Lancom1900EF per Shrew-VPN-Client

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Mario1981
Beiträge: 12
Registriert: 16 Mär 2021, 12:54

Lancom1900EF per Shrew-VPN-Client

Beitrag von Mario1981 »

Hallo Forum-User,

ich versuche nun schon seit längerem eine VPN-Verbindung von einem Shrew-VPN-Client zu meinem Lancom-Router aufzubauen.
Der Lancom hängt hinter einem Glasfaseranschluss (ohne Zugangsdaten, direkt per IP-Adresse wir die Internet-Verbindung aufgebaut).

Nun habe ich es mal mit dem VPN-Multiconnect-Tool V1.2 versucht, jedoch leider auch ohne Erfolg...

Hier die Konfig für den Shrew:

Code: Alles auswählen

n:version:4
s:network-host:XXX.XXX.XXX.XXX (feste IP-Adresse des Anschlusses)
n:network-ike-port:500
s:client-auto-mode:pull
n:network-mtu-size:1380
s:client-iface:virtual
n:client-addr-auto:1
s:network-natt-mode:enable
n:network-natt-port:4500
n:network-natt-rate:15
s:network-frag-mode:enable
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:1
n:client-wins-auto:1
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:fqdn
s:ident-client-data:shrew@remote.de
s:ident-server-data:lancom@local.de
b:auth-mutual-psk:XXXX (VPN-Key)
s:phase1-exchange:aggressive
n:phase1-dhgroup:2
s:phase1-cipher:aes
n:phase1-keylen:128
s:phase1-hash:md5
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
s:phase2-transform:esp-aes
n:phase2-keylen:128
s:phase2-hmac:md5
s:ipcomp-transform:disabled
n:phase2-pfsgroup:2
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
s:policy-level:auto
n:policy-nailed:0
n:policy-list-auto:0
s:policy-list-include:172.23.55.0 / 255.255.255.0 (Hauptnetzwerk des Lancom-Routers, VLan-ID=0)
s:client-saved-username:
...und hier die Konfig des Lancom:

Code: Alles auswählen

# Shrew VPN-Client vs. LANCOM
# Scriptvorlage für LANCOM Router
# (c) M. Busche, 2012
# elpatron_kiel@users.sourceforge.net
#
# verwendete Platzhalter:
# /PSK/					Preshared Key der Verbindung
# /ID_LOCAL/			Full qualified Domain Name des LANCOM
# /ID_REMOTE/			Full qualified Domain Name der Fritz!Box
# /LOCAL_PEER-NAME/		Name der Gegenstelle

#
#
lang English
flash No
cd /
cd /Setup/IP-Router/Firewall/Rules 
#    Name                              Prot.       Source                                    Destination                               Action                                    Linked  Prio   Firewall-  VPN-Rule   Stateful  Rtg-tag  Comment                                                         
#    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "VPN-CLIENT_SHREW"       {Prot.}  "ANY"      {Source}  "ANYHOST"                                {Destination}  "%HSHREW"                            {Action}  "%Lcds0 %A"                              {Linked}  No     {Prio}  0     {Firewall-Rule}  No        {VPN-Rule}  Yes       {Stateful}  Yes      {Rtg-tag}  0       {Comment}  "VPN-Zugang SHREW"
cd /
cd /Setup/VPN/VPN-Peers 
#    Peer              SH-Time       Extranet-Address  Remote-Gw                                                        Rtg-tag  Layer             dynamic     IKE-Exchange     Rule-creation  DPD-Inact-Timeout  IKE-CFG  XAUTH   SSL-Encaps. 
#    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "SHREW"      {SH-Time}  0            {Extranet-Address}  0.0.0.0          {Remote-Gw}  "0.0.0.0"                                                       {Rtg-tag}  0       {Layer}  "P-SHREW"    {dynamic}  No         {IKE-Exchange}  Aggressive-Mode {Rule-creation}  manually      {DPD-Inact-Timeout}  90                {IKE-CFG}  Server  {XAUTH}  Off    {SSL-Encaps.}  No
cd /
cd /Setup/VPN/Layer 
#    Name              PFS-Grp   IKE-Grp   IKE-Prop-List      IPSEC-Prop-List    IKE-Key        
#    ------------------------------------------------------------------------------------------------
add  "P-SHREW"    {PFS-Grp}  2        {IKE-Grp}  2        {IKE-Prop-List}  "IKE-SHREW"       {IPSEC-Prop-List}  "IPS-SHREW"       {IKE-Key}  "KEY-SHREW"
cd /
cd /Setup/VPN/Proposals/IKE 
#    Name               IKE-Crypt-Alg     IKE-Crypt-Keylen  IKE-Auth-Alg      IKE-Auth-Mode     Lifetime-Sec      Lifetime-KB     
#    ----------------------------------------------------------------------------------------------------------------------------------
add  "PSK-SHREW"       {IKE-Crypt-Alg}  AES-CBC          {IKE-Crypt-Keylen}  128              {IKE-Auth-Alg}  MD5              {IKE-Auth-Mode}  Preshared-Key    {Lifetime-Sec}  3600             {Lifetime-KB}  0
cd /
cd /Setup/VPN/Proposals/IPSEC 
#    Name               Encaps-Mode       ESP-Crypt-Alg     ESP-Crypt-Keylen  ESP-Auth-Alg      AH-Auth-Alg       IPCOMP-Alg        Lifetime-Sec      Lifetime-KB     
#    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "TN-AES-SHREW"    {Encaps-Mode}  Tunnel           {ESP-Crypt-Alg}  AES-CBC          {ESP-Crypt-Keylen}  128              {ESP-Auth-Alg}  HMAC-MD5         {AH-Auth-Alg}  none             {IPCOMP-Alg}  none             {Lifetime-Sec}  28800            {Lifetime-KB}  2000000
cd /
cd /Setup/VPN/Proposals/IKE-Proposal-Lists 
#    IKE-Proposal-List  IKE-Proposal-1     IKE-Proposal-2     IKE-Proposal-3     IKE-Proposal-4     IKE-Proposal-5     IKE-Proposal-6     IKE-Proposal-7     IKE-Proposal-8   
#    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "IKE-SHREW"       {IKE-Proposal-1}  "PSK-SHREW"
cd /
cd /Setup/VPN/Proposals/IPSEC-Proposal-Lists 
#    IPSEC-Proposal-List  IPSEC-Proposal-1   IPSEC-Proposal-2   IPSEC-Proposal-3   IPSEC-Proposal-4   IPSEC-Proposal-5   IPSEC-Proposal-6   IPSEC-Proposal-7   IPSEC-Proposal-8 
#    --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "IPS-SHREW"         {IPSEC-Proposal-1}  "TN-AES-SHREW"
cd /
cd /Setup/VPN/Certificates-and-Keys/IKE-Keys 
#    Name              Local-ID-Type       Local-Identity                                                                                                                                                                                                                                                  Remote-ID-Type      Remote-Identity                                                                                                                                                                                                                                                 Shared-Sec                                                        Shared-Sec-File     
#    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "KEY-SHREW"  {Local-ID-Type}  Domain-Name        {Local-Identity}  "lancom@local.de" {Remote-ID-Type}  Domain-Name        {Remote-Identity}  "shrew@remote.de"  {Shared-Sec}  "XXXX" {Shared-Sec-File}  ""
cd /

flash Yes

# done
exit
Der Shrew meldet beim Verbindungsaufbau:

config loaded for site 'LANCOM'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon


Im Lancom-Log steht garnichts.

Kann mir hier jemand weiterhelfen?
...ich bin echt am Verzweifeln...

Vielen Dank schon mal vorab!
Gruß

Mario
Ganzfix
Beiträge: 176
Registriert: 12 Sep 2005, 10:34
Wohnort: Darmstadt

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von Ganzfix »

Ich kann Dir eigentlich nur den Tipp geben dich vom Shrew-Client zu verabschieden. Zum einen wird der schon etliche Jahre nicht mehr gepflegt, zum anderen gibt es über die ursprüngliche Firma so gut wie keine Informationen.
Lancom hat auch VPN-Clients im Angebot - ja die kosten Geld, aber das sollte Dir die Sicherheit auch wert sein. Es gibt übrigens eine 30-tägige Testphase. Damit könntest Du recht schnell prüfen ob VPN am Router funktioniert. Die Erstellung ist fast Idiotensicher, mit dem Assistent die Einrichtung machen, ini-Datei speichern und diese beim Lancom VPN-Client importieren.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von LoUiS »

Wenn Du im VPN-Status Trace auf dem LANCOM keinen eingehenden Pakete von dem Verbindungsversuch des Shrew siehst, wuerde ich vermuten, dass die auch nicht zum LANCOM durch kommen. Die WAN IP Adresse des Glasfaser anschluss ist aber auch von extern zu erreichen und der Provider filtert da nichts aus?
Du kannst auf dem LANCOM einen "Ethernet-Trace" mit Filter auf die WAN Adresse des VPN Client starten "tr # ether @ <IP>" und schauen, ob auf dem Interface des LANCOM was an kommt.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von jueRgenB »

Hi,
wenn der Glasfaser Anschluß zur Deutschen Glasfaser gehört dann hast du ein CGNAT.
Vermutlich auch bei anderen Anbietern.

