LANCOM 1906VA VPN S2S IKEv2/IPSEC mit Azure Gateway

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
samershr
Beiträge: 3
Registriert: 06 Jul 2018, 11:47

LANCOM 1906VA VPN S2S IKEv2/IPSEC mit Azure Gateway

Beitrag von samershr »

Hallo,

wir haben 2 VPN S2S IKEv2/ipsec presharedkey mit Azure Gateway. Die Verbindung brecht ungefähr zwei mal pro Woche ab. Die Konfigurationen müssen richtig sein, da mit dem CISCO ISR der Kunde einwandfrei funktioniert. Die Fehlermeldung im Azure ist "Authentication Failed".

Zuerst habe ich ein Ticket zuerst mit Microsoft Azure Support geöffnet, damit wir den Aufbau der Verbindung von Azure-Seite überprüfen. Nach ein paar Sessions haben wir vermutet, dass es vielleicht an zwei Punkte liegt:

1- Phase Lifetime: Beide Seite können nicht mit einer Lifetime übereinstimmen. Hier haben wir verschiedene Werte ausprobiert. Phase 1 Lifetime mit 28800 und Phase2 Lifetime mit 2700 hat uns zwar das beste Ergebnis gegeben aber noch mit Störungen (ein-/zweimal pro Woche). Die Frage ist gibt es eine Beschränkung hier oder eine Ideale Wert, indem der Router arbeitet?

2- Noch eine Bemerkung von dem Azure-Support:
I’ve noticed that at the time it disconnects the LANCOM device sends us Authentication Failed when it is acting as the responder, but when the connection comes up it is acting as the INITIATOR. It is worth trying to make sure the device is the initiator using phase 2 settings for responder.
Im LanConfig kann man nicht festlegen, ob der Gerät als responder oder Initiator funktionieren soll. Gibt es die Möglichkeit diese einzustellen?

Die Konfigurationen sind auf beiden Seiten wie folgendes:
- Basic Konfigurationen wie üblich in Connection List, Authentication, IPv4 rules, Routing Table nach https://www2.lancom.de/kb.nsf/bf0ed2a4d ... d0004abed6
- Connection parameters: default
- Encryption: (wir habe hier verschiedene Werten überprüft und uns auf die folgende entschieden)
  • DH groups : DH2 (DH14 auf dieandere VPN-Verbindung)
  • IKE-SA: AES-CBC-256/SHA-256
  • Child-SA: AES-CBC-256/SHA-256
  • PFS: Nein (Ja auf die andere VPN-Verbindung)
- Lifetimes:
  • Phase1 Lifetime: 28800
  • Phase2 Lifetime: 27000 / 102400000 kBytes

Hoffentlich könnt Ihr mir weiter helfen.

Vielen Dank!
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LANCOM 1906VA VPN S2S IKEv2/IPSEC mit Azure Gateway

Beitrag von GrandDixence »

Es liegt ein Problem mit dem:

- IKE-Rekeying (Neuverhandlung des Schlüsselmaterials für den Steuerkanal des VPN-Tunnels)
oder
- mit dem ESP-Rekeying vor (Neuverhandlung des Schlüsselmaterials für den Datenkanal des VPN-Tunnels).

vor. Aus Sicherheitsgründen sollte das für die Verschlüsselung des VPN-Tunnels verwendete Schlüsselmaterial regelmässig nach Erreichen einer Zeitlimite ODER Datenmengelimite ausgetauscht werden (Lifetime). Dazu ist eine Neuverhandlung des Schlüsselmaterials (Rekeying) erforderlich, welche hier offenbar fehlschlägt. Was konsequenterweise zur Trennung des VPN-Tunnels führt.

Welches Rekeying genau fehlschlägt (und warum genau), ist mit den entsprechenden VPN-Traces oder VPN-Status-Seiten auf dem LANCOM-Router feststellbar.
viewtopic.php?f=31&t=17621&p=99943&hili ... ark#p99943

Dazu die Lifetime zu Testzwecken auf wenige Minuten herunterschrauben. Aus Sicherheitsgründen sind:

- DH groups: DH2
- PFS: Nein

auf sichere Werte umzukonfigurieren. Ansonsten ist dieses Azure Gateway durch ein anderes Produkt zu ersetzen, welches die Realisierung eines genügend sicheren VPN-Tunnels ermöglicht. Siehe auch:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Wie man den LANCOM-Router als Initator oder Responder des VPN-Tunnels konfiguriert, ist ebenfalls aus den oben verlinkten VPN-Tunnelanleitungen ersichtlich. Empfehlungen zur Konfiguration der Lifetime-Werte gibt das entsprechende BSI TR. Siehe dazu die oben verlinkten VPN-Tunnelanleitungen.
Antworten