Hallo,
ich habe (mangels Kundenkontakt wg. Corona) gerade erst festgestellt, dass die IKEV2 Verbindung zum Mac & IOS nicht mehr funktioniert.
Wir haben die Geräte mit Apples MDM provisioniert. Leider kann ich jetzt nicht mehr sagen, ob die Ursache ein MacOS oder LCOS Update ist.
Hier wird kein IPV6 genutzt, da dieses auch vom Provider nicht angeboten wird.
Ich habe einmal versucht, in den IKEV2 Einstellungen an den relevanten Parametern zu schrauben, allerdings wird von Router leider einfach keine IPV4 Adresse mehr Richtung Client geschickt.
Danke
Henri
[VPN-Debug] 2021/04/24 20:53:43,290 Devicetime: 2021/04/24 20:53:42,809
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 2932 bytes
Gateways: 92.50.xx.xx:4500<--80.187.98.127:4500
SPIs: 0xF13F5C4EA18C2EE236378765629E6EE4, Message-ID 1
Payloads: IDI, CERT(X509), NOTIFY(STATUS_INITIAL_CONTACT), IDR, AUTH(RSA:SHA1), CP(REQUEST), NOTIFY(STATUS_ESP_TFC_PADDING_NOT_SUPPORTED), NOTIFY(STATUS_NON_FIRST_FRAGMENTS_ALSO), SA, TSI, TSR, NOTIFY(STATUS_MOBIKE_SUPPORTED)
+IKE_SA found and assigned
+Exchange created (flags: 0x00000050)
Looking for payload CERT(X509) (37)...Found 1 payload.
Subject: E=henri@...
Issuer : CN=CA ...
Dynamic comchannel 17 created
[VPN-Status] 2021/04/24 20:53:43,290 Devicetime: 2021/04/24 20:53:42,809
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 2932 bytes
Gateways: 92.50.68.82:4500<--80.187.98.127:4500
SPIs: 0xF13F5C4EA18C2EE236378765629E6EE4, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Updating remote port to 31310
Received 4 notifications:
+INITIAL_CONTACT (STATUS)
+ESP_TFC_PADDING_NOT_SUPPORTED (STATUS)
+NON_FIRST_FRAGMENTS_ALSO (STATUS)
+MOBIKE_SUPPORTED (STATUS)
+Received-ID:AUTH emailAddress=henri@...
+Road-warrior identified and accepted (Peer HENRI@OFFICE2887 using RSA_SIG)
+Peer uses AUTH(RSA:SHA1)
+Authentication successful
IKE_SA ('HENRI@OFFICE2887', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF13F5C4EA18C2EE236378765629E6EE4) removed from SADB
IKE_SA ('HENRI@OFFICE2887', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF13F5C4EA18C2EE236378765629E6EE4) entered to SADB
Request attributes:
INTERNAL_IP4_ADDRESS()
INTERNAL_IP4_SUBNET()
INTERNAL_IP4NETMASK()
INTERNAL_IP4_DHCP()
INTERNAL_IP4_DNS()
INTERNAL_IP6_ADDRESS()
INTERNAL_IP6_SUBNET(::/0)
INTERNAL_IP6_DHCP()
INTERNAL_IP6_DNS()
INTERNAL_DNS_DOMAIN()
Cannot assign IPv6 config parameters to non-existent interface HENRI@OFFICE2887
-Acquiring addresses failed (road-warrior) -> abort
ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Moderator: Lancom-Systems Moderatoren
ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Nimm mal den IPv6-Pool von der VPN-Verbindung runter, dann dürfte erstmal wieder eine Verbindung möglich sein, dann ist aber halt per VPN ins Firmennetz kein IPv6 möglich. Ist daher erstmal nur ein Workaround.Cannot assign IPv6 config parameters to non-existent interface HENRI@OFFICE2887
Hast du noch mehr Roadwarrior-Gegenstellen auf dem ISG definiert, bei denen IPv6 konfiguriert ist und funktioniert?
LCS NC/WLAN
Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Hallo,
danke, aber IPV6 ist deaktiviert und die Angelegenheit funktioniert werden mit noch ohne IPV6 Rules und/oder Address Pool.
Hatte vorher kein IPV6 eingetragen.
Mit vielen Grüßen
Henri
danke, aber IPV6 ist deaktiviert und die Angelegenheit funktioniert werden mit noch ohne IPV6 Rules und/oder Address Pool.
Hatte vorher kein IPV6 eingetragen.
Mit vielen Grüßen
Henri
Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Wat? Spielst du nebenbei Scrabble mit ganzen Wörtern?
Laut Screenshot hast du einen IPv6-Pool und eine IPv6-Regelerzeugung drin.
Laut Screenshot hast du einen IPv6-Pool und eine IPv6-Regelerzeugung drin.
LCS NC/WLAN
Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Nein,
Jedenfalls funktioniert es im Moment weder mit IPV6 noch ohne. Hatte aber schon ohne IPV6 getan.
Mir würde IPV4 völlig ausreichen.
Mit vielen Grüßen
Henri
Das ein ein Versuch von vielen ... Ich hätte auch den Screenshot ohne IPV6 erzeugen können, dann wäre die Antwort vermutlich "schalte doch mal IPV6 ein" gewesen.Ich habe einmal versucht, in den IKEV2 Einstellungen an den relevanten Parametern zu schrauben, allerdings wird von Router leider einfach keine IPV4 Adresse mehr Richtung Client geschickt.
Jedenfalls funktioniert es im Moment weder mit IPV6 noch ohne. Hatte aber schon ohne IPV6 getan.
Mir würde IPV4 völlig ausreichen.
Mit vielen Grüßen
Henri
Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Nur zur Dokumention, aus welchen Gründen auch immer will Apple "FQDN" bei Zertifikaten ....
Wen der Peer Namen nicht mit dem im LANCONFIG konfigurierten übereinstimmt, passt hier etwas nicht.
Mit vielen Grüßen
Henri
Wen der Peer Namen nicht mit dem im LANCONFIG konfigurierten übereinstimmt, passt hier etwas nicht.
Mit vielen Grüßen
Henri
Re: ISG4000 LCOS 10.42RU3 & MacOS 11.2.3 VPN IKEV2
Noch einmal zur Dokumentation.
Der MDM IKEV2 Payload funktioniert mit 10.50RU7 und MacOS 12.3.1 allerdings nur, wenn u.g. Parameter mit enthalten ist.
Sonst, wird die Verbindung zwar aufgebaut, allerdings geht die SA Verhandlung schief. Hier ist "0" Default.
<key>OverridePrimary</key>
<integer>1</integer>
Der MDM IKEV2 Payload funktioniert mit 10.50RU7 und MacOS 12.3.1 allerdings nur, wenn u.g. Parameter mit enthalten ist.
Sonst, wird die Verbindung zwar aufgebaut, allerdings geht die SA Verhandlung schief. Hier ist "0" Default.
<key>OverridePrimary</key>
<integer>1</integer>