ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Beitrag von Henri »

Hallo,

ich habe (mangels Kundenkontakt wg. Corona) gerade erst festgestellt, dass die IKEV2 Verbindung zum Mac & IOS nicht mehr funktioniert.
Wir haben die Geräte mit Apples MDM provisioniert. Leider kann ich jetzt nicht mehr sagen, ob die Ursache ein MacOS oder LCOS Update ist.
Hier wird kein IPV6 genutzt, da dieses auch vom Provider nicht angeboten wird.

Ich habe einmal versucht, in den IKEV2 Einstellungen an den relevanten Parametern zu schrauben, allerdings wird von Router leider einfach keine IPV4 Adresse mehr Richtung Client geschickt.

Danke

Henri


[VPN-Debug] 2021/04/24 20:53:43,290 Devicetime: 2021/04/24 20:53:42,809
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 2932 bytes
Gateways: 92.50.xx.xx:4500<--80.187.98.127:4500
SPIs: 0xF13F5C4EA18C2EE236378765629E6EE4, Message-ID 1
Payloads: IDI, CERT(X509), NOTIFY(STATUS_INITIAL_CONTACT), IDR, AUTH(RSA:SHA1), CP(REQUEST), NOTIFY(STATUS_ESP_TFC_PADDING_NOT_SUPPORTED), NOTIFY(STATUS_NON_FIRST_FRAGMENTS_ALSO), SA, TSI, TSR, NOTIFY(STATUS_MOBIKE_SUPPORTED)
+IKE_SA found and assigned
+Exchange created (flags: 0x00000050)
Looking for payload CERT(X509) (37)...Found 1 payload.
Subject: E=henri@...
Issuer : CN=CA ...
Dynamic comchannel 17 created

[VPN-Status] 2021/04/24 20:53:43,290 Devicetime: 2021/04/24 20:53:42,809
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 2932 bytes
Gateways: 92.50.68.82:4500<--80.187.98.127:4500
SPIs: 0xF13F5C4EA18C2EE236378765629E6EE4, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Updating remote port to 31310
Received 4 notifications:
+INITIAL_CONTACT (STATUS)
+ESP_TFC_PADDING_NOT_SUPPORTED (STATUS)
+NON_FIRST_FRAGMENTS_ALSO (STATUS)
+MOBIKE_SUPPORTED (STATUS)
+Received-ID:AUTH emailAddress=henri@...
+Road-warrior identified and accepted (Peer HENRI@OFFICE2887 using RSA_SIG)
+Peer uses AUTH(RSA:SHA1)
+Authentication successful
IKE_SA ('HENRI@OFFICE2887', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF13F5C4EA18C2EE236378765629E6EE4) removed from SADB
IKE_SA ('HENRI@OFFICE2887', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF13F5C4EA18C2EE236378765629E6EE4) entered to SADB
Request attributes:
INTERNAL_IP4_ADDRESS()
INTERNAL_IP4_SUBNET()
INTERNAL_IP4NETMASK()
INTERNAL_IP4_DHCP()
INTERNAL_IP4_DNS()
INTERNAL_IP6_ADDRESS()
INTERNAL_IP6_SUBNET(::/0)
INTERNAL_IP6_DHCP()
INTERNAL_IP6_DNS()
INTERNAL_DNS_DOMAIN()
Cannot assign IPv6 config parameters to non-existent interface HENRI@OFFICE2887
-Acquiring addresses failed (road-warrior) -> abort
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Beitrag von 5624 »

Cannot assign IPv6 config parameters to non-existent interface HENRI@OFFICE2887
Nimm mal den IPv6-Pool von der VPN-Verbindung runter, dann dürfte erstmal wieder eine Verbindung möglich sein, dann ist aber halt per VPN ins Firmennetz kein IPv6 möglich. Ist daher erstmal nur ein Workaround.

Hast du noch mehr Roadwarrior-Gegenstellen auf dem ISG definiert, bei denen IPv6 konfiguriert ist und funktioniert?
LCS NC/WLAN
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Beitrag von Henri »

Hallo,

danke, aber IPV6 ist deaktiviert und die Angelegenheit funktioniert werden mit noch ohne IPV6 Rules und/oder Address Pool.
Hatte vorher kein IPV6 eingetragen.

Mit vielen Grüßen

Henri
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Beitrag von 5624 »

Wat? Spielst du nebenbei Scrabble mit ganzen Wörtern?

Laut Screenshot hast du einen IPv6-Pool und eine IPv6-Regelerzeugung drin.
LCS NC/WLAN
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Beitrag von Henri »

Nein,
Ich habe einmal versucht, in den IKEV2 Einstellungen an den relevanten Parametern zu schrauben, allerdings wird von Router leider einfach keine IPV4 Adresse mehr Richtung Client geschickt.
Das ein ein Versuch von vielen ... Ich hätte auch den Screenshot ohne IPV6 erzeugen können, dann wäre die Antwort vermutlich "schalte doch mal IPV6 ein" gewesen.

Jedenfalls funktioniert es im Moment weder mit IPV6 noch ohne. Hatte aber schon ohne IPV6 getan.
Mir würde IPV4 völlig ausreichen.


Mit vielen Grüßen

Henri
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Beitrag von Henri »

Nur zur Dokumention, aus welchen Gründen auch immer will Apple "FQDN" bei Zertifikaten ....
Wen der Peer Namen nicht mit dem im LANCONFIG konfigurierten übereinstimmt, passt hier etwas nicht.

Mit vielen Grüßen

Henri
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2

Beitrag von Henri »

Noch einmal zur Dokumentation.

Der MDM IKEV2 Payload funktioniert mit 10.50RU7 und MacOS 12.3.1 allerdings nur, wenn u.g. Parameter mit enthalten ist.
Sonst, wird die Verbindung zwar aufgebaut, allerdings geht die SA Verhandlung schief. Hier ist "0" Default.

<key>OverridePrimary</key>
<integer>1</integer>
Antworten