Hallo Forum,
ich bräuchte da einmal ein Feedback, da ich mit meinem eigenen Latein nicht weiterkomme, ob diese Meldung besorgniserregend ist.
Gegeben:
1x 1781VA-4G als VPN-Initiator mit dyndns IKE-V2 mit Zertifikaten, Selbst CA
1x 1783VAW als VPN Site-to-Site Gegenstelle mit dyndns IKE-V2 mit Zertifikat
Die Meldung taucht im Syslog des 1781VA-4G wie folgt auf
95 2017-07-27 01:05:26 AUTH Hinweis Successfully connected to peer XXXX-IKEV2
96 2017-07-27 01:05:24 KERN Hinweis rsa_sig_decode_hash: no CERT subject match the ID
97 2017-07-27 01:05:23 AUTH Info Disconnected from peer XXXX-IKEV2: 017 006
98 2017-07-27 01:05:23 LOCAL0 Fehler VPN: Error for peer XXXX-IKEV2: IFC-I-Connection-timeout-IKE-IPSEC
99 2017-07-27 01:00:58 AUTH Info Disconnected from peer 1UND1: manual-disconnect
Im Syslog auf der Gegenstelle (1783VAW) steht:
262 2017-07-27 01:05:24 AUTH Hinweis User XXXX-IKEV2 successfully logged in
263 2017-07-27 01:05:23 KERN Hinweis rsa_sig_decode_hash: no CERT subject match the ID
267 2017-07-27 01:01:08 AUTH Hinweis Successfully connected to peer 1UND1
268 2017-07-27 01:01:08 AUTH Hinweis local IP address for 1UND1 is XXX.XXX.XXX.XXX, remote IP address is XXX.XXX.XXX.XXX
269 2017-07-27 01:00:59 LOCAL0 Fehler error for peer XXXX: No remote
270 2017-07-27 01:00:58 AUTH Info Disconnected from peer 1UND1: manual-disconnect
271 2017-07-27 01:00:10 AUTH Hinweis Successfully connected to peer 1UND1
272 2017-07-27 01:00:10 AUTH Hinweis local IP address for 1UND1 is XXX.XXX.XXX.XXX, remote IP address is XXX.XXX.XXX.XXX
273 2017-07-27 01:00:07 LOCAL0 Fehler error for peer XXXX: No remote
274 2017-07-27 01:00:06 AUTH Info Disconnected from peer 1UND1: remote-disconnected
275 2017-07-27 01:00:06 AUTH Info User XXXX-IKEV2 logged out
276 2017-07-27 01:00:06 LOCAL0 Fehler VPN: Disconnect info for peer XXXX-IKEV2: physical-disconnected
277 2017-07-27 01:00:06 LOCAL0 Fehler VPN: Disconnect info for peer XXXX-IKEV2: physical-disconnected
Zuvor erfolgt auf beiden Seiten um 1 Uhr die Zwangstrennung per CRON-Job.
Per <s>Cron</s> Aktionstabelle schicken die Lancoms bei Verbindungsaufbau der Gegenstellen (1und1) ihre neuen IPs an den dyndns Dienst
Die VPN Tunnel stehen soweit und funktionieren ohne Einschränkung.
Jedoch möchten mir die Lancoms doch sagen, da ihnen etwas nicht passt, oder?
danke für eure Hinweise
Mfg Daniel
Syslog rsa_sig_decode_hash: no CERT subject match
Moderator: Lancom-Systems Moderatoren
Syslog rsa_sig_decode_hash: no CERT subject match
Zuletzt geändert von DGrand am 27 Jul 2017, 12:37, insgesamt 1-mal geändert.
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Re: Syslog rsa_sig_decode_hash: no CERT subject match
Hallo Daniel,
Zu Deiner eigentlichen Frage kann ich Dir nicht viel sagen, anscheinend tauchen die Routernamen im Zertifikat nirgends auf, was aber eben auch nicht zu stören scheint.
Viele Grüße,
Jirka
Du meinst doch sicher per Aktionstabelle, oder?DGrand hat geschrieben:Per Cron schicken die Lancoms bei Verbindungsaufbau der Gegenstellen (1und1) ihre neuen IPs an den dyndns Dienst
Zu Deiner eigentlichen Frage kann ich Dir nicht viel sagen, anscheinend tauchen die Routernamen im Zertifikat nirgends auf, was aber eben auch nicht zu stören scheint.
Viele Grüße,
Jirka
Re: Syslog rsa_sig_decode_hash: no CERT subject match
Hallo Jirka,
danke für Deine schnelle Antwort,
Ja,
, meinte natürlich Aktionstabelle 
danke für Deine schnelle Antwort,
Ja,
, meinte natürlich Aktionstabelle Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
-
GrandDixence
- Beiträge: 1180
- Registriert: 19 Aug 2014, 22:41
Re: Syslog rsa_sig_decode_hash: no CERT subject match
Entweder sind die für VPN vorgesehenen und vom Benutzer im LANCOM-Gerät installierten RSA-Zertifikate nicht in Ordnung (oder gar nicht vorhanden) UND/ODER die VPN-Konfiguration des LANCOM-Geräts ist nicht in Ordnung. Dies hat keine Folgen, da sich die VPN-Endpunkte nicht authentifizieren, was eine gravierende Sicherheitslücke darstellt!
Bitte gemäss der Anleitung:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
vorgehen. Diese Anleitung eignet sich auch für den VPN-Tunnel zwischen zwei LANCOM-Geräten.
Hinweis zur Anleitung:
Der "DEFAULT"-Eintrag (unter /Setup/VPN/IKEv2/Gegenstellen/) ist nur bei VPN-Einwahlverbindungen erforderlich.
Bei reinen LANCOM-VPN-Verbindungen ist der "DEFAULT"-Eintrag nicht erforderlich!
Das Signaturverfahren RSASSA-PSS mit SHA-384 oder SHA-512 wird von LCOS 10.00 RU3 oder älter nicht unterstützt (obwohl konfigurierbar).
Das Signaturverfahren RSASSA-PSS mit SHA-256 wird von LCOS 10.00 RU3 unterstützt. Der Einsatz des Signaturverfahren RSASSA-PSS mit SHA-256 ist für VPN-Tunnel zwischen LANCOM-Geräten gemäss BSI TR-02102-3 empfohlen.
Der RSASSA-PSS-Mangel wird von LANCOM in einer zukünftigen LCOS-Version behoben.
Auf allen LANCOM-Geräte für VPN-Tunneln sollte LCOS 10.00 RU3 laufen. Dies dient der Vorbereitung auf das kommende LCOS 10.12, welches mit AES-GCM-Unterstützung und elliptischer Diffie-Hellman-Gruppen (ECDH) eine bessere Absicherung des VPN-Tunnels ermöglicht:
http://www.lancom-forum.de/fragen-zum-t ... 16174.html
https://www.lancom-systems.de//fileadmi ... RC1-DE.pdf
Ich betreibe gemäss dieser Anleitung einige wenige VPN-Tunnels mit RSA-Zertifikaten mit LANCOM-Geräten an beiden VPN-Endpunkten. Bis auf sporadische Probleme mit DPD (Dead Peer Detection => RFC 3706) funktioniert der VPN-Tunnel mit IKEv2/IPSEC (ESP) zwischen zweier LANCOM-Geräten mit aktueller LCOS-Version. Das DPD-Problem habe ich heute der LANCOM-Hotline mitgeteilt (wird hoffentlich in einer zukünftigen LCOS-Version behoben).
Code: Alles auswählen
/Setup/VPN/IKEv2/Auth/Parameter/Remote-Cert-ID-Check
korrekt: Ja
falsch: Neinhttp://www.lancom-forum.de/fragen-zum-t ... 15356.html
vorgehen. Diese Anleitung eignet sich auch für den VPN-Tunnel zwischen zwei LANCOM-Geräten.
Hinweis zur Anleitung:
Der "DEFAULT"-Eintrag (unter /Setup/VPN/IKEv2/Gegenstellen/) ist nur bei VPN-Einwahlverbindungen erforderlich.
Bei reinen LANCOM-VPN-Verbindungen ist der "DEFAULT"-Eintrag nicht erforderlich!
Das Signaturverfahren RSASSA-PSS mit SHA-384 oder SHA-512 wird von LCOS 10.00 RU3 oder älter nicht unterstützt (obwohl konfigurierbar).
Das Signaturverfahren RSASSA-PSS mit SHA-256 wird von LCOS 10.00 RU3 unterstützt. Der Einsatz des Signaturverfahren RSASSA-PSS mit SHA-256 ist für VPN-Tunnel zwischen LANCOM-Geräten gemäss BSI TR-02102-3 empfohlen.
Der RSASSA-PSS-Mangel wird von LANCOM in einer zukünftigen LCOS-Version behoben.
Auf allen LANCOM-Geräte für VPN-Tunneln sollte LCOS 10.00 RU3 laufen. Dies dient der Vorbereitung auf das kommende LCOS 10.12, welches mit AES-GCM-Unterstützung und elliptischer Diffie-Hellman-Gruppen (ECDH) eine bessere Absicherung des VPN-Tunnels ermöglicht:
http://www.lancom-forum.de/fragen-zum-t ... 16174.html
https://www.lancom-systems.de//fileadmi ... RC1-DE.pdf
Ich betreibe gemäss dieser Anleitung einige wenige VPN-Tunnels mit RSA-Zertifikaten mit LANCOM-Geräten an beiden VPN-Endpunkten. Bis auf sporadische Probleme mit DPD (Dead Peer Detection => RFC 3706) funktioniert der VPN-Tunnel mit IKEv2/IPSEC (ESP) zwischen zweier LANCOM-Geräten mit aktueller LCOS-Version. Das DPD-Problem habe ich heute der LANCOM-Hotline mitgeteilt (wird hoffentlich in einer zukünftigen LCOS-Version behoben).