Lancom 1621 VPN - OpenSWAN

Dan · Beitrag von **Dan** » 21 Dez 2005, 14:43

Hallo,

ich habe ein Problem mit dem Aufbau der VPN Verbindung von einem LanCom 1621 zu einem OpenSWAN Gateway. Ich verwende Zertifikate für die Authentifizierung. Die Definitionen der Verbindungen auf dem OpenSWAN Gateway sollten richtig sein, da es schon 3 BinTec Router gibt, die mit dem Gateway funktioneren.

Das Gateway zeigt folgendes an :

Dec 21 14:37:54 tenwall pluto[5935]: "hagen-eicker"[4] 212.95.104.122 #54: sent MR3, ISAKMP SA established
Dec 21 14:37:54 tenwall pluto[5935]: packet from 212.95.104.122:500: ignoring informational payload, type INVALID_HASH_INFORMATION

Die Zertifikate sind auf dem Lancom importiert worden und werden mittels vpn show ca und vpn show cert auch angezeigt. Die richtige Identität wird auch gesendet. Verschlüsselung läuft über 3DES/MD5.

Der Lancom Router zeigt folgenden Fehler an: Allgemeiner Fehler(Initiator, IKE) [0x21FF]

Für Tipps, wie ich das Problem beheben kann, bin ich dankbar.

eddia · Beitrag von **eddia** » 21 Dez 2005, 18:08

Hallo Dan,

Die Zertifikate sind auf dem Lancom importiert worden und werden mittels vpn show ca und vpn show cert auch angezeigt. Die richtige Identität wird auch gesendet.

Du hast auch wirklich beim entfernten Identitätstyp 'ASN.1-Distinguished Name' ausgewählt?

Und hast zusätzlich bedacht, dass der Lancom den DN des eingehenden Zertifikates prüft? Dieser DN muss natürlich korrekt in 'Entfernte Identität' eingetragen sein.

Gruß

Mario

Dan · Beitrag von **Dan** » 21 Dez 2005, 18:25

eddia hat geschrieben: Du hast auch wirklich beim entfernten Identitätstyp 'ASN.1-Distinguished Name' ausgewählt?

Ja.

eddia hat geschrieben: Und hast zusätzlich bedacht, dass der Lancom den DN des eingehenden Zertifikates prüft? Dieser DN muss natürlich korrekt in 'Entfernte Identität' eingetragen sein.

Die ASN.1 DN ist sowohl für die Lokale als auch für die Remote Identität korrekt gesetzt.

eddia · Beitrag von **eddia** » 21 Dez 2005, 19:16

Hallo Dan,

Die ASN.1 DN ist sowohl für die Lokale als auch für die Remote Identität korrekt gesetzt.

Besteht der remote DN zufällig aus mehreren RDNs? Dann ist auch noch die Reihenfolge der RDNs wichtig. In diesem Fall lädst Du Dir einfach mal testweise das Zertifikat vom OpenSWAN als Gerätezertifikat in den Lancom. Der dann per vpn show cert angezeigte DN muss dann genau umgedreht in die entfernte Identität des Lancoms eingegeben werden.

Gruß

Mario

Dan · Beitrag von **Dan** » 22 Dez 2005, 08:48

eddia hat geschrieben:Hallo Dan,
Besteht der remote DN zufällig aus mehreren RDNs? Dann ist auch noch die Reihenfolge der RDNs wichtig. In diesem Fall lädst Du Dir einfach mal testweise das Zertifikat vom OpenSWAN als Gerätezertifikat in den Lancom. Der dann per vpn show cert angezeigte DN muss dann genau umgedreht in die entfernte Identität des Lancoms eingegeben werden.

Ja, sie besteht aus mehrerer RDNs. Die Zertifikate werden über vpn show cert auch korrekt angezeigt. Die Reihenfolge im Lancom, also umgedreht, passt auch.

eddia · Beitrag von **eddia** » 22 Dez 2005, 21:39

Hallo Dan,

dann poste doch mal einen Vpn-Status Trace vom Lancom, wenn der OpenSWAN eine Verbindung initiiert.

Gruß

Mario

ALuedtke · Beitrag von **ALuedtke** » 08 Jan 2006, 12:48

Hi Dan,

da ich auch an einer VPN Verbindung zu Openswan interressiert bin, frage ich Dich ob Du es schon hinbekommen hast?

Hast Du schon eine Verbindung mit PSKs geschafft? Bei mir hapert es da noch...

Gruß

Andreas

eddia · Beitrag von **eddia** » 08 Jan 2006, 13:58

Hallo Andreas,

Hast Du schon eine Verbindung mit PSKs geschafft? Bei mir hapert es da noch...

ich hab von OpenSwan zwar keine Ahnung - aber folgendes musste auf dem Lancom immer abweichend konfiguriert werden.

1. Die Proposalliste des Lancoms darf nur Einträge mit einem Verschlüsselungsalgorithmus (der natürlich im OpenSwan ebenfalls konfiguriert ist) enthalten, also z.B. nur AES-MD5 und AES-SHA. Deshalb muss man sich eine neue Proposalliste anlegen.

2. Die Gültigkeitsdauer dieser IKE-Proposals darf maximal 86400s betragen.

So hat das mit mehreren OpenSwans als Gegenstelle geklappt.

Gruß

Mario

ALuedtke · Beitrag von **ALuedtke** » 08 Jan 2006, 16:07

Hallo Mario,

ich hatte mich auch schon auf eine einzige Verschlüsselungsart (aes) beschränkt. Könntest Du mir evtl. die Parameter einer funktionierenden Verbindung schicken (ipsec.conf auf Openswan Seite und "show vpn long" auf Lancom Seite)? Ich bin bald am Ende von meinem Latein...

Danke

Andreas

eddia · Beitrag von **eddia** » 08 Jan 2006, 17:12

Hallo Andreas,

Könntest Du mir evtl. die Parameter einer funktionierenden Verbindung schicken (ipsec.conf auf Openswan Seite und "show vpn long" auf Lancom Seite)?

wie schon gesagt - die OpenSwan Seite ist nicht mein Bier. Ich habe nur die Lancom Konfiguration in Absprache mit den OpenSwan Admins gemacht. Und genau diese Sachen mussten immer geändert werden.

Gruß

Mario