifikate erstellt hast.
Gruß

[geforce28]

Achso das meinst du...

Ich nutze die Lancom Smart-CA, die der 7100+ mitbringt.
Ich habe gerade nochmal geschaut, dort kann man nichts einstellen, was die Bitgröße betrifft...

[findler]

Hast Du die DEFAULT Einträge bei "Verbindungs-Liste" und "Authentifizierung" verändert?

[geforce28]

Unter Verbindungs-Lite und Authentifizierung steht natürlich der Authentifizierungsname drin, den ich unter "Authentifizierung" festgelegt habe.
Dort habe ich ja auch die Entfernte und lokale ID von den Zertifikaten angegeben...

Das meinst du doch oder ??