Dann geht‘s nur mit IPv6

Also, wie LoUis schon sagt, von extern prüfen...
Ganzfix
Beiträge: 176
Registriert: 12 Sep 2005, 10:34
Wohnort: Darmstadt

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von Ganzfix »

In einem anderen Beitrag schrieb er was von Entega als Anbieter.

Wir haben dort auch einen Glasfaseranschluss mit fester IP und sowohl VPN-Einwahl als auch Standortverbindung läuft ohne Probleme.
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von UKernchen »

Ganzfix hat geschrieben: 02 Apr 2021, 21:45 Lancom hat auch VPN-Clients im Angebot - ja die kosten Geld, aber das sollte Dir die Sicherheit auch wert sein..
Kann ich mal fragen, was das für ein Client für Android sein soll?
Der NCP-Client wird schon länger nicht gepflegt als ShrewVPN und ist nicht mehr im PlayStore verfügbar.
Komischerweise läuft er bei Migration von alten Geräten auch mit Android 10 ohne Probleme.

Aber aktuell sehe ich keine Lösung von Lancom für Android, oder doch?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von GrandDixence »

Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
anwenden.
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von UKernchen »

Eine Link-Orgie. :?
Ich nehme an, du meinst StrongSwan?

Das ist deine Antwort auf "Lancom hat auch VPN-Clients im Angebot - ja die kosten Geld, aber das sollte Dir die Sicherheit auch wert sein.. "?
Ohne Zertifikate geht also gar nichts mehr mit Lancom + Android?
Für die CA benötige ich eine VPN-25 Lizenz, richtig?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von GrandDixence »

Die StrongSwan App ist die von mir empfohlene und jahrelang erprobte VPN-Lösung für Android. Wem das nicht passt, muss eine eigene VPN-Lösung suchen, evaluieren, realisieren und entsprechend dokumentieren. Eine zusätzliche VPN-Lizenz ist erst erforderlich, wenn mehr als 5 VPN-Tunneln gleichzeitig realisiert werden sollen. Eine Begründung, weshalb PSK (Pre-shared Key) nicht eingesetzt werden sollte, findet man in der Link-Orgie. Den Rest kann man in der Link-Orgie nachlesen...
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von UKernchen »

OK, dann gerne StrongSwan.

Die CA muß aber zwangsläufig im Lancom-Router (feste IP) liegen, richtig?
Setzt das eine VPN-25 -Lizenz voraus?

Zertifikate können nicht auf eine IP ausgestellt werden, sondern nur auf einen DNS-Namen.
Muß die Zentrale einen auflösbaren DNS-Namen auf dem Internetanschluß haben oder kann der DNS-Name des Zertifikates fiktiv sein?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von GrandDixence »

Zum Erstellen und Betreiben einer eigenen PKI braucht es eine eigene, selber betriebene Zertifizierungsstelle (Certificate authority => kurz CA). Dazu ist nur OpenSSL erforderlich. Siehe Abschnitt "Zertifikate erstellen" in der Windows (Phone) 10-VPN-Anleitung. Und hier:
fragen-zur-lancom-systems-routern-und-g ... 19346.html

Der den VPN-Tunnel aufbauende VPN-Endpunkt (Initiator) muss mit der Angabe des Common-Name (CN) des X.509-Zertifikats den anderen VPN-Endpunkt (Responder) erreichen können. Siehe auch:
fragen-zur-lancom-systems-routern-und-g ... ml#p109375

VPN-Tunnel mit Hochverfügbarkeitsanforderungen werden mit statischen IPv4-Adressen (im Common-Name (CN)) realisiert. Alternativ mit ewig gleichbleibende IPv6-Adressen. Wenn aus Kostengründen keine statische IPv4-Adresse vorhanden ist, muss man halt Dynamisches DNS einsetzen (im Common-Name). Beim Ausfall der Namensauflösung (DNS) kann dann dieser VPN-Tunnel nicht mehr aufgebaut werden.
https://de.wikipedia.org/wiki/Dynamisches_DNS
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von UKernchen »

Vielen Dank!
Das hat mir sehr geholfen.

Ich packe also meine Zertifikate zusammen mit:

Code: Alles auswählen

openssl pkcs12 -export -in serverzert.pem -serverkey key.pem -certfile cacert.pem -out output.p12
Dieses output.p12 konnte ich nun erfolgreich in den VPN-Container 1 laden.
Super!

Also hat der Lancom-Router nicht "DIE eine" CA, sondern er hat für jede VPN-Verbindung im jeweiligen VPN-Container 1..9 jeweils ein öffentliches Zertifikat passend zu den Verbindungs-Zertifikaten, richtig?

Für meine (25x) VPN-Verbindungen verwende ich dann jeweils das gleiche Zertifikats-Paar, oder wie sind die nur 9 VPN-Container zu erklären?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von GrandDixence »

serverzert.pem => Öffentlicher Schlüssel des Maschinenzertifikats => server and client certificates
key.pem => Privater Schlüssel des Maschinenzertifikats => server and client certificates

cacert.pem => Stammzertifikat (Öffentlicher Schlüssel der Zertifizierungsstelle, kurz CA => root pair)
cakey.pem => Privater Schlüssel der Zertizierungsstelle, kurz CA => root pair

Den Rest kann man unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p109352

fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774
nachlesen.

LANCOM-Router werden häufig in KMU's eingesetzt. Bei mehreren VPN-Tunnels zu verschiedenen Firmen werden häufig unterschiedliche Maschinenzertifikate (unterschiedliche CN's) und unterschiedliche Zertifizierungsstellen (CA's) eingesetzt. Da besteht schnell Bedarf an mehreren VPN-Zertifikatsbündeln (*.p12) im LANCOM-Router.
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von UKernchen »

Ich habe meine Hausaufgaben gemacht.

Mit OpenSSL Zertifikate für CA, Server und Client1 erstellt.
Server- und Clientzertifikat unterscheiden sich durch den CN. ("CN=Server" und "CN=Client1")
(C, S, L, O und E sind auf beiden Seiten identisch.)
Jeweils ein .p12 Paket mit Server+CA und Client1+CA erstellt.

Zum Test verwende ich 2 Lancom-Router, beide FW Stand 10.50RU7.
In der Zentrale lade ich in VPN1-Container "Server+CA.p12" und in der Aussenstelle "Client1+CA" erfolgreich, mit "CA überschreiben".

Die VPN-Verbindung habe ich nach dieser Anleitung eingerichtet.
https://support.lancom-systems.com/know ... OM+Routern
("/CN=Server" und "/CN=Client1")

Nun bekomme ich im LAN-Monitor diese Meldung:
"IKE Schlüssel stimmen nicht überein (Aktiver Verbindungsaufbau, IKE) [0x210A]"

SSH-Trace VPN an der Zentrale (aufbauend):
[VPN-Status] 2022/06/29 11:33:44,193
Received Connection-Request for XXXNebenstelle (ikev2)
transport: [id: 65405, UDP (17) {outgoing}, dst: XXXip-adresse, tag 0 (U), src: 192.168.178.250, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (8), next hop: 192.168.178.1], local port: 500, remote port: 500
Establishing connection(s): IPSEC-1-XXXNebenstelle-PR0-L0-R0,IPSEC-0-XXXNebenstelle-PR0-L0-R0
IKE_SA ('', '' IPSEC_IKE SPIs 0xA536430882D88C400000000000000000) entered to SADB
Peer XXXNebenstelle: Constructing an IKE_SA_INIT-REQUEST for send
Starting an IKEv2 negotiation
+IKE-SA:
IKE-Proposal-1 (9 transforms)
ENCR : AES-GCM-16-256 AES-GCM-16-128 AES-CBC-256
PRF : PRF-HMAC-SHA-256 PRF-HMAC-SHA1
INTEG: HMAC-SHA-256 HMAC-SHA1
DH : 28 14
+KE-DH-Group 28 (512 bits)
Message scheduled for retransmission (1) in 8.462293 seconds
Sending an IKE_SA_INIT-REQUEST of 388 bytes (initiator)
Gateways: 192.168.178.250:500-->XXXip-adresse:500, tag 0 (UDP)
SPIs: 0xA536430882D88C400000000000000000, Message-ID 0
....
[VPN-Debug] 2022/06/29 11:33:44,272
Peer <UNKNOWN> [initiator]: Received an IKE_SA_INIT-RESPONSE of 349 bytes
Gateways: 192.168.178.250:500<--XXXip-adresse:500
SPIs: 0xA536430882D88C405A20161643990173, Message-ID 0
Payloads: SA, KE, NONCE, NOTIFY(DETECTION_SOURCE_IP), NOTIFY(DETECTION_DESTINATION_IP), NOTIFY(IKEV2_FRAGMENTATION_SUPPORTED), CERTREQ, VENDOR(FRAGMENTATION), VENDOR(activate lancom-systems notification private range), NOTIFY(DEVICE-ID)
Establishing connection(s): IPSEC-1-XXXNebenstelle-PR0-L0-R0,IPSEC-0-XXXNebenstelle-PR0-L0-R0
IKE_SA not found
Exchange already exists. Pending requests IPSEC-1-XXXNebenstelle-PR0-L0-R0,IPSEC-0-XXXNebenstelle-PR0-L0-R0
IKE-TRANSPORT freed
QUB-DATA: 192.168.178.250:500<---XXXip-adresse:500 rtg_tag 0 physical-channel WAN(13) vpn-channel 35
transport: [id: 65405, UDP (17) {outgoing}, dst: XXXip-adresse, tag 0 (U), src: 192.168.178.250, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (8), next hop: 192.168.178.1], local port: 500, remote port: 500
+IKE_SA found and assigned
+IKE_SA-SPIs upgraged
+Exchange-SPIs upgraged
Looking for payload VENDOR (43)...Found 2 payloads.
+FRAGMENTATION
+activate lancom-systems notification private range
Looking for payload NOTIFY(DEVICE-ID) (41)...Found 1 payload.
Received DEVICE-ID: 0xAFEC828900096CF390E07C15DE11456DC37BA084C8CF36DC88E6CB217568F443
Looking for payload NOTIFY(DETECTION_SOURCE_IP) (41)...Found 1 payload.
+Computing SHA1(0xA536430882D88C405A20161643990173|XXXip-adresse:500)
+Computing SHA1(0xA536430882D88C405A20161643990173578C658F01F4)
+Computed: 0x1FEA9BC542555167BB6371D6FE28C206B69E0CB0
+Received: 0x1FEA9BC542555167BB6371D6FE28C206B69E0CB0
+Equal => NAT-T is disabled
Looking for payload NOTIFY(DETECTION_DESTINATION_IP) (41)...Found 1 payload.
+Computing SHA1(0xA536430882D88C405A20161643990173|192.168.178.250:500)
+Computing SHA1(0xA536430882D88C405A20161643990173C0A8B2FA01F4)
+Computed: 0xF6D3AFFF0FFF5AB6BBFBB9B1ACBEEE75B52D0F4C
+Received: 0xC8C6631012751E7DFA0AB36D240F16D15E407FB3
+Not equal => NAT-T enabled => switching on port 4500
Looking for payload NOTIFY(IKEV2_FRAGMENTATION_SUPPORTED) (41)...Found 1 payload.
Looking for payload IKE_SA (33)...Found 1 payload.
+Config ENCR transform(s): AES-GCM-16-256 AES-GCM-16-128 AES-CBC-256
+Received ENCR transform(s): AES-GCM-16-256
+Best intersection: AES-GCM-16-256
+Config PRF transform(s): PRF-HMAC-SHA-256 PRF-HMAC-SHA1
+Received PRF transform(s): PRF-HMAC-SHA-256
+Best intersection: PRF-HMAC-SHA-256
+Config INTEG transform(s): HMAC-SHA-256 HMAC-SHA1
+Received INTEG transform(s):
+Best intersection: ignored since ENCR-Transform is an authenticated cipher
+Config DH transform(s): 28 14
+Received DH transform(s): 28
+Best intersection: 28
Looking for payload NONCE (40)...Found 1 payload.
+Nonce length=32 bytes
+Nonce=0x1830520F0A62D98B477ECF662E611E23AAC511CFA30B1E4D122167377EB97719
+SA-DATA-Nr=0x1830520F0A62D98B477ECF662E611E23AAC511CFA30B1E4D122167377EB97719
Looking for payload CERTREQ (38)...Found 1 payload.
+Shared secret derived in 6590 micro seconds
IKE_SA(0xA536430882D88C405A20161643990173).SEND-MSG-ID raised to 1


Der Trace sieht für mich gar nicht schlecht aus.
Warum finden die Router nicht zusammen?
Ich vermute unterschiedliche Defaults, aber was ist bei Zertifikaten relevant?
Beide Geräte haben eine öffentliche IP, aber keinen DNS-Namen.
Wo liegt noch mein Denkfehler?
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: Lancom1900EF per Shrew-VPN-Client

Beitrag von mh1 »

Kann es sein, dass du die interessanten Meldungen aus dem Trace rausgelöscht hast, oder wird nur das obige aufgezeichnet??

Wieso meinst du, das das ganz gut aussieht? Gibt es also doch noch mehr?
Antworten