Hallo,
wir müssen eine VPN-Netzkopplung auf einen Cisco VPN-Concentrator vornehmen (Beide Seiten feste IP, MainMode, PSK). Leider schlägt die Verbindung bei/nach der Phase1 fehl:
[VPN-Status] 2007/06/27 13:37:10,750
IKE info: Phase-1 negotiation started for peer RTV rule isakmp-peer-RTV using MAIN mode
[VPN-Status] 2007/06/27 13:37:10,830
IKE info: Phase-1 remote proposal 1 for peer RTV matched with local proposal 1
[VPN-Status] 2007/06/27 13:37:10,920
IKE info: The remote server 195.226.xx.xx:500 peer RTV id <no_id> supports draft-ietf-ipsec-isakmp-xauth
[VPN-Status] 2007/06/27 13:37:11,200
IKE info: The remote server 195.226.xx.xx:500 peer RTV id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/06/27 13:37:11,200
IKE info: Phase-1 [inititiator] for peer RTV between initiator id 217.91.xxx.xxx, responder id 195.226.xx.xx done
IKE info: SA ISAKMP for peer RTV encryption 3des-cbc authentication md5
IKE info: life time ( 86400 sec/ 0 kb)
[VPN-Status] 2007/06/27 13:37:11,260
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-RTV peer RTV cookies [22673f47ad21efa9 ae1b4da1f70b600f]
[VPN-Status] 2007/06/27 13:37:11,260
IKE info: Phase-1 SA removed: peer RTV rule RTV removed
[VPN-Status] 2007/06/27 13:37:11,260
VPN: RTV (195.226.xx.xx) disconnected
[VPN-Status] 2007/06/27 13:37:11,260
VPN: Disconnect info: remote-disconnected (0x4301) for RTV (195.226.xx.xx)
Der Admin der Cisco-Maschine kann mir leider auch nicht weiterhelfen.
Ich hab schon PFS deaktiviert, welches auch nichts gebracht hat.
Ausserdem sind die LifeTimes für IKE und IPSec angeglichen.
Hat jemand von Euch schon Erfahrungen mit Cisco-Netzkopplungen ?!?
LC 1711 LCOS 6.32 >> Cisco VPN-Concentrator
Moderator: Lancom-Systems Moderatoren
Hi JoP75
die Verbindung wird vom Cisco getrennt:
Konfiguriere den Cisco so, daß er kein XAUTH fordert - dann wird's auch mit dem LANCOM funktionieren.
Zum Thema XAUTH sei noch angemerkt, daß dies eine massive Sicherheitslücke darstellt, da XAUTH i.A. nur im Zusammenhang mit preshared Keys verwendendet wird:
Wenn der Angreifer den Gruppen-Key kennt, kann er sich gegenüber jedem User als Server ausgeben und so Username und Paßwort abgreifen...
Das könnte zwar auch bei XAUTH mit Zertifikaten passieren, wenn dem Angreifer das Serverzertifikat (!) in die Hände fällt. Abgesehen davon, daß die Chance dazu eher gering ist, ist XAUTH mit Gruppenzertifikat genaugenommen schlichtweg unsinnig, da man dann auch jedem User ein eigenes Zertifikat ausstellen kann.
Gruß
Backslash
die Verbindung wird vom Cisco getrennt:
daher solltest du dort nachschauen, was los ist. Ich vermute, daß der Cisco unbedingt XAUTH machen will, was das LANCOM aber nicht kann. Daher schmeißt der Cisco die Verbindung.VPN-Status] 2007/06/27 13:37:11,260
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-RTV peer RTV cookies [22673f47ad21efa9 ae1b4da1f70b600f]
Konfiguriere den Cisco so, daß er kein XAUTH fordert - dann wird's auch mit dem LANCOM funktionieren.
Zum Thema XAUTH sei noch angemerkt, daß dies eine massive Sicherheitslücke darstellt, da XAUTH i.A. nur im Zusammenhang mit preshared Keys verwendendet wird:
Wenn der Angreifer den Gruppen-Key kennt, kann er sich gegenüber jedem User als Server ausgeben und so Username und Paßwort abgreifen...
Das könnte zwar auch bei XAUTH mit Zertifikaten passieren, wenn dem Angreifer das Serverzertifikat (!) in die Hände fällt. Abgesehen davon, daß die Chance dazu eher gering ist, ist XAUTH mit Gruppenzertifikat genaugenommen schlichtweg unsinnig, da man dann auch jedem User ein eigenes Zertifikat ausstellen kann.
Gruß
Backslash
Hi JoP75
also wenn XAUTH wirklich deaktiviert ist - warum "fordert" der Cisco es dann?
Gruß
Backslash
also wenn XAUTH wirklich deaktiviert ist - warum "fordert" der Cisco es dann?
aber sei's drum. Es bleibt dabei, daß der Cisco die Verbindung schmeißt, daher mußt du ins Log des Ciscos schauen...[VPN-Status] 2007/06/28 13:33:04,750
IKE info: The remote server 195.226.xxx.xxx:500 peer RTV id <no_id> supports draft-ietf-ipsec-isakmp-xauth
Gruß
Backslash
Der Cisco VPN-Concentrator fährt lt. Aussage des Cisco-Admins kein IOS sondern was eigenes (nur von Cisco zugekaufte Keksdose mit Cisco-Aufkleber). Scheinbar ist dort nur halbherzig xauth implementiert.
Administrierbar sei das Ding nur gescheit über Browser. xauth sei auch für die config aktivierbar/deaktivierbar, scheint aber in der praxis keine auswirkung zu haben (siehe trace)...
Leider hab ich selber keinen Zugriff auf den Cisco um mir das selber mal anzuschauen.
Die Config fürs Cisco IOS hab ich gefunden. Da kann man mit opt. [no-xauth] xauth unterbinden - leider halt nur im Cisco IOS (PIX, etc.).
Willkommen im Cisco Modellchaos.
Wir nehmen dann das Fallback: Auf jedem PC dens betrifft nen Cisco-VPN-Client...
Administrierbar sei das Ding nur gescheit über Browser. xauth sei auch für die config aktivierbar/deaktivierbar, scheint aber in der praxis keine auswirkung zu haben (siehe trace)...
Leider hab ich selber keinen Zugriff auf den Cisco um mir das selber mal anzuschauen.
Die Config fürs Cisco IOS hab ich gefunden. Da kann man mit opt. [no-xauth] xauth unterbinden - leider halt nur im Cisco IOS (PIX, etc.).
Willkommen im Cisco Modellchaos.
Wir nehmen dann das Fallback: Auf jedem PC dens betrifft nen Cisco-VPN-Client